Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Perguntas frequentes
Não consigo listar nem obter segredos/chaves/certificado. Estou vendo um erro de "algo deu errado"
Se você estiver tendo problemas com a listagem/obtenção/criação ou o acesso ao segredo, verifique se você tem a política de acesso definida para fazer essa operação: Políticas de Acesso do Key Vault
Como identificar como e quando os cofres de chaves são acessados?
Depois de criar um ou mais cofres de chaves, você provavelmente desejará monitorar como e quando seus cofres de chaves são acessados e por quem. Você pode fazer o monitoramento habilitando o registro em log para o Azure Key Vault, para obter um guia passo a passo para habilitar o registro em log, leia mais.
Como posso monitorar a disponibilidade do cofre, os períodos de latência do serviço ou outras métricas de desempenho do cofre de chaves?
Conforme você começar a escalar o serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Essa demanda tem um potencial para aumentar a latência de suas solicitações e, em casos extremos, fazer com que suas solicitações sejam limitadas, o que prejudicará o desempenho do serviço. Você pode monitorar as métricas de desempenho do cofre de chaves e receber alertas relacionados a limites específicos. Para ver um guia passo a passo de como configurar o monitoramento, leia mais.
Não consigo modificar a política de acesso, como ela pode ser habilitada?
O usuário precisa ter permissões suficientes do Microsoft Entra para modificar a política de acesso. Nesse caso, o usuário precisaria ter uma função de colaborador mais alta.
Estou vendo o erro "Política Desconhecida". O que isso significa?
Há dois motivos pelos quais você pode ver uma política de acesso na seção Desconhecido:
- Um usuário anterior tinha acesso, mas esse usuário não existe mais.
- A política de acesso foi adicionada por meio do PowerShell, usando o objectid do aplicativo, em vez da entidade de serviço.
Como posso atribuir o controle de acesso por objeto do cofre de chaves?
A atribuição de funções em chaves, segredos e certificados individuais deve ser evitada. Exceções às diretrizes gerais:
Cenários em que segredos individuais devem ser compartilhados entre vários aplicativos, por exemplo, um aplicativo precisa acessar dados do outro aplicativo
Como fornecer a autenticação do cofre de chaves usando a política de controle de acesso?
A maneira mais simples de autenticar um aplicativo baseado em nuvem no Key Vault é com uma identidade gerenciada; consulte Autenticar no Azure Key Vault para obter detalhes. Caso você esteja criando um aplicativo local, fazendo o desenvolvimento local ou, de outro modo, não possa usar uma identidade gerenciada, registre uma entidade de serviço manualmente e forneça acesso ao cofre de chaves usando uma política de controle de acesso. Consulte Atribuir uma política de controle de acesso.
Como conceder ao grupo do AD acesso ao cofre de chaves?
Conceda ao grupo do AD permissões para o cofre de chaves usando o comando az keyvault set-policy da CLI do Azure ou o cmdlet Set-AzKeyVaultAccessPolicy do Azure PowerShell. Consulte Atribuir uma política de acesso – CLI e Atribuir uma política de acesso – PowerShell.
O aplicativo também precisa de pelo menos uma função de IAM (Gerenciamento de Identidades e Acesso) atribuída ao cofre de chaves. Caso contrário, ele não poderá fazer logon e falhará ao acessar a assinatura, devido a direitos insuficientes. Os grupos do Microsoft Entra com Identidades Gerenciadas podem exigir muitas horas para atualizar tokens e se tornarem ativos. Consulte Limitação do uso de identidades gerenciadas para autorização
Como posso reimplantar o Key Vault com o modelo do ARM sem excluir as políticas de acesso existentes?
Atualmente, a reimplantação do Key Vault exclui as políticas de acesso no Key Vault e as substitui pela política de acesso no modelo do ARM. Não há nenhuma opção incremental para políticas de acesso do Key Vault. Para preservar as políticas de acesso no Key Vault, você precisa ler as políticas de acesso existentes no Key Vault e preencher o modelo do ARM com essas políticas para evitar interrupções de acesso.
Outra opção que pode ajudar nesse cenário é usar o RBAC do Azure e as funções como alternativa para acessar políticas. Com o RBAC do Azure, você pode reimplantar o cofre de chaves sem especificar a política novamente. Você pode ler mais esta solução aqui.
Etapas de solução de problemas recomendadas para os seguintes tipos de erro
- HTTP 401: Solicitação não autenticada – Etapas de solução de problemas
- HTTP 403: Permissões insuficientes – etapas de solução de problemas
- HTTP 429: Muitas solicitações – etapas de solução de problemas
- Verifique se você excluiu a permissão de acesso ao cofre de chaves: Consulte Atribuir uma política de acesso – CLI, Atribuir uma política de acesso – PowerShell ou Atribuir uma política de acesso – Portal.
- Se você tiver problemas com a autenticação no cofre de chaves no código, use SDK de autenticação
Quais são as melhores práticas que devo implementar quando o cofre de chaves estiver sendo limitado?
Siga as práticas recomendadas, documentadas aqui
Próximas etapas
Saiba como solucionar problemas de erros de autenticação do cofre de chaves: Guia de solução de problemas do Key Vault.