常見問題
我無法列出或取得秘密/金鑰/憑證。 我看到「發生問題」錯誤
如果您在列出/取得/建立或存取秘密時遇到問題,請確定您已定義存取原則來執行該作業: Key Vault 存取原則
如何識別如何及何時存取密鑰保存庫?
建立一或多個金鑰保存庫之後,您可能會想要監視金鑰保存庫的存取方式和時間,以及存取者。 若要監視,您可以啟用 Azure Key Vault 的記錄功能,請在此深入了解啟用記錄功能的逐步指南。
如何監視金鑰保存庫的保存庫可用性、服務延遲期間或其他效能計量?
當您開始調整服務規模時,傳送至金鑰保存庫的要求數目將會增加。 這類需求可能會增加要求的延遲,而且在極端情況下,會導致您的要求受到節流,進而降低服務的效能。 您可以監視金鑰保存庫效能計量,並取得特定閾值的警示,請在此深入了解設定監視功能的逐步指南。
我無法修改存取原則,如何啟用?
用戶必須有足夠的Microsoft Entra 許可權才能修改存取原則。 在此情況下,用戶必須具有較高的參與者角色。
我看到「未知的原則」錯誤。 這是什麼意思?
您可能會在 [未知] 區段中看到存取原則的原因有兩個:
- 先前的使用者具有存取權,但該使用者已不存在。
- 存取原則是透過 PowerShell 新增,使用應用程式 objectid 而非服務主体。
如何為每個金鑰保存庫物件指派存取控制?
應避免在個別金鑰、祕密和憑證上指派角色。 一般指引的例外狀況:
在多個應用程式之間必須共用個別秘密的案例,例如,一個應用程式需要從另一個應用程式存取數據
如何使用訪問控制原則提供金鑰保存庫驗證?
向 Key Vault 驗證雲端式應用程式最簡單的方式是使用受控識別;如需詳細資訊,請參閱 向 Azure Key Vault 進行驗證 。 如果您要建立內部部署應用程式、執行本機開發,或無法使用受控識別,您可以改為手動註冊服務主體,並使用訪問控制原則來提供密鑰保存庫的存取權。 請參閱 指派訪問控制原則。
如何為AD群組提供金鑰保存庫的存取權?
使用 Azure CLI az keyvault set-policy 命令或 Azure PowerShell Set-AzKeyVaultAccessPolicy Cmdlet 為密鑰保存庫授與 AD 群組許可權。 請參閱 指派存取原則 - CLI 和 指派存取原則 - PowerShell。
應用程式也需要至少一個指派給金鑰保存庫的身分識別和存取權管理 (IAM) 角色。 否則,應用程式將無法登入,且將會因為沒有足夠的權限可存取訂用帳戶而失敗。 Microsoft Entra 群組(具有受控身份)可能需要數小時才能更新令牌以生效。 請參閱 使用受控識別進行授權的限制
如何使用 ARM 範本重新部署 Key Vault,而不刪除現有的存取原則?
目前 Key Vault 重新部署會刪除 Key Vault 中的任何存取原則,並將其取代為 ARM 範本中的存取原則。 Key Vault 存取原則沒有累加選項。 若要保留 Key Vault 中的存取原則,您必須讀取 Key Vault 中的現有存取原則,並使用這些原則填入 ARM 範本,以避免任何存取中斷。
另一個可協助此案例的選項是使用 Azure RBAC 和角色作為存取原則的替代方案。 使用 Azure RBAC,您可以重新部署金鑰保存庫,而不需再次指定原則。 您可以 在這裡閱讀更多此解決方案。
下列錯誤類型的建議疑難排解步驟
- HTTP 401:未經驗證的要求 - 疑難排解步驟 (部分內容可能是機器或 AI 翻譯)
- HTTP 403:許可權不足 - 疑難解答步驟
- HTTP 429:要求太多 - 疑難解答步驟
- 檢查您是否已刪除金鑰保存庫的訪問許可權:請參閱 指派存取原則 - CLI、 指派存取原則 - PowerShell 或 指派存取原則 - 入口網站。
- 如果您在透過程式碼向金鑰保存庫進行驗證時發生問題,請使用驗證 SDK
當金鑰保存庫受到節流處理時,我應該實作哪些最佳做法?
遵循此處記載的最佳做法
後續步驟
瞭解如何針對密鑰保存庫驗證錯誤進行疑難解答: Key Vault 疑難解答指南。