Polecenie cmdlet Set-AzKeyVaultAccessPolicy przyznaje lub modyfikuje istniejące uprawnienia dla użytkownika, aplikacji lub grupy zabezpieczeń w celu wykonania określonych operacji z magazynem kluczy. Nie modyfikuje uprawnień, które mają inni użytkownicy, aplikacje lub grupy zabezpieczeń w magazynie kluczy.
Jeśli ustawiasz uprawnienia dla grupy zabezpieczeń, ta operacja ma wpływ tylko na użytkowników w tej grupie zabezpieczeń.
Wszystkie następujące katalogi muszą być tym samym katalogem platformy Azure:
Domyślny katalog subskrypcji platformy Azure, w którym znajduje się magazyn kluczy.
Katalog platformy Azure zawierający grupę użytkowników lub aplikacji, do której udzielasz uprawnień.
Przykłady scenariuszy, w których te warunki nie są spełnione, a to polecenie cmdlet nie będzie działać:
Autoryzowanie użytkownika z innej organizacji w celu zarządzania magazynem kluczy.
Każda organizacja ma własny katalog.
Twoje konto platformy Azure ma wiele katalogów.
Jeśli zarejestrujesz aplikację w katalogu innym niż katalog domyślny, nie możesz autoryzować tej aplikacji do korzystania z magazynu kluczy.
Aplikacja musi znajdować się w katalogu domyślnym.
Należy pamiętać, że chociaż określenie grupy zasobów jest opcjonalne dla tego polecenia cmdlet, należy to zrobić, aby uzyskać lepszą wydajność.
Polecenie cmdlet może wywołać poniższy interfejs API programu Microsoft Graph zgodnie z parametrami wejściowymi:
GET /directoryObjects/{id}
GET /users/{id}
GET /users
GET /servicePrincipals/{id}
GET /servicePrincipals
GET /groups/{id}
Uwaga / Notatka
W przypadku używania jednostki usługi do udzielania uprawnień zasad dostępu należy użyć parametru -BypassObjectIdValidation .
Przykłady
Przykład 1: Udzielanie uprawnień użytkownikowi dla magazynu kluczy i modyfikowanie uprawnień
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToKeys create,import,delete,list -PermissionsToSecrets set,delete -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys : create, import, delete, list
Permissions to Secrets : set, delete
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToSecrets set,delete,get -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys : create, import, delete, list
Permissions to Secrets : set, delete, get
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToKeys @() -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys :
Permissions to Secrets : set, delete, get
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Pierwsze polecenie udziela uprawnień użytkownikowi w identyfikatorze Entra firmy Microsoft, PattiFuller@contoso.com, w celu wykonywania operacji na kluczach i wpisach tajnych z magazynem kluczy o nazwie Contoso03Vault. Parametr PassThru powoduje zwrócenie zaktualizowanego obiektu przez polecenie cmdlet.
Drugie polecenie modyfikuje uprawnienia, które zostały przyznane PattiFuller@contoso.com w pierwszym poleceniu, aby teraz umożliwić uzyskiwanie wpisów tajnych oprócz ustawiania i usuwania ich. Uprawnienia do operacji kluczy pozostają niezmienione po tym poleceniu.
Ostatnie polecenie dodatkowo modyfikuje istniejące uprawnienia, PattiFuller@contoso.com aby usunąć wszystkie uprawnienia do operacji kluczy. Uprawnienia do operacji wpisów tajnych pozostają niezmienione po tym poleceniu.
Przykład 2. Udzielanie uprawnień dla jednostki usługi aplikacji w celu odczytywania i zapisywania wpisów tajnych
To polecenie przyznaje uprawnienia aplikacji dla magazynu kluczy o nazwie Contoso03Vault.
Parametr ServicePrincipalName określa aplikację. Aplikacja musi być zarejestrowana w identyfikatorze Entra firmy Microsoft. Wartość parametru ServicePrincipalName musi być nazwą główną usługi aplikacji lub identyfikatorem GUID identyfikatora aplikacji.
W tym przykładzie określa nazwę http://payroll.contoso.comgłówną usługi , a polecenie przyznaje aplikacji uprawnienia do odczytu i zapisu wpisów tajnych.
Przykład 3. Udzielanie uprawnień dla aplikacji przy użyciu identyfikatora obiektu
To polecenie przyznaje aplikacji uprawnienia do odczytu i zapisu wpisów tajnych.
W tym przykładzie określa aplikację przy użyciu identyfikatora obiektu jednostki usługi aplikacji.
Przykład 4. Udzielanie uprawnień dla głównej nazwy użytkownika
To polecenie umożliwia uzyskanie, wyświetlenie listy i ustawienie uprawnień dla określonej głównej nazwy użytkownika w celu uzyskania dostępu do wpisów tajnych.
Przykład 5. Włączanie pobierania wpisów tajnych z magazynu kluczy przez dostawcę zasobów Microsoft.Compute
To polecenie przyznaje uprawnienia do pobierania wpisów tajnych z magazynu kluczy Contoso03Vault przez dostawcę zasobów Microsoft.Compute.
Przykład 6. Udzielanie uprawnień grupie zabezpieczeń
Get-AzADGroup
Set-AzKeyVaultAccessPolicy -VaultName 'myownvault' -ObjectId (Get-AzADGroup -SearchString 'group2')[0].Id -PermissionsToKeys get, set -PermissionsToSecrets get, set
Pierwsze polecenie używa polecenia cmdlet Get-AzADGroup, aby pobrać wszystkie grupy usługi Active Directory. W danych wyjściowych zobaczysz 3 zwrócone grupy o nazwie group1, group2 i group3. Wiele grup może mieć taką samą nazwę, ale zawsze ma unikatowy identyfikator ObjectId. Gdy zwracana jest więcej niż jedna grupa o tej samej nazwie, użyj identyfikatora ObjectId w danych wyjściowych, aby zidentyfikować grupę, której chcesz użyć.
Następnie użyjesz danych wyjściowych tego polecenia z Set-AzKeyVaultAccessPolicy, aby udzielić uprawnień grupie group2 dla magazynu kluczy o nazwie myownvault. W tym przykładzie wyliczane są grupy o nazwie "group2" w tym samym wierszu polecenia.
Na zwracanej liście może znajdować się wiele grup o nazwie "group2".
Ten przykład wybiera pierwszy, wskazywany przez indeks [0] na zwracanej liście.
Przykład 7. Udzielanie usłudze Azure Information Protection dostępu do klucza dzierżawy zarządzanego przez klienta (BYOK)
To polecenie autoryzuje usługę Azure Information Protection do używania klucza zarządzanego przez klienta (scenariusz bring your own key lub "BYOK") jako klucza dzierżawy usługi Azure Information Protection.
Po uruchomieniu tego polecenia określ własną nazwę magazynu kluczy, ale musisz określić parametr ServicePrincipalName i określić uprawnienia w przykładzie.
Umożliwia określenie identyfikatora obiektu bez sprawdzania poprawności, czy obiekt istnieje w identyfikatorze Entra firmy Microsoft.
Użyj tego parametru tylko wtedy, gdy chcesz udzielić dostępu do magazynu kluczy do identyfikatora obiektu, który odwołuje się do delegowanej grupy zabezpieczeń z innej dzierżawy platformy Azure.
Określa adres e-mail użytkownika, któremu chcesz udzielić uprawnień.
Ten adres e-mail musi istnieć w katalogu skojarzonym z bieżącą subskrypcją i być unikatowy.
Umożliwia dostawcy zasobów Microsoft.Compute pobieranie wpisów tajnych z tego magazynu kluczy podczas odwołowania się do tego magazynu kluczy podczas tworzenia zasobów, na przykład podczas tworzenia maszyny wirtualnej.
Umożliwia usłudze Azure Resource Manager pobieranie wpisów tajnych z tego magazynu kluczy podczas odwołowania się do tego magazynu kluczy we wdrożeniu szablonu.
Określa identyfikator obiektu użytkownika lub jednostki usługi w identyfikatorze Entra firmy Microsoft, dla którego mają być przyznane uprawnienia. Jego wartość jest w formacie GUID.
Określa tablicę uprawnień certyfikatu do udzielenia użytkownikowi lub jednostce usługi.
Opcja "Wszystkie" przyzna wszystkie uprawnienia z wyjątkiem "Przeczyszczanie" Dopuszczalne wartości dla tego parametru:
Określa tablicę uprawnień operacji klucza w celu udzielenia użytkownikowi lub jednostce usługi.
Opcja "Wszystkie" przyzna wszystkie uprawnienia z wyjątkiem "Przeczyszczanie" Dopuszczalne wartości dla tego parametru:
Określa tablicę uprawnień operacji wpisu tajnego w celu udzielenia użytkownikowi lub jednostce usługi.
Opcja "Wszystkie" przyzna wszystkie uprawnienia z wyjątkiem "Przeczyszczanie" Dopuszczalne wartości dla tego parametru:
Określa zarządzane konto magazynu i uprawnienia operacji saS-definition, aby przyznać użytkownikowi lub jednostce usługi.
Opcja "Wszystkie" przyzna wszystkie uprawnienia z wyjątkiem "Przeczyszczanie" Dopuszczalne wartości dla tego parametru:
Określa nazwę główną usługi aplikacji, do której mają być przyznane uprawnienia.
Określ identyfikator aplikacji, znany również jako identyfikator klienta zarejestrowany dla aplikacji w identyfikatorze Entra firmy Microsoft. Aplikacja o nazwie głównej usługi, którą określa ten parametr, musi być zarejestrowana w katalogu platformy Azure, który zawiera bieżącą subskrypcję.
Identyfikator subskrypcji.
Domyślnie polecenia cmdlet są wykonywane w subskrypcji ustawionej w bieżącym kontekście. Jeśli użytkownik określi inną subskrypcję, bieżące polecenie cmdlet zostanie wykonane w subskrypcji określonej przez użytkownika.
Zastępowanie subskrypcji ma zastosowanie tylko w cyklu życia bieżącego polecenia cmdlet. Nie zmienia subskrypcji w kontekście i nie ma wpływu na kolejne polecenia cmdlet.
Określa główną nazwę użytkownika, któremu należy udzielić uprawnień.
Ta główna nazwa użytkownika musi istnieć w katalogu skojarzonym z bieżącą subskrypcją.
To polecenie cmdlet obsługuje typowe parametry: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction i -WarningVariable. Aby uzyskać więcej informacji, zobacz about_CommonParameters.
Źródło tej treści można znaleźć na GitHubie, gdzie można także tworzyć i przeglądać problemy oraz pull requesty. Więcej informacji znajdziesz w naszym przewodniku dla współautorów.
