Konfigurowanie zasad dostępu dla tożsamości zarządzanych w Key Key Vault obejmuje kilka kroków. Oto przewodnik krok po kroku, jak to zrobić:
1. Włącz zarządzaną tożsamość dla swojej usługi:
- Przejdź do swojej usługi Azure (np. Aplikacja Funkcji Azure, aplikacja logiczna lub drzwiowe drzwi Azure) w portalu Azure.
- Przejdź do sekcji tożsamości w ramach ustawień.
- Zwróć status, aby umożliwić tożsamość zarządzaną. Stworzy to główną serwis w Azure Active Directory (AAD).
2. Przypisz uprawnienia do zarządzanej tożsamości:
- W przypadku kontroli dostępu opartego na ról (RBAC) przejdź do sklepienia kluczowego i wybierz kontrolę dostępu (IAM).
- Kliknij + Dodaj i wybierz Dodaj przypisanie ról.
- Wybierz rolę, taką jak kluczowe sekrety sklepienia Użytkownika lub czytnika Kluczowego Kluczowego.
- W ramach członków wybierz zarządzaną tożsamość, a następnie wybierz utworzoną tożsamość zarządzaną.
3. Skonfiguruj zasady dostępu w Key Vault:
- Przejdź do kluczowego sklepienia w portalu Azure.
- Zgodnie z ustawieniami wybierz zasady dostępu.
- Kliknij + Utwórz lub dodaj zasady dostępu.
- Na karcie uprawnienia wybierz niezbędne uprawnienia do tajemnic, kluczy i certyfikatów (np. Pobierz i list dla tajemnic).
- Na karcie głównej wyszukaj i wybierz utworzoną tożsamość zarządzaną.
- Przejrzyj i utwórz zasady dostępu.
4. Sprawdź konfigurację:
- Upewnij się, że tożsamość zarządzana jest poprawnie wymieniona zgodnie z zasadami dostępu.
- Przetestuj aplikację lub usługę, aby potwierdzić, że może uzyskać dostęp do kluczowych zasobów sklepienia za pomocą zarządzanej tożsamości.
Korzystanie z zarządzanych tożsamości z zasadami dostępu pomaga zapewnić dostęp do kluczowego sklepienia bez zarządzania poświadczeń bezpośrednio w aplikacjach [1] [3] [7].
Cytaty:
[1] https://docs.azure.cn/en-us/key-vault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/eliminate-secrets-from-your-applications-with-azure-anaged-identity
[3] https://www.serverlessnotes.com/docs/using-ananaged-system-identities-to-ccess-azure-key-vault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-managed-identity-not-authorised
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/setting-plicrosoft-azure/step-8-- Create-a-Service-principal-For-the-cluster/add-an-access-policy-to-key-vault.html
[9] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-identity
[10] https://stackoverflow.com/questions/68667029/azure-key-vault-access-polities-and-ananaged-identities-arm-mplates