La configuración de las políticas de acceso para las identidades administradas en Azure Key Vault implica varios pasos. Aquí hay una guía paso a paso sobre cómo hacerlo:
1. Habilite la identidad administrada para su servicio:
- Navegue a su servicio Azure (por ejemplo, aplicación de función Azure, aplicación lógica o puerta principal de Azure) en el portal de Azure.
- Vaya a la sección de identidad en Configuración.
- Encienda el estado para habilitar la identidad administrada. Esto creará un principal de servicio en Azure Active Directory (AAD).
2. Asigne permisos a la identidad administrada:
- Para el control de acceso basado en roles (RBAC), navegue a su bóveda clave y seleccione el control de acceso (IAM).
- Haga clic en + Agregar y elija Agregar asignación de roles.
- Seleccione un papel como el usuario de los secretos de bóveda clave o el lector de bóveda clave.
- Bajo miembros, seleccione Identidad administrada, luego elija la identidad administrada que creó.
3. Configure las políticas de acceso en la bóveda clave:
- Navegue a su bóveda clave en el portal Azure.
- En Configuración, seleccione Políticas de acceso.
- Haga clic en + Crear o agregar Política de acceso.
- En la pestaña Permisos, seleccione los permisos necesarios para secretos, claves y certificados (por ejemplo, obtener y enumerar los secretos).
- En la pestaña Principal, busque y seleccione la identidad administrada que creó.
- Revise y cree la política de acceso.
4. Verifique la configuración:
- Asegúrese de que la identidad administrada se enumere correctamente bajo las políticas de acceso.
- Pruebe su aplicación o servicio para confirmar que puede acceder a los recursos clave de bóveda utilizando la identidad administrada.
El uso de identidades administradas con políticas de acceso ayuda a asegurar el acceso a la bóveda clave sin administrar las credenciales directamente en sus aplicaciones [1] [3] [7].
Citas:
[1] https://docs.azure.cn/en-us/key-vault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/eliminate-secrets-from-your-applications-with-azure-managed-identity
[3] https://www.serverlessnotes.com/docs/using-genered-system-identity-to-access-azure-key-vault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-managed-ididentity-not-authorized
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/setting-up-microsoft-azure/step-8-create-a-service-pre-for-the-cluster/add-an-acess-policy-poly-key-vault.html
[9] https://docs.azure.cn/en-us/api-management/api-management-howto-use-service-service-identity
[10] https://stackoverflow.com/questions/68667029/azure-key-vault-access-policies-and-managed-identies-arm-templates