Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Key Vault zarządza kontrolą dostępu dla certyfikatów na poziomie magazynu kluczy. Zasady kontroli dostępu dla certyfikatów różnią się od zasad kontroli dostępu dla kluczy i sekretów w tym samym magazynie kluczy. Można utworzyć jeden lub więcej magazynów do przechowywania certyfikatów, aby zachować segmentację odpowiednią dla scenariusza i zarządzanie certyfikatami.
Dostęp do magazynu kluczy jest kontrolowany za pomocą dwóch interfejsów: płaszczyzny sterowania i płaszczyzny danych. Obie płaszczyzny używają identyfikatora Entra firmy Microsoft do uwierzytelniania. W przypadku autoryzacji można użyć kontroli dostępu opartej na rolach platformy Azure (zalecanej) lub zasad dostępu usługi Key Vault (starsza wersja). Aby uzyskać więcej informacji na temat pojęć związanych z uwierzytelnianiem i autoryzacją, zobacz Uwierzytelnianie w usłudze Azure Key Vault.
Uprawnienia certyfikatu
Podczas konfigurowania certyfikatów używaj następujących uprawnień dla poszczególnych podmiotów. Te uprawnienia ściśle odzwierciedlają operacje dozwolone w obiekcie certyfikatu:
Uprawnienia do operacji zarządzania certyfikatami
- get: Pobierz bieżącą wersję certyfikatu lub dowolną wersję certyfikatu
- lista: Wyświetlanie listy bieżących certyfikatów lub wersji certyfikatu
- update: Aktualizowanie certyfikatu
- create: Tworzenie certyfikatu usługi Key Vault
- import: Importowanie materiału certyfikatu do certyfikatu Key Vault
- delete: Usuwanie certyfikatu, jego zasad i wszystkich jego wersji
- odzyskiwanie: Odzyskiwanie usuniętego certyfikatu
- kopia zapasowa: Utwórz kopię certyfikatu w magazynie kluczy
- przywróć: Przywróć zapisany certyfikat do magazynu kluczy
- managecontacts: Zarządzanie kontaktami certyfikatów usługi Key Vault
- manageissuers: Zarządzanie urzędami certyfikacji/wystawcami usługi Key Vault
- getissuers: Pobierz organy/wystawców certyfikatu
- listissuers: Wyświetlanie listy urzędów/wystawców certyfikatu
- setissuers: tworzenie lub aktualizowanie urzędów/wystawców certyfikatu usługi Key Vault
- deleteissuers: Usuwanie urzędów/wystawców certyfikatu usługi Key Vault
Uprawnienia do operacji uprzywilejowanych
- przeczyszczanie: Przeczyszczanie (trwałe usuwanie) usuniętego certyfikatu
Aby uzyskać więcej informacji, zobacz Operacje certyfikatów w dokumentacji interfejsu API REST usługi Key Vault.
Udzielanie dostępu do certyfikatów
Dostęp do certyfikatów można udzielić przy użyciu kontroli dostępu opartej na rolach (Role-Based Access Control) w usłudze Azure (zalecane) lub zasad dostępu w usłudze Key Vault (starsza wersja).
Zalecane jest korzystanie z kontroli dostępu opartej na rolach w Azure.
Kontrola dostępu oparta na rolach platformy Azure zapewnia centralne zarządzanie dostępem i umożliwia ustawianie uprawnień na różnych poziomach hierarchii. W przypadku operacji certyfikatów użyj jednej z następujących wbudowanych ról:
| Role | Description |
|---|---|
| Key Vault Administrator | Wykonaj wszystkie operacje warstwy danych w magazynie kluczy i w wszystkich w nim obiektach. |
| Oficer certyfikatów usługi Key Vault | Wykonaj dowolne akcje dotyczące certyfikatów magazynu kluczy, z wyjątkiem zarządzania uprawnieniami. |
| Użytkownik certyfikatu usługi Key Vault | Odczytywanie całej zawartości certyfikatu, w tym części tajnej i klucza. |
| Czytelnik Key Vault | Odczytywanie metadanych magazynów kluczy oraz ich certyfikatów, kluczy i tajemnic. Nie można odczytać wartości poufnych. |
Aby uzyskać szczegółowe informacje na temat przypisywania ról, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault przy użyciu kontroli dostępu opartej na rolach platformy Azure.
Korzystanie z zasad dostępu (starsza wersja)
Aby przypisać zasady dostępu, zobacz Przypisywanie zasad dostępu usługi Key Vault. Aby uzyskać informacje na temat ustanawiania uprawnień przez interfejs API REST, zobacz Repozytoria — aktualizowanie zasad dostępu.
Troubleshoot
Może zostać wyświetlony błąd spowodowany brakującymi zasadami dostępu lub przypisaniem roli. Na przykład: Error type : Access denied or user is unauthorized to create certificate.
Aby rozwiązać ten błąd:
- Jeśli używasz kontroli dostępu opartej na rolach platformy Azure, sprawdź, czy podmiot główny ma rolę z
certificates/createuprawnieniami (takimi jak Key Vault Certificates Officer). - W przypadku korzystania z zasad dostępu, dodaj uprawnienie
certificates/createdo polityki dostępu.
Aby uzyskać więcej wskazówek dotyczących rozwiązywania problemów, zobacz Rozwiązywanie problemów z dostępem do usługi Azure Key Vault.
Dalsze kroki
- Uwierzytelnianie w usłudze Azure Key Vault
- Zapewnienie dostępu do kluczy, certyfikatów i sekretów w usłudze Key Vault za pomocą Azure RBAC
- Przypisywanie zasad dostępu do usługi Key Vault
- Bezpieczny dostęp do skarbca kluczy
- Informacje o usłudze Key Vault
- O kluczach, tajemnicach i certyfikatach
- Przewodnik dewelopera usługi Key Vault