Konfigurace zásad přístupu pro spravované identity v klíčovém trezoru Azure zahrnuje několik kroků. Zde je průvodce krok za krokem, jak to udělat:
1. Povolte spravovanou identitu pro vaši službu:
- Přejděte do vaší služby Azure (např. Aplikace Azure Function, Logic App nebo Azure přední dveře) na portálu Azure.
- Přejděte do sekce identity v rámci nastavení.
- Otočte status na ON, abyste povolili spravovanou identitu. Tím se vytvoří ředitel služby v Azure Active Directory (AAD).
2. Přiřaďte oprávnění k spravované identitě:
- Pro kontrolu přístupu založeného na rolích (RBAC) přejděte na klíčový trezor a vyberte ovládání přístupu (IAM).
- Klikněte na + Přidat a vyberte Přidání přidání role.
- Vyberte roli, jako je Key Vault Secrets User nebo Key Vault Reader.
- Pod členy vyberte spravovanou identitu a poté vyberte spravovanou identitu, kterou jste vytvořili.
3. nakonfigurovat zásady přístupu v klíčovém trezoru:
- Přejděte k klíčovému trezoru na portálu Azure.
- V rámci nastavení vyberte zásady přístupu.
- Klikněte na + Vytvořit nebo přidat zásady přístupu.
- Na kartě Oprávnění vyberte nezbytná oprávnění pro tajemství, klíče a certifikáty (např. Získat a seznam pro tajemství).
- Na kartě Principal vyhledejte a vyberte spravovanou identitu, kterou jste vytvořili.
- Zkontrolujte a vytvořte zásady přístupu.
4. Ověřte konfiguraci:
- Ujistěte se, že spravovaná identita je správně uvedena v rámci zásad přístupu.
- Vyzkoušejte svou aplikaci nebo službu a potvrďte, že má přístup k zdrojům klíčových trezorů pomocí spravované identity.
Použití spravované identity s zásadami přístupu pomáhá zajistit přístup k klíčovým trezoru bez správy přihlašovacích údajů přímo ve vašich aplikacích [1] [3] [7].
Citace:
[1] https://docs.azure.cn/en-us/key-vault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/eliminate-secrets-from-your-applications-with-azure-managed-identity
[3] https://www.serverlessNotes.com/docs/using-anaged-system-identties-to-access-mazure-key-vault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-usis-vault-with-reaged --not-authorised
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/Advanced-lusters/Setting-up-microsoft/step-8-Create-a-service-principal-for-thet-cluster/add-an-access-policy-vault.html
[9] https://docs.azure.cn/en-us/api-management/api-management-use-use-aged-service-identity
[10] https://stackoverflow.com/questions/68667029/azure-key-vault-access-policies-and-aged-erm-arm-templates