Key Vault 访问策略确定给定的安全主体(即用户、应用程序或用户组)是否可以对 Key Vault 机密、 密钥和 证书执行不同的作。 可以使用 Azure 门户(本文)或 Azure PowerShell 分配访问策略。
Key Vault 最多支持 1024 个访问策略条目,每个条目都向特定安全主体授予一组不同的权限。 由于此限制,我们建议尽可能将访问策略分配给用户组,而不是单个用户。 使用组可以更轻松地管理组织中多个人员的权限。 有关详细信息,请参阅 使用 Azure Active Directory 组管理应用和资源访问
有关 Key Vault 访问控制的完整详细信息,请参阅 Azure Key Vault 安全功能:标识和访问管理。
有关通过 Azure 门户在 Microsoft Entra ID 中创建组的详细信息,请参阅 创建基本组并添加成员
分配访问策略
在 Azure 门户中,导航到 Key Vault 资源。
在 “设置”下,选择 “访问策略”,然后选择“ 添加访问策略”
在 “证书权限”、“密钥权限”和“ 机密”权限下,选择所需的 权限。 还可以选择包含常见权限组合的模板:
在 “选择主体”下,选择 “无”链接 以打开 “主体 选择”窗格。 在搜索字段中输入用户、应用或服务主体的名称,选择相应的结果,然后选择 “选择”。
如果使用应用的托管标识,请搜索并选择应用本身的名称。 (有关安全主体的详细信息,请参阅 Key Vault 身份验证。
返回“ 添加访问策略 ”窗格,选择“ 添加 ”以保存访问策略。
返回 “访问策略 ”页,验证访问策略是否已在 “当前访问策略”下列出,然后选择“ 保存”。 在保存访问策略之前,不会应用访问策略。