Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Часто задаваемые вопросы
Я не могу перечислить или получить секреты, ключи или сертификат. Я вижу ошибку "что-то пошло не так"
Если у вас возникли проблемы с перечислением, получением, созданием или доступом к секретам, убедитесь, что у вас определена политика доступа для выполнения этой операции: Key Vault Access Policies
Как определить, как и когда к хранилищам ключей обращаются?
После создания одного или нескольких хранилищ ключей вы, скорее всего, захотите отслеживать, как и когда доступ к хранилищам ключей осуществляется и кем. Вы можете осуществлять мониторинг, включив ведение журналов для Azure Key Vault. Для пошаговой инструкции по включению ведения журналов, дополнительные сведения см. в соответствующем руководстве.
Как отслеживать доступность хранилища, периоды задержки службы или другие метрики производительности для хранилища ключей?
По мере масштабирования службы число запросов, отправленных в хранилище ключей, увеличится. Такой спрос может увеличить задержку ваших запросов и в крайних случаях привести к ограничению частоты их выполнения, что ухудшит производительность вашего сервиса. Вы можете отслеживать метрики производительности хранилища ключей и получать оповещения для определенных пороговых значений; чтобы ознакомиться с пошаговым руководством по настройке мониторинга, узнайте подробнее.
Я не могу изменить политику доступа, как ее можно включить?
Пользователь должен иметь достаточные разрешения Microsoft Entra для изменения политики доступа. В этом случае пользователю потребуется более высокая роль участника.
Я вижу ошибку "Неизвестная политика настройки". Что это обозначает?
Существует две причины, по которым в разделе "Неизвестно" может появиться политика доступа.
- Предыдущий пользователь имел доступ, но этот пользователь больше не существует.
- Политика доступа была добавлена с помощью PowerShell, при этом вместо основного элемента службы использовался объект приложения.
Как назначить управление доступом для каждого объекта хранилища ключей?
Следует избегать назначения ролей для отдельных ключей, секретов и сертификатов. Исключения для общих рекомендаций:
Сценарии, в которых отдельные секреты должны совместно использоваться для нескольких приложений, например, одному приложению требуется доступ к данным из другого приложения.
Как разрешить проверку подлинности для хранилища ключей с помощью политики управления доступом?
Самый простой способ проверки подлинности облачного приложения в Key Vault — с помощью управляемого удостоверения; Дополнительные сведения см. в статье "Проверка подлинности в Azure Key Vault ". Если вы создаете локальное приложение, выполняете локальную разработку или не можете использовать управляемое удостоверение, вы можете вручную зарегистрировать учетную запись службы и предоставить доступ к хранилищу ключей с помощью политики управления доступом. См. статью "Назначение политики управления доступом".
Как предоставить группе AD доступ к хранилищу ключей?
Предоставьте группе AD разрешения для хранилища ключей с помощью команды Azure CLI az keyvault set-policy или командлета Azure PowerShell Set-AzKeyVaultAccessPolicy. См. Назначение политики доступа — CLI и Назначение политики доступа — PowerShell.
Приложению также требуется по крайней мере одна роль управления удостоверениями и доступом (IAM), назначенная хранилищу ключей. В противном случае он не сможет войти в систему, и произойдет сбой из-за недостаточных прав на доступ к подписке. Для групп Microsoft Entra, использующих управляемые удостоверения, может потребоваться много времени на обновление токенов, прежде чем они станут активными. См. ограничения использования управляемых удостоверений для авторизации
Как повторно развернуть Key Vault с помощью шаблона ARM без удаления существующих политик доступа?
В настоящее время повторное развертывание Key Vault удаляет любую политику доступа в Key Vault и заменяет их политикой доступа в шаблоне ARM. Для политик доступа Key Vault нет добавочного параметра. Чтобы сохранить политики доступа в Key Vault, необходимо прочитать существующие политики доступа в Key Vault и заполнить шаблон ARM этими политиками, чтобы избежать сбоев доступа.
Другим вариантом, который может помочь в этом сценарии, является использование Azure RBAC и ролей в качестве альтернативы политикам доступа. С помощью Azure RBAC вы можете повторно развернуть хранилище ключей без необходимости повторного указания политики. Дополнительные сведения см. в статье "Предоставление доступа к ключам, сертификатам и секретам Key Vault с помощью управления доступом на основе ролей Azure".
Рекомендуемые действия по устранению неполадок для следующих типов ошибок
- HTTP 401. Запрос без проверки подлинности — действия по устранению неполадок
- HTTP 403: недостаточно разрешений — действия по устранению неполадок
- HTTP 429: слишком много запросов — действия по устранению неполадок
- Проверьте, удаляете ли вы разрешение на доступ к хранилищу ключей: см. статью "Назначение политики доступа" — CLI, назначение политики доступа — PowerShell или назначение политики доступа на портале.
- Если у вас возникли проблемы с проверкой подлинности в коде для хранилища ключей, используйте SDK для проверки подлинности
Какие лучшие практики следует использовать, если хранилище ключей подвергается ограничению?
Следуйте рекомендациям по регулированию приложения в ответ на ограничения службы.
Дальнейшие шаги
Узнайте, как устранять ошибки проверки подлинности хранилища ключей: руководство по устранению неполадок Key Vault.