Gewährt oder ändert vorhandene Berechtigungen für einen Benutzer, eine Anwendung oder eine Sicherheitsgruppe, um Vorgänge mit einem Schlüsseltresor auszuführen.
Das Cmdlet Set-AzKeyVaultAccessPolicy gewährt oder ändert vorhandene Berechtigungen für einen Benutzer, eine Anwendung oder eine Sicherheitsgruppe, um die angegebenen Vorgänge mit einem Schlüsseltresor auszuführen. Sie ändert nicht die Berechtigungen, die andere Benutzer, Anwendungen oder Sicherheitsgruppen im Schlüsseltresor haben.
Wenn Sie Berechtigungen für eine Sicherheitsgruppe festlegen, wirkt sich dieser Vorgang nur auf Benutzer in dieser Sicherheitsgruppe aus.
Die folgenden Verzeichnisse müssen alle dasselbe Azure-Verzeichnis sein:
Das Standardverzeichnis des Azure-Abonnements, in dem sich der Schlüsseltresor befindet.
Das Azure-Verzeichnis, das den Benutzer oder die Anwendungsgruppe enthält, für die Sie Berechtigungen erteilen.
Beispiele für Szenarien, in denen diese Bedingungen nicht erfüllt sind und dieses Cmdlet nicht funktioniert:
Autorisieren eines Benutzers aus einer anderen Organisation zum Verwalten Ihres Schlüsseltresors.
Jede Organisation verfügt über ein eigenes Verzeichnis.
Ihr Azure-Konto verfügt über mehrere Verzeichnisse.
Wenn Sie eine Anwendung in einem anderen Verzeichnis als dem Standardverzeichnis registrieren, können Sie diese Anwendung nicht autorisieren, Ihren Schlüsseltresor zu verwenden.
Die Anwendung muss sich im Standardverzeichnis befinden.
Beachten Sie, dass die Angabe der Ressourcengruppe für dieses Cmdlet optional ist, sollten Sie dies jedoch für eine bessere Leistung tun.
Das Cmdlet kann unter der Microsoft Graph-API gemäß eingabeparametern aufgerufen werden:
GET /directoryObjects/{id}
GET /users/{id}
GET /users
GET /servicePrincipals/{id}
GET /servicePrincipals
GET /groups/{id}
Hinweis
Wenn Sie einen Dienstprinzipal zum Erteilen von Zugriffsrichtlinienberechtigungen verwenden, müssen Sie den -BypassObjectIdValidation Parameter verwenden.
Beispiele
Beispiel 1: Erteilen von Berechtigungen für einen Benutzer für einen Schlüsseltresor und Ändern der Berechtigungen
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToKeys create,import,delete,list -PermissionsToSecrets set,delete -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys : create, import, delete, list
Permissions to Secrets : set, delete
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToSecrets set,delete,get -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys : create, import, delete, list
Permissions to Secrets : set, delete, get
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToKeys @() -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys :
Permissions to Secrets : set, delete, get
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Der erste Befehl gewährt Berechtigungen für einen Benutzer in Ihrer Microsoft Entra-ID, PattiFuller@contoso.comum Vorgänge für Schlüssel und geheime Schlüssel mit einem Schlüsseltresor namens Contoso03Vault auszuführen. Der PassThru-Parameter führt dazu, dass das aktualisierte Objekt vom Cmdlet zurückgegeben wird.
Der zweite Befehl ändert die Berechtigungen, die im ersten Befehl erteilt PattiFuller@contoso.com wurden, um nun das Abrufen von geheimen Schlüsseln zusätzlich zum Festlegen und Löschen zu ermöglichen. Die Berechtigungen für Schlüsselvorgänge bleiben nach diesem Befehl unverändert.
Mit dem letzten Befehl werden die vorhandenen Berechtigungen PattiFuller@contoso.com zum Entfernen aller Berechtigungen für Schlüsselvorgänge weiter geändert. Die Berechtigungen für geheime Vorgänge bleiben nach diesem Befehl unverändert.
Beispiel 2: Erteilen von Berechtigungen für einen Anwendungsdienstprinzipal zum Lesen und Schreiben geheimer Schlüssel
Dieser Befehl gewährt Berechtigungen für eine Anwendung für einen Schlüsseltresor namens Contoso03Vault.
Der Parameter ServicePrincipalName gibt die Anwendung an. Die Anwendung muss in Ihrer Microsoft Entra-ID registriert sein. Der Wert des ServicePrincipalName-Parameters muss entweder der Dienstprinzipalname der Anwendung oder die Anwendungs-ID-GUID sein.
In diesem Beispiel wird der Dienstprinzipalname http://payroll.contoso.comangegeben, und der Befehl gewährt den Anwendungsberechtigungen zum Lesen und Schreiben geheimer Schlüssel.
Beispiel 3: Erteilen von Berechtigungen für eine Anwendung mithilfe der Objekt-ID
Dieser Befehl gewährt den Anwendungsberechtigungen zum Lesen und Schreiben geheimer Schlüssel.
In diesem Beispiel wird die Anwendung mithilfe der Objekt-ID des Dienstprinzipals der Anwendung angegeben.
Beispiel 4: Erteilen von Berechtigungen für einen Benutzerprinzipalnamen
Dieser Befehl gewährt Abrufen, Listen und Festlegen von Berechtigungen für den angegebenen Benutzerprinzipalnamen für den Zugriff auf geheime Schlüssel.
Beispiel 5: Aktivieren des Abrufens von Geheimschlüsseln aus einem Schlüsseltresor durch den Microsoft.Compute-Ressourcenanbieter
Dieser Befehl gewährt die Berechtigungen für geheime Schlüssel, die vom Microsoft.Compute-Ressourcenanbieter aus dem Contoso03Vault-Schlüsseltresor abgerufen werden sollen.
Beispiel 6: Erteilen von Berechtigungen für eine Sicherheitsgruppe
Get-AzADGroup
Set-AzKeyVaultAccessPolicy -VaultName 'myownvault' -ObjectId (Get-AzADGroup -SearchString 'group2')[0].Id -PermissionsToKeys get, set -PermissionsToSecrets get, set
Der erste Befehl verwendet das Cmdlet Get-AzADGroup, um alle Active Directory-Gruppen abzurufen. Aus der Ausgabe werden drei zurückgegebene Gruppen mit dem Namen "Gruppe1", "Gruppe2" und "Gruppe3" angezeigt. Mehrere Gruppen können denselben Namen haben, aber immer eine eindeutige ObjectId haben. Wenn mehr als eine Gruppe mit demselben Namen zurückgegeben wird, verwenden Sie die ObjectId in der Ausgabe, um das Objekt zu identifizieren, das Sie verwenden möchten.
Anschließend verwenden Sie die Ausgabe dieses Befehls mit Set-AzKeyVaultAccessPolicy, um Gruppenberechtigungen für Ihren Schlüsseltresor mit dem Namen "myownvault" zu erteilen. In diesem Beispiel werden die Gruppen mit dem Namen "group2" inline in derselben Befehlszeile aufgelistet.
In der zurückgegebenen Liste können mehrere Gruppen mit dem Namen "group2" vorhanden sein.
In diesem Beispiel wird das erste ausgewählt, das durch index [0] in der zurückgegebenen Liste angegeben wird.
Beispiel 7: Gewähren von Azure Information Protection-Zugriff auf den vom Kunden verwalteten Mandantenschlüssel (BYOK)
Dieser Befehl autorisiert Azure Information Protection, einen vom Kunden verwalteten Schlüssel (das Bring Your own Key oder BYOK-Szenario) als Azure Information Protection-Mandantenschlüssel zu verwenden.
Wenn Sie diesen Befehl ausführen, geben Sie Ihren eigenen Schlüsseltresornamen an, aber Sie müssen den Parameter ServicePrincipalName angeben und die Berechtigungen im Beispiel angeben.
Ermöglicht es Ihnen, eine Objekt-ID anzugeben, ohne zu überprüfen, dass das Objekt in der Microsoft Entra-ID vorhanden ist.
Verwenden Sie diesen Parameter nur, wenn Sie zugriff auf Ihren Schlüsseltresor auf eine Objekt-ID gewähren möchten, die sich auf eine delegierte Sicherheitsgruppe von einem anderen Azure-Mandanten bezieht.
Gibt die E-Mail-Adresse des Benutzers an, für den Berechtigungen erteilt werden sollen.
Diese E-Mail-Adresse muss im Verzeichnis vorhanden sein, das dem aktuellen Abonnement zugeordnet ist und eindeutig sein muss.
Ermöglicht es dem Microsoft.Compute-Ressourcenanbieter, geheime Schlüssel aus diesem Schlüsseltresor abzurufen, wenn in der Ressourcenerstellung auf diesen Schlüsseltresor verwiesen wird, z. B. beim Erstellen eines virtuellen Computers.
Ermöglicht Azure Resource Manager, geheime Schlüssel aus diesem Schlüsseltresor abzurufen, wenn auf diesen Schlüsseltresor in einer Vorlagenbereitstellung verwiesen wird.
Gibt die Objekt-ID des Benutzer- oder Dienstprinzipals in der Microsoft Entra-ID an, für die Berechtigungen erteilt werden sollen. Der Wert befindet sich im Format der GUID.
Gibt ein Array von Zertifikatberechtigungen an, die einem Benutzer oder Dienstprinzipal gewährt werden sollen.
"Alle" erteilen alle Berechtigungen mit Ausnahme von "Löschen" Die zulässigen Werte für diesen Parameter:
Gibt ein Array von Schlüsseloperationsberechtigungen an, die einem Benutzer oder Dienstprinzipal gewährt werden sollen.
"Alle" erteilen alle Berechtigungen mit Ausnahme von "Löschen" Die zulässigen Werte für diesen Parameter:
Gibt ein Array von Berechtigungen für geheime Vorgänge an, die einem Benutzer oder Dienstprinzipal gewährt werden sollen.
"Alle" erteilen alle Berechtigungen mit Ausnahme von "Löschen" Die zulässigen Werte für diesen Parameter:
Gibt verwaltetes Speicherkonto und SaS-Definition-Vorgangsberechtigungen an, die einem Benutzer oder Dienstprinzipal gewährt werden sollen.
"Alle" erteilen alle Berechtigungen mit Ausnahme von "Löschen" Die zulässigen Werte für diesen Parameter:
Gibt den Dienstprinzipalnamen der Anwendung an, für die Berechtigungen erteilt werden sollen.
Geben Sie die Anwendungs-ID an, die auch als Client-ID bezeichnet wird, die für die Anwendung in der Microsoft Entra-ID registriert ist. Die Anwendung mit dem Dienstprinzipalnamen, den dieser Parameter angibt, muss im Azure-Verzeichnis registriert werden, das Ihr aktuelles Abonnement enthält.
Die ID des Abonnements.
Standardmäßig werden Cmdlets im Abonnement ausgeführt, das im aktuellen Kontext festgelegt ist. Wenn der Benutzer ein anderes Abonnement angibt, wird das aktuelle Cmdlet im vom Benutzer angegebenen Abonnement ausgeführt.
Das Überschreiben von Abonnements wird nur während des Lebenszyklus des aktuellen Cmdlets wirksam. Sie ändert das Abonnement nicht im Kontext und wirkt sich nicht auf nachfolgende Cmdlets aus.
Gibt den Benutzerprinzipalnamen des Benutzers an, dem Berechtigungen erteilt werden sollen.
Dieser Benutzerprinzipalname muss im Verzeichnis vorhanden sein, das dem aktuellen Abonnement zugeordnet ist.
Dieses Cmdlet unterstützt die allgemeinen Parameter -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction und -WarningVariable. Weitere Informationen findest du unter about_CommonParameters.
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
