Controlo de acesso a certificados

O Key Vault gere o controlo de acesso para certificados no nível do Key Vault. A política de controlo de acesso para certificados é distinta das políticas de controlo de acesso para chaves e segredos no mesmo cofre de chaves. Pode criar um ou mais cofres para armazenar certificados, para manter a segmentação e gestão dos certificados apropriadas ao cenário.

O acesso a um cofre de chaves é controlado através de duas interfaces: o plano de controlo e o plano de dados. Ambos os planos usam o Microsoft Entra ID para autenticação. Para efeitos de autorização, pode usar controlo de acesso baseado em funções do Azure (Azure RBAC) (recomendado) ou políticas de acesso do Key Vault (herança). Para mais informações sobre conceitos de autenticação e autorização, consulte Autenticação no Azure Key Vault.

Permissões de certificados

Utilize as seguintes permissões por princípio ao configurar o acesso a certificados. Estas permissões espelham de perto as operações permitidas num objeto certificado:

• Permissões para operações de gestão de certificados

  • obtém: Obtenha a versão atual do certificado, ou qualquer versão de um certificado
  • lista: Lista dos certificados atuais, ou versões de um certificado
  • atualização: Atualizar um certificado
  • criar: Criar um certificado Key Vault
  • importar: Importar material de certificado para um certificado Key Vault
  • eliminar: Eliminar um certificado, a sua política e todas as suas versões
  • recuperar: Recuperar um certificado eliminado
  • Cópia de segurança: Fazer uma cópia de segurança de um certificado num cofre de chaves
  • restaurar: Restaurar um certificado com backup num cofre de chaves
  • managecontacts: Gerir contactos de certificados do Key Vault
  • gereemitores: Gerir autoridades certificadoras/emissores do Key Vault
  • getissuers: Obtenha as autoridades/emissores do certificado
  • listissuers: Listar as autoridades emissoras de um certificado
  • setissuers: Crie ou atualize as autoridades/emissores de um certificado Key Vault
  • deleteissuers: Eliminar as autoridades/emissores de um certificado Key Vault

• Permissões para operações privilegiadas

  • purgar: Purgar (eliminar permanentemente) um certificado eliminado

Para obter mais informações, consulte Operações de certificado na referência da API REST do Cofre de Chaves.

Conceder acesso a certificados

Pode conceder acesso a certificados usando Azure RBAC (recomendado) ou políticas de acesso Key Vault (legacy).

Usar o RBAC do Azure (recomendado)

O Azure RBAC fornece gestão centralizada de acessos e permite definir permissões em diferentes níveis de âmbito. Para operações de certificado, use uma das seguintes funções integradas:

Para detalhes sobre a atribuição de funções, consulte Fornecer acesso a chaves, certificados e segredos do Key Vault com controlo de acesso baseado em funções Azure.

Utilizar políticas de acesso (legadas)

Para definir uma política de acesso, consulte Definir uma política de acesso ao Cofre de Chaves. Para informações sobre como estabelecer permissões via API REST, consulte Vaults - Política de Acesso de Atualização.

Troubleshoot

Pode ver um erro devido à falta de política de acesso ou atribuição de funções. Por exemplo: Error type : Access denied or user is unauthorized to create certificate.

Para resolver este erro:

• Se estiver a usar Azure RBAC, verifique se o principal tem uma função com a permissão certificates/create (como Key Vault Certificates Officer).
• Se estiver a usar políticas de acesso, adicione a certificates/create permissão à política de acesso.

Para mais orientações sobre resolução de problemas, consulte Resolução de problemas de acesso ao Azure Key Vault.

Próximos passos

• Autenticação no Cofre da Chave do Azure
• Fornecer acesso às chaves, certificados e segredos do Key Vault com o Azure RBAC
• Atribuir uma política de acesso ao Key Vault
• Acesso seguro a um cofre de chaves
• Sobre o Key Vault
• Sobre chaves, segredos e certificados
• Guia do Programador do Key Vault