共用方式為

分配 Key Vault 访问策略(旧版)

重要

使用访问策略权限模型时,拥有 ContributorKey Vault Contributor 或任何其他角色(包括对密钥保管库管理平面的 Microsoft.KeyVault/vaults/write 权限)的用户,可以通过设置密钥保管库访问策略来为自己授予对数据平面的访问权限。 为了防止对密钥保管库、密钥、机密和证书进行未经授权的访问和管理,在访问策略权限模型下,必须限制参与者角色对密钥保管库的访问,这一点至关重要。 为了缓解此风险,我们建议使用基于角色的访问控制 (RBAC) 权限模型,该模型将权限管理限制为“所有者”和“用户访问管理员”角色,从而明确地区分安全运营和管理职责。 有关详细信息,请参阅 Key Vault RBAC 指南什么是 Azure RBAC

Key Vault 访问策略确定给定的安全主体(即用户、应用程序或用户组)是否可对 Key Vault 机密密钥证书执行不同的操作。 你可以使用 Azure 门户 分配访问策略。

Key Vault 最多支持 1024 个访问策略条目,每个条目可向特定安全主体授予一组不同的权限。 由于此限制,建议你尽可能将访问策略分配给用户组,而不是单个用户。 使用组来管理组织中多个人员的权限要轻松得多。 有关详细信息,请参阅使用 Microsoft Entra 组管理应用和资源访问

分配访问策略

  1. Azure 门户中,导航到 Key Vault 资源。

  2. 选择“访问策略”,然后选择“创建”:

    选择“访问策略”,选择“添加角色分配”

  3. 在“密钥权限”、“机密权限”和“证书权限”下选择所需要的权限。

    指定访问策略权限

  4. 在“主体”选择窗格下,在搜索字段中输入用户、应用或服务主体的名称,然后选择相应的结果。

    为该访问策略选择安全主体

    如果使用的是应用的托管标识,请搜索并选择该应用本身的名称。 有关安全主体的详细信息,请参阅 Key Vault 身份验证

  5. 查看访问策略更改,然后选择“创建”以保存访问策略。

    添加分配了安全主体的访问策略

  6. 返回“访问策略”页,验证是否已列出你的访问策略。

    保存访问策略更改

后续步骤