Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ฉันจะกำหนดค่านโยบายการเข้าถึงสำหรับตัวตนที่มีการจัดการใน Azure Key Vault ได้อย่างไร


ฉันจะกำหนดค่านโยบายการเข้าถึงสำหรับตัวตนที่มีการจัดการใน Azure Key Vault ได้อย่างไร


การกำหนดค่านโยบายการเข้าถึงสำหรับตัวตนที่มีการจัดการใน Azure Key Vault เกี่ยวข้องกับหลายขั้นตอน นี่คือคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการทำ:

1. เปิดใช้งานตัวตนที่มีการจัดการสำหรับบริการของคุณ:
- นำทางไปยังบริการ Azure ของคุณ (เช่นแอพฟังก์ชัน Azure แอพลอจิกหรือประตูหน้า Azure) ในพอร์ทัล Azure
- ไปที่ส่วนข้อมูลประจำตัวภายใต้การตั้งค่า
- เปลี่ยนสถานะเป็น ON เพื่อเปิดใช้งานตัวตนที่มีการจัดการ สิ่งนี้จะสร้างบริการหลักใน Azure Active Directory (AAD)

2. กำหนดสิทธิ์ให้กับข้อมูลประจำตัวที่ได้รับการจัดการ:
- สำหรับการควบคุมการเข้าถึงตามบทบาท (RBAC) นำทางไปยังคีย์ Vault ของคุณและเลือก Access Control (IAM)
- คลิก + เพิ่มและเลือกเพิ่มการกำหนดบทบาท
- เลือกบทบาทเช่น Key Vault Secrets User หรือ Key Vault Reader
- ภายใต้สมาชิกให้เลือกข้อมูลประจำตัวที่มีการจัดการจากนั้นเลือกข้อมูลประจำตัวที่คุณสร้างขึ้น

3. กำหนดค่านโยบายการเข้าถึงในคีย์นิรภัย:
- นำทางไปยังห้องนิรภัยคีย์ของคุณในพอร์ทัล Azure
- ภายใต้การตั้งค่าเลือกนโยบายการเข้าถึง
- คลิก + สร้างหรือเพิ่มนโยบายการเข้าถึง
- บนแท็บสิทธิ์เลือกสิทธิ์ที่จำเป็นสำหรับความลับคีย์และใบรับรอง (เช่นรับและแสดงรายการความลับ)
- On the Principal tab, search for and select the managed identity you created.
- ตรวจสอบและสร้างนโยบายการเข้าถึง

4. ยืนยันการกำหนดค่า:
- ตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวที่ได้รับการจัดการนั้นมีการระบุไว้อย่างถูกต้องภายใต้นโยบายการเข้าถึง
- ทดสอบแอปพลิเคชันหรือบริการของคุณเพื่อยืนยันว่าสามารถเข้าถึงทรัพยากรคีย์ Vault โดยใช้ข้อมูลประจำตัวที่ได้รับการจัดการ

การใช้ข้อมูลประจำตัวที่มีการจัดการพร้อมนโยบายการเข้าถึงช่วยให้การเข้าถึงคีย์ Vault ปลอดภัยโดยไม่ต้องจัดการข้อมูลรับรองโดยตรงในแอปพลิเคชันของคุณ [1] [3] [7]

การอ้างอิง:
[1] https://docs.azure.cn/en-us/key-vault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/elime-secrets-from-your-applications-with-azure-managed-identity
[3] https://www.serverlessnotes.com/docs/using-managed-system-identities-to-access-azure-kault-vault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-managed-identity-not-ada
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/Setting-um--microsoft-azure/step-8-Create-a-service-principal-for-the-the-the-the-the-the-theluster/add
[9] https://docs.azure.cn/en-us/api-Management/api-Management-howto-use-managed-service-identity
[10] https://stackoverflow.com/questions/68667029/azure-key-vault-access-policies-and-managed-identities-arm-templates