Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Key Vault управляет контролем доступа для сертификатов на уровне хранилища ключей. Политика управления доступом для сертификатов отличается от политик управления доступом для ключей и секретов в одном хранилище ключей. Вы можете создать одно или несколько хранилищ для хранения сертификатов для поддержания соответствующего сценария сегментации и управления сертификатами.
Доступ к хранилищу ключей управляется двумя интерфейсами: плоскости управления и плоскости данных. Оба самолета используют идентификатор Microsoft Entra для проверки подлинности. Для авторизации можно использовать управление доступом на основе ролей Azure (Azure RBAC) ( рекомендуется) или политики доступа Key Vault (устаревшая версия). Дополнительные сведения о принципах проверки подлинности и авторизации см. в разделе "Проверка подлинности" в Azure Key Vault.
Разрешения сертификата
При настройке доступа к сертификатам используйте следующие права доступа на основе каждого отдельного субъекта. Эти разрешения внимательно отражают операции, разрешенные для объекта сертификата:
Разрешения для операций управления сертификатами
- get: получение текущей версии сертификата или любой версии сертификата
- список: список текущих сертификатов или версий сертификата
- обновление: обновление сертификата
- create: Создание сертификата Key Vault
- импорт: импорт материала сертификата в сертификат Key Vault
- delete: удаление сертификата, его политики и всех его версий
- восстановление: восстановление удаленного сертификата
- резервное копирование: резервное копирование сертификата в хранилище ключей
- восстановление: восстановление резервного копирования сертификата в хранилище ключей
- managecontacts: управление контактами сертификатов Key Vault
- manageissuers: Управление центрами сертификации и издателями Key Vault
- getissuers: получение центров сертификации и издателей сертификата
- listissuers: перечисление центров сертификации или издателей сертификата
- setissuers: создание или обновление центров или издателей сертификата Key Vault
- deleteissuers: удаление удостоверяющих центров/издателей сертификата Key Vault
Разрешения для привилегированных операций
- Очистка: очистка (окончательное удаление) удаленного сертификата
Дополнительные сведения о работе с сертификатами см. в справочнике по работе с Azure Key Vault с помощью REST API.
Предоставление доступа к сертификатам
Вы можете предоставить доступ к сертификатам с помощью azure RBAC (рекомендуется) или политик доступа Key Vault (устаревших).
Использование Azure RBAC (рекомендуется)
Azure RBAC предоставляет централизованное управление доступом и позволяет задавать разрешения на различных уровнях областей. Для операций с сертификатами используйте одну из следующих встроенных ролей:
| Role | Description |
|---|---|
| Администратор хранилища ключей | Выполнение всех операций плоскости данных в хранилище ключей и всех объектов, содержащихся в нем. |
| Сотрудник по сертификатам Key Vault | Выполните любое действие для сертификатов хранилища ключей, за исключением управления разрешениями. |
| Пользователь сертификата Key Vault | Читать всё содержимое сертификата, включая секретную часть и ключ. |
| Читатель Key Vault | Чтение метаданных хранилищ ключей и их сертификатов, ключей и секретов. Не удается считывать конфиденциальные значения. |
Дополнительные сведения о назначении ролей см. в статье Предоставление доступа к ключам Key Vault, сертификатам и секретам с помощью управления доступом на основе ролей Azure.
Использование политик доступа (устаревшая версия)
Сведения о назначении политики доступа см. в статье "Назначение политики доступа Key Vault". Сведения о создании разрешений с помощью REST API см. в разделе Vaults — обновление политики доступа.
Troubleshoot
Может возникнуть ошибка из-за отсутствия политики доступа или назначения ролей. Например: Error type : Access denied or user is unauthorized to create certificate.
Чтобы устранить эту ошибку, выполните приведенные ниже действия.
- При использовании Azure RBAC убедитесь, что пользователь имеет роль с разрешением
certificates/create(например, специалист по сертификатам Key Vault). - При использовании политик доступа добавьте
certificates/createразрешение в политику доступа.
Дополнительные сведения об устранении неполадок см. в разделе "Устранение неполадок с доступом к Azure Key Vault".
Дальнейшие шаги
- Проверка подлинности в Azure Key Vault
- Предоставление доступа к ключам, сертификатам и секретам Key Vault с помощью Azure RBAC
- Назначение политики доступа Key Vault
- Безопасный доступ к хранилищу ключей
- Сведения о Key Vault
- Сведения о ключах, секретах и сертификатах
- Руководство разработчика Key Vault