允许通过 Azure 资源管理器执行密钥管理操作
对于门户和模板部署中的许多异步操作,必须信任 Azure 资源管理器才能代表用户进行操作。 Azure Key Vault 信任 Azure 资源管理器,但对于许多保证程度较高的环境,Azure 门户和 Azure 资源管理器中的这种信任可能会被视为一种风险。
默认情况下,Azure 托管 HSM 不信任 Azure 资源管理器。 但是,对于可接受这种风险的环境,为了简化 Azure 门户和模板部署的使用,托管 HSM 为管理员提供了一种选择加入这种信任的方法。
要使 Azure 门户或 Azure 资源管理器按照与 Azure Key Vault 标准版和高级版相同的方式与 Azure 托管 HSM 进行交互,获得授权的托管 HSM 管理员必须允许 Azure 资源管理器代表用户进行操作。 若要更改此行为并允许用户使用 Azure 门户或 Azure 资源管理器创建新密钥或列出密钥,请进行如下 Azure 托管 HSM 设置更新:
az keyvault setting update --hsm-name <managed-hsm name> --name AllowKeyManagementOperationsThroughARM --value true
若要禁用这种信任并还原为托管 HSM 的默认行为,请执行以下操作:
az keyvault setting update --hsm-name <managed-hsm name> --name AllowKeyManagementOperationsThroughARM --value false