Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Key Vault gerencia o controle de acesso para certificados no nível do cofre de chaves. A política de controle de acesso para certificados é distinta das políticas de controle de acesso para chaves e segredos no mesmo cofre de chaves. Você pode criar um ou mais cofres para armazenar certificados, mantendo a segmentação e o gerenciamento de certificados adequados a cada cenário.
O acesso ao cofre de chaves é controlado por meio de duas interfaces: o plano de controle e o plano de dados. Ambos os planos usam a ID do Microsoft Entra para autenticação. Para autorização, você pode usar o RBAC (controle de acesso baseado em função) do Azure (recomendado) ou as políticas de acesso do Key Vault (herdado). Para obter mais informações sobre conceitos de autenticação e autorização, consulte Autenticação no Azure Key Vault.
Permissões de certificado
Utilize as seguintes permissões por entidade de segurança ao configurar o acesso a certificados. Essas permissões espelham de perto as operações permitidas em um objeto de certificado:
Permissões para operações de gerenciamento de certificados
- get: Obter a versão atual do certificado ou qualquer versão de um certificado
- lista: Listar os certificados atuais ou versões de um certificado
- atualização: atualizar um certificado
- create: Criar um certificado do Key Vault
- importar: Importar material de certificado em um certificado do Key Vault
- delete: Excluir um certificado, sua política e todas as suas versões
- recuperação: recuperar um certificado excluído
- backup: fazer backup de um certificado em um cofre de chaves
- restaurar: Restaurar um backup de certificado em um Key Vault
- managecontacts: gerenciar contatos de certificado do Key Vault
- manageissuers: Gerenciar autoridades de certificação ou emissores do Key Vault
- getissuers: Obter autoridades/emissores de um certificado
- listissuers: listar autoridades/emissores de um certificado
- setissuers: criar ou atualizar autoridades/emissores de um certificado do Key Vault
- deleteissuers: Excluir autoridades/emissores de um certificado do Key Vault
Permissões para operações com privilégio
- limpeza: limpar (excluir permanentemente) um certificado excluído
Para obter mais informações, consulte Operações de certificado na referência da API REST do Key Vault.
Conceder acesso a certificados
Você pode conceder acesso a certificados usando o RBAC do Azure (recomendado) ou políticas de acesso do Key Vault (herdado).
Usar o RBAC do Azure (recomendado)
O RBAC do Azure fornece gerenciamento de acesso centralizado e permite que você defina permissões em diferentes níveis de escopo. Para operações com certificados, utilize uma das seguintes funções integradas:
| Função | Description |
|---|---|
| Administrador do Key Vault | Execute todas as operações do plano de dados em um cofre de chaves e em todos os objetos nele contidos. |
| Responsável pelos Certificados do Key Vault | Execute qualquer ação nos certificados de um cofre de chaves, exceto gerenciando permissões. |
| Usuário do Certificado do Key Vault | Leia todo o conteúdo do certificado, incluindo parte secreta e chave. |
| Leitor do Key Vault | Lê metadados dos cofres de chaves e seus certificados, chaves e segredos. Não é possível ler valores confidenciais. |
Para obter detalhes sobre como atribuir funções, consulte Fornecer acesso a chaves, certificados e segredos do Key Vault com o controle de acesso baseado em função do Azure.
Usar políticas de acesso (legado)
Para atribuir uma política de acesso, consulte Atribuir uma política de acesso do Key Vault. Para obter informações sobre como estabelecer permissões por meio da API REST, consulte Vaults - Política de Atualização de Acesso.
Troubleshoot
Você pode encontrar um erro devido à ausência de uma política de acesso ou atribuição de função. Por exemplo: Error type : Access denied or user is unauthorized to create certificate.
Para resolver esse erro:
- Se estiver usando o RBAC do Azure, verifique se o principal tem uma função com a
certificates/createpermissão (como Key Vault Certificates Officer). - Se estiver usando políticas de acesso, adicione a
certificates/createpermissão à política de acesso.
Para obter mais diretrizes de solução de problemas, consulte solução de problemas de acesso do Azure Key Vault.