Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Najczęściej zadawane pytania
Nie mogę wyświetlić listy lub pobrać wpisów tajnych/kluczy/certyfikatu. Widzę błąd "coś poszło nie tak"
Jeśli masz problem z wyświetlaniem/pobieraniem/tworzeniem lub dostępem do wpisu tajnego, upewnij się, że masz zdefiniowane zasady dostępu potrzebne do wykonania tej operacji: Zasady dostępu usługi Key Vault
Jak mogę określić, jak i kiedy uzyskuje się dostęp do magazynów kluczy?
Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Monitorowanie można wykonać, włączając rejestrowanie w usłudze Azure Key Vault, aby zapoznać się z przewodnikiem krok po kroku, aby włączyć rejestrowanie, przeczytaj więcej.
Jak monitorować dostępność magazynu, okresy opóźnienia usługi lub inne metryki wydajności magazynu kluczy?
Gdy zaczniesz skalować usługę, liczba żądań wysyłanych do magazynu kluczy wzrośnie. Takie zapotrzebowanie może zwiększyć opóźnienie żądań i w skrajnych przypadkach spowodować ograniczenie żądań, co obniży wydajność usługi. Możesz monitorować metryki wydajności magazynu kluczy i otrzymywać alerty dotyczące określonych progów, aby uzyskać szczegółowy przewodnik konfigurowania monitorowania, przeczytaj więcej.
Nie mogę zmodyfikować zasad dostępu, jak można je włączyć?
Użytkownik musi mieć wystarczające uprawnienia firmy Microsoft Entra, aby zmodyfikować zasady dostępu. W takim przypadku użytkownik musi mieć wyższą rolę współautora.
Widzę błąd "Nieznane zasady". Co to oznacza?
Istnieją dwa powody, dla których zasady dostępu mogą być widoczne w sekcji Nieznany:
- Poprzedni użytkownik miał dostęp, ale ten użytkownik już nie istnieje.
- Zasady dostępu zostały dodane za pomocą programu PowerShell przy użyciu identyfikatora ObjectId aplikacji zamiast głównej jednostki usługi.
Jak mogę przypisać kontrolę dostępu na obiekt magazynu kluczy?
Należy unikać przypisywania ról dla poszczególnych kluczy, wpisów tajnych i certyfikatów. Wyjątki od ogólnych wskazówek:
Scenariusze, w których poszczególne sekrety muszą być współużytkowane przez wiele aplikacji, na przykład jedna aplikacja musi uzyskiwać dostęp do danych z innej aplikacji.
Jak mogę uwierzytelnić dostęp do magazynu kluczy przy użyciu zasad kontroli dostępu?
Najprostszym sposobem uwierzytelniania aplikacji opartej na chmurze w usłudze Key Vault jest użycie tożsamości zarządzanej; Aby uzyskać szczegółowe informacje, zobacz Uwierzytelnianie w usłudze Azure Key Vault . Jeśli tworzysz aplikację lokalną, programujesz lokalnie lub w inny sposób nie możesz użyć tożsamości zarządzanej, możesz ręcznie zarejestrować jednostkę usługi i zapewnić dostęp do magazynu kluczy przy użyciu zasad kontroli dostępu. Zobacz Przypisywanie zasad kontroli dostępu.
Jak udzielić grupie AD dostępu do skarbca kluczy?
Nadaj grupie AD uprawnienia do magazynu kluczy przy użyciu polecenia Azure CLI az keyvault set-policy lub polecenia cmdlet Set-AzKeyVaultAccessPolicy programu Azure PowerShell. Zobacz Przypisywanie zasad dostępu — interfejs wiersza polecenia i Przypisywanie zasad dostępu — PowerShell.
Aplikacja musi mieć również przypisaną co najmniej jedną rolę zarządzania tożsamościami i dostępem (IAM) do zbioru kluczy. W przeciwnym razie nie będzie można się zalogować i wystąpi błąd z powodu niewystarczających uprawnień do dostępu do subskrypcji. Grupy Microsoft Entra z tożsamościami zarządzanymi mogą wymagać wielu godzin na odświeżenie tokenów i zyskanie pełnej efektywności. Zobacz Ograniczenie używania tożsamości zarządzanych do autoryzacji
Jak można ponownie wdrożyć usługę Key Vault przy użyciu szablonu usługi ARM bez usuwania istniejących zasad dostępu?
Obecnie ponowne wdrożenie usługi Key Vault usuwa wszystkie zasady dostępu w usłudze Key Vault i zastępuje je zasadami dostępu w szablonie usługi ARM. Nie ma opcji przyrostowej dla zasad dostępu usługi Key Vault. Aby zachować zasady dostępu w usłudze Key Vault, musisz odczytać istniejące zasady dostępu w usłudze Key Vault i wypełnić szablon usługi ARM tymi zasadami, aby uniknąć przestojów dostępu.
Inną opcją, która może pomóc w tym scenariuszu, jest użycie RBAC platformy Azure i jej roli jako alternatywy dla polityk dostępu. Dzięki Azure RBAC można ponownie wdrożyć magazyn kluczy bez ponownego określania polityki. Więcej informacji na ten temat można znaleźć tutaj.
Zalecane kroki rozwiązywania problemów dla następujących typów błędów
- HTTP 401: Żądanie nieuwierzytelnione — kroki rozwiązywania problemów
- HTTP 403: Niewystarczające uprawnienia — kroki rozwiązywania problemów
- HTTP 429: Zbyt wiele żądań — kroki rozwiązywania problemów
- Sprawdź, czy masz uprawnienie dostępu do magazynu kluczy: zobacz Przypisywanie zasad dostępu — interfejs wiersza polecenia, Przypisywanie zasad dostępu — Program PowerShell lub Przypisywanie zasad dostępu — Portal.
- Jeśli masz w kodzie problem z uwierzytelnianiem w magazynie kluczy, użyj zestawu SDK uwierzytelniania
Jakie są najlepsze rozwiązania, które należy zaimplementować, gdy magazyn kluczy jest ograniczany?
Postępuj zgodnie z najlepszymi rozwiązaniami opisanymi tutaj
Dalsze kroki
Dowiedz się, jak rozwiązywać problemy z błędami uwierzytelniania Key Vault: Przewodnik rozwiązywania problemów z Key Vault.