Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Domande frequenti
Non è possibile elencare o ottenere segreti/chiavi/certificato. Viene visualizzato un messaggio di errore "qualcosa è andato storto"
Se hai problemi con l'elenco, l'ottenimento, la creazione o l'accesso ai segreti, assicurati di aver definito i criteri di accesso per eseguire questa operazione: Key Vault Access Policies
Come posso identificare come e quando vengono acceduti i Key Vault?
Dopo aver creato uno o più insiemi di credenziali delle chiavi, è probabile che si voglia monitorare come, quando e da chi vengono usati. È possibile eseguire il monitoraggio abilitando la registrazione per Azure Key Vault, per una guida dettagliata all'abilitazione della registrazione, leggere altre informazioni.
Come si può monitorare la disponibilità, i periodi di latenza del servizio o altre metriche delle prestazioni per l'insieme di credenziali?
Quando si inizia a ridimensionare il servizio, il numero di richieste inviate al Key Vault aumenterà. Tale domanda può aumentare la latenza delle richieste e, in casi estremi, causa la limitazione delle richieste, con un peggioramento delle prestazioni del servizio. È possibile monitorare le metriche delle prestazioni dell'insieme di credenziali delle chiavi e ricevere avvisi per soglie specifiche. Per una guida dettagliata per configurare il monitoraggio, leggere altre informazioni.
Non è possibile modificare i criteri di accesso, come è possibile abilitarlo?
L'utente deve disporre di autorizzazioni di Microsoft Entra sufficienti per modificare i criteri di accesso. In questo caso, l'utente deve avere un ruolo di collaboratore superiore.
Viene visualizzato l'errore "Criteri sconosciuti". Cosa significa?
Esistono due motivi per cui è possibile visualizzare un criterio di accesso nella sezione Sconosciuto:
- Un utente precedente aveva accesso, ma tale utente non esiste più.
- Il criterio di accesso è stato aggiunto tramite PowerShell, usando l'objectid dell'applicazione anziché l'entità servizio.
In che modo è possibile assegnare il controllo di accesso per ogni oggetto dell'insieme di credenziali delle chiavi?
È consigliabile evitare l'assegnazione di ruoli su singole chiavi, segreti e certificati. Eccezioni alle indicazioni generali:
Scenari in cui i singoli segreti devono essere condivisi tra più applicazioni, ad esempio un'applicazione deve accedere ai dati dall'altra applicazione
Come posso fornire l'autenticazione del key vault utilizzando la politica di controllo degli accessi?
Il modo più semplice per autenticare un'applicazione basata sul cloud in Key Vault consiste nell'usare un'identità gestita. Per informazioni dettagliate, vedere Eseguire l'autenticazione in Azure Key Vault . Se si crea un'applicazione locale, si sviluppa in locale o se non è possibile usare un'identità gestita per altri motivi, è possibile registrare manualmente un'entità servizio e fornire l'accesso all'insieme di credenziali delle chiavi usando un criterio di controllo di accesso. Vedere Assegnare un criterio di controllo di accesso.
Come posso concedere al gruppo di Active Directory l'accesso al Key Vault?
Concedere al gruppo AD le autorizzazioni per l'insieme di credenziali delle chiavi usando il comando az keyvault set-policy dell'interfaccia della riga di comando di Azure o il cmdlet Set-AzKeyVaultAccessPolicy di Azure PowerShell. Vedere Assegnare un criterio di accesso - Interfaccia della riga di comando e Assegnare un criterio di accesso - PowerShell.
L'applicazione necessita di almeno un ruolo di gestione delle identità e degli accessi (IAM) assegnato al Key Vault. In caso contrario, l'accesso non potrà essere eseguito e l'accesso alla sottoscrizione non riuscirà a causa di diritti insufficienti. I gruppi di Microsoft Entra con identità gestite possono richiedere molte ore per aggiornare i token e diventare efficaci. Vedere Limitazione dell'uso di identità gestite per l'autorizzazione
Come è possibile ridistribuire Key Vault con un modello ARM senza cancellare i criteri di accesso esistenti?
La ridistribuzione di Key Vault elimina attualmente qualsiasi criterio di accesso in Key Vault e li sostituisce con i criteri di accesso specificati nel modello ARM. Non è disponibile alcuna opzione incrementale per i criteri di accesso di Key Vault. Per mantenere i criteri di accesso in Key Vault, è necessario leggere i criteri di accesso esistenti in Key Vault e popolare il modello di Resource Manager con tali criteri per evitare interruzioni di accesso.
Un'altra opzione che può essere utile per questo scenario consiste nell'usare Azure RBAC e i ruoli come alternativa alle politiche di accesso. Con il controllo degli accessi in base al ruolo di Azure è possibile ridistribuire l'insieme di credenziali delle chiavi senza specificare di nuovo il criterio. Per altre informazioni, vedere questa soluzione qui.
Procedura consigliata per la risoluzione dei problemi per i tipi di errore seguenti
- HTTP 401: Richiesta non autenticata - Procedura per la risoluzione dei problemi
- HTTP 403: Autorizzazioni insufficienti - Procedura per la risoluzione dei problemi
- HTTP 429: Troppe richieste - Procedura per la risoluzione dei problemi
- Controllare se è stata eliminata l'autorizzazione di accesso all'insieme di credenziali delle chiavi: vedere Assegnare un criterio di accesso - Interfaccia della riga di comando, Assegnare un criterio di accesso - PowerShell o Assegnare un criterio di accesso - Portale.
- Se hai un problema con l'autenticazione nel deposito di chiavi nel codice, usa SDK di autenticazione
Quali sono le procedure consigliate da implementare in caso di limitazione dell'insieme di credenziali delle chiavi?
Seguire le procedure consigliate illustrate qui
Passaggi successivi
Apprendi come risolvere gli errori di autenticazione di Key Vault: Guida alla risoluzione dei problemi di Key Vault.