对于门户和模板部署中的许多异步操作,必须信任 Azure 资源管理器才能代表用户进行操作。 Azure 密钥保管库 信任 Azure 资源管理器,但对于许多保证程度较高的环境,Azure 门户和 Azure 资源管理器中的这种信任可能会被视为一种风险。
默认情况下,托管 HSM 不信任Azure 资源管理器。 但是,对于那些认为此类风险相对于 Azure 门户和模板部署的易用性而言是可接受权衡的环境,托管 HSM 提供了一种让管理员选择接受这种信任关系的方式。
要使Azure门户或Azure 资源管理器与托管 HSM 交互的方式与 Azure 密钥保管库 Standard 和 Premium 相同,授权的托管 HSM 管理员必须允许Azure 资源管理器代表用户执行操作。 若要更改此行为并允许用户使用Azure门户或Azure 资源管理器创建新密钥或列表密钥,请进行以下托管 HSM 设置更新:
az keyvault setting update --hsm-name <hsm-name> --name AllowKeyManagementOperationsThroughARM --value true
若要禁用这种信任并还原为托管 HSM 的默认行为,请执行以下操作:
az keyvault setting update --hsm-name <hsm-name> --name AllowKeyManagementOperationsThroughARM --value false