Η διαμόρφωση των πολιτικών πρόσβασης για τις διαχειριζόμενες ταυτότητες στο Azure Key Vault περιλαμβάνει διάφορα βήματα. Ακολουθεί ένας οδηγός βήμα προς βήμα για το πώς να το κάνετε:
1. Ενεργοποιήστε τη διαχειριζόμενη ταυτότητα για την υπηρεσία σας:
- Πλοηγηθείτε στην υπηρεσία Azure (π.χ., Azure Function App, App Logic ή Azure Front Door) στην πύλη Azure.
- Μεταβείτε στο τμήμα ταυτότητας κάτω από τις ρυθμίσεις.
- Ενεργοποιήστε την κατάσταση για να ενεργοποιήσετε τη διαχειριζόμενη ταυτότητα. Αυτό θα δημιουργήσει ένα κύριο τμήμα της υπηρεσίας στο Azure Active Directory (AAD).
2. Αντιστοίχιση δικαιωμάτων στη διαχειριζόμενη ταυτότητα:
- Για τον έλεγχο πρόσβασης που βασίζεται σε ρόλους (RBAC), μεταβείτε στο βασικό σας Vault και επιλέξτε τον έλεγχο πρόσβασης (IAM).
- Κάντε κλικ στο + Προσθήκη και επιλέξτε Προσθήκη ανάθεσης ρόλων.
- Επιλέξτε έναν ρόλο όπως το Key Vault Secrets User ή το Key Vault Reader.
- Κάτω από τα μέλη, επιλέξτε Διαχειριζόμενη ταυτότητα και, στη συνέχεια, επιλέξτε τη διαχειριζόμενη ταυτότητα που δημιουργήσατε.
3. Διαμορφώστε τις πολιτικές πρόσβασης σε βασικό θησαυροφυλάκιο:
- Μεταβείτε στο βασικό σας θησαυροφυλάκιο στην πύλη Azure.
- Υπό τις ρυθμίσεις, επιλέξτε Πολιτικές Πρόσβασης.
- Κάντε κλικ στο + Δημιουργία ή προσθήκη πολιτικής πρόσβασης.
- Στην καρτέλα Δικαιώματα, επιλέξτε τα απαραίτητα δικαιώματα για μυστικά, κλειδιά και πιστοποιητικά (π.χ. Get and List for Secrets).
- Στην καρτέλα κύρια, αναζητήστε και επιλέξτε τη διαχειριζόμενη ταυτότητα που δημιουργήσατε.
- Αναθεώρηση και δημιουργία της πολιτικής πρόσβασης.
4. Επαληθεύστε τη διαμόρφωση:
- Βεβαιωθείτε ότι η διαχειριζόμενη ταυτότητα παρατίθεται σωστά σύμφωνα με τις πολιτικές πρόσβασης.
- Δοκιμάστε την εφαρμογή ή την υπηρεσία σας για να επιβεβαιώσετε ότι μπορεί να έχει πρόσβαση σε βασικούς πόρους θησαυρών χρησιμοποιώντας τη διαχειριζόμενη ταυτότητα.
Η χρήση διαχειριζόμενων ταυτοτήτων με πολιτικές πρόσβασης βοηθά στην εξασφάλιση της πρόσβασης σε βασικό θησαυροφυλάκιο χωρίς να διαχειρίζεστε τα διαπιστευτήρια απευθείας στις εφαρμογές σας [1] [3] [7].
Αναφορές:
[1] https://docs.azure.cn/en-us/key-vault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/eliminate-secrets-from-your-pplications-with-azure-managed-identity
[3] https://www.serverlessnotes.com/docs/using-managed-system-identities-to-access-azure-key-fault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-managed-identity-not-authorised
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/setting-pht.html
[9] https://docs.azure.cn/en-us/api-management/api-management-howto-use-ganage-service-identity
[10] https://stackoverflow.com/questions/68667029/azure-key-vault-access-policies-and-managed-identities-armplates