„Azure Key Vault“ valdomų tapatybių prieigos politikos konfigūravimas apima kelis veiksmus. Čia yra žingsnis po žingsnio vadovas, kaip tai padaryti:
1. Įgalinkite valdomą jūsų paslaugos tapatybę:
- Eikite į savo „Azure“ paslaugą (pvz., „Azure“ funkcijos programą, loginę programą ar „Azure“ priekines duris) „Azure“ portale.
- Eikite į tapatybės skyrių skiltyje „Nustatymai“.
- Įjunkite būseną, kad įgalintumėte valdomą tapatybę. Tai sukurs paslaugų principą „Azure Active Directory“ (AAD).
2. Priskirkite leidimus valdomam tapatybei:
- Vaidmenims pagrįstai prieigos valdymui (RBAC) eikite į savo rakto skliautą ir pasirinkite Prieigos valdymas (IAM).
- Spustelėkite + Pridėti ir pasirinkite Pridėti vaidmens priskyrimą.
- Pasirinkite vaidmenį, pavyzdžiui, „Key Vault Secrets“ vartotojas arba „Key Vault Reader“.
- Pagal narius pasirinkite valdomą tapatybę, tada pasirinkite valdomą jūsų sukurtą tapatybę.
3. Konfigūruokite prieigos politiką pagrindiniame skliaute:
- Eikite į savo pagrindinį skliautą „Azure“ portale.
- Skiltyje „Nustatymai“ pasirinkite Prieigos politiką.
- Spustelėkite + Sukurti arba pridėti prieigos politiką.
- Skirtuke Leidimai pasirinkite reikalingus paslapčių, raktų ir sertifikatų leidimus (pvz., Gaukite ir pateikite paslapčių sąrašą).
- Pagrindiniame skirtuke ieškokite ir pasirinkite valdomą jūsų sukurtą tapatybę.
- Peržiūrėkite ir sukurkite prieigos politiką.
4. Patikrinkite konfigūraciją:
- Įsitikinkite, kad valdoma tapatybė teisingai išvardyta pagal prieigos politiką.
- Išbandykite savo paraišką ar paslaugą, kad patvirtintumėte, jog ji gali pasiekti pagrindinius skliautų išteklius naudodami valdomą tapatybę.
Naudojant valdomas tapatybes naudojant prieigos politiką, galite užsitikrinti prieigą prie pagrindinio skliauto, tiesiogiai valdant kredencialus tiesiogiai jūsų programose [1] [3] [7].
Citatos:
[1] https://docs.azure.cn/en-us/key-vault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/elimate-secrets-from-your-application-with-azure-managed-idtity
[3] https://www.serverlessnotes.com/docs/using-managed-system-entitity-to-access-azure-key-vault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-withageed-dentity-not-auuthories
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-dentity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/setting-up-microsoft-azure/step-8--create-a-service-principal-for-the-cluster/add-an-access-policy-to-the-key-vault.html
[9] https://docs.azure.cn/en-us/api-management/api-management-howto-use-shited-service-entity
[10] https://stackoverflow.com/questions/68667029/azure-key-voault-access-policies--