Настройка политик доступа для управляемых идентификаторов в Vault Key Azure включает в себя несколько шагов. Вот пошаговое руководство о том, как это сделать:
1. Включите управляемую личность для вашего сервиса:
- Перейдите к своему сервису Azure (например, приложение Function, приложение Logic или входная дверь Azure) на портале Azure.
- Перейдите в раздел идентификации в разделе «Настройки».
- Поверните статус, чтобы включить управляемую личность. Это создаст принципал сервиса в Azure Active Directory (AAD).
2. Назначьте разрешения управляемой личности:
- Для контроля доступа на основе ролей (RBAC) перейдите к своему хранилищу ключа и выберите «Контроль доступа» (IAM).
- Нажмите + добавить и выберите «Добавить назначение роли».
- Выберите такую роль, как секреты клавиш, пользователь или чтение Vault.
- При участниках выберите «Управляемая личность», затем выберите созданную идентификацию, которую вы создали.
3. Настройте политики доступа в Key Vault:
- Перейдите к своему хранилищам на портале Azure.
- В разделе «Настройки» выберите Политики доступа.
- Нажмите + Создать или добавить политику доступа.
- На вкладке «Разрешения» выберите необходимые разрешения для секретов, ключей и сертификатов (например, получить и список для секретов).
- На вкладке «Принцип» найдите и выберите созданную идентификацию, которую вы создали.
- Просмотрите и создайте политику доступа.
4. Проверьте конфигурацию:
- Убедитесь, что управляемая личность правильно указана в соответствии с политиками доступа.
- Проверьте свое приложение или службу, чтобы подтвердить, что он может получить доступ к ресурсам Vault, используя управляемую личность.
Использование управляемых личностей с политикой доступа помогает обеспечить доступ к ключевым хранилищам без управления учетными данными непосредственно в ваших приложениях [1] [3] [7].
Цитаты:
[1] https://docs.azure.cn/en-us/key-wault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/eliminate-secrets-from-your-applications-with-azure-aderated-ederity
[3.]
[4] https://docs.azure.cn/en-us/key-wault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-wault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-wault-with- Managed-Edentity-нет
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-ideity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/setting-up-microsoft-azure/step-8-create-a-service-principal-for-try-cluster/add-an-access-policy-the-key-vault.html
[9] https://docs.azure.cn/en-us/api-management/api-management-howto-use- Managed-service-Edentity
[10] https://stackoverflow.com/questions/68667029/azure-key-wault-access-policies-and-derated-Edentities-arm-templates