为Azure密钥库中的托管身份配置访问策略涉及多个步骤。这是有关如何做的分步指南:
1。为您的服务启用托管身份:
- 导航到Azure Portal中的Azure服务(例如Azure功能应用程序,逻辑应用程序或Azure前门)。
- 转到设置下的身份部分。
- 将状态打开以启用托管身份。这将在Azure Active Directory(AAD)中创建服务主体。
2。将权限分配给托管身份:
- 对于基于角色的访问控制(RBAC),请导航到您的钥匙库,然后选择“访问控制”(IAM)。
- 单击 +添加并选择添加角色分配。
- 选择一个角色,例如钥匙库秘密用户或钥匙库读取器。
- 在成员下,选择托管身份,然后选择您创建的托管身份。
3。在密钥库中配置访问策略:
- 导航到Azure门户中的钥匙库。
- 在设置下,选择访问策略。
- 单击 +创建或添加访问策略。
- 在“权限”选项卡上,选择秘密,密钥和证书的必要权限(例如,秘密获取和列表)。
- 在主体选项卡上,搜索并选择您创建的托管身份。
- 审查并创建访问策略。
4。验证配置:
- 确保在访问策略下正确列出了托管身份。
- 测试您的应用程序或服务以确认它可以使用托管身份访问密钥保险库资源。
通过访问策略使用托管身份有助于保护对密钥保险库的访问,而无需直接在应用程序中管理凭据[1] [3] [7]。
引用:
[1] https://docs.azure.cn/en-us/key-vault/general/Assign-Assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/eliminate-secrets-from-your-applications-with-azure-managed-nideity
[3] https://www.serverlessnotes.com/docs/using-managed-system-indentities-to-access-azure-key-vault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/Assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-key-with-with-managed-managed-indistity-not-授权
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-indistity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/setting-up-microsoft-azure/step-8--create-a-service-principal-for-the-cluster/add-an-access-policy-to-the-key-vault.html
[9] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-indistity
[10] https://stackoverflow.com/questions/68667029/azure-key-key-vault-access-policies-policies-and-managed-indistities-andies-arm-templates