你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
常见问题
我无法列出或获取机密/密钥/证书。 我看到“出现问题”错误
如果在列出/获取/创建或访问机密时遇到问题,请确保已定义访问策略以执行该操作:Key Vault 访问策略
如何确定如何以及何时访问密钥保管库?
在创建一个或多个 Key Vault 之后,可能需要监视 Key Vault 的访问方式、时间和访问者。 可以通过启用 Azure Key Vault 的日志记录来执行监视,有关启用日志记录的分步指南, 请阅读详细信息。
如何监视保管库可用性、服务延迟周期或密钥保管库的其他性能指标?
开始扩展服务时,发送到密钥库的请求数量将会增加。 这种需求可能会增加请求的延迟,在极端情况下,会导致请求受到限制,这会降低服务的性能。 可以监视密钥保管库性能指标并针对特定阈值发出警报,有关配置监视的分步指南, 请阅读详细信息。
我无法修改访问策略,如何启用它?
用户需要有足够的Microsoft Entra 权限才能修改访问策略。 在这种情况下,用户需要具有更高的参与者角色。
我看到“未知策略”错误。 这是什么意思?
在“未知”部分中可能会看到访问策略有两个原因:
- 以前的用户具有访问权限,但该用户不再存在。
- 访问策略是通过 PowerShell 添加的,使用应用程序 objectid 而不是服务主体。
如何为每个 Key Vault 对象分配访问控制?
应避免在单个密钥、机密和证书上分配角色。 常规指南的例外情况:
必须在多个应用程序之间共享单个机密的方案,例如,一个应用程序需要从另一个应用程序访问数据
如何使用访问控制策略提供密钥保管库身份验证?
在 Key Vault 中对基于云的应用程序进行身份验证的最简单方法是使用托管标识;有关详细信息,请参阅 “向 Azure Key Vault 进行身份验证 ”。 如果要创建本地应用程序、执行本地开发或者无法使用托管标识,可以改为手动注册服务主体,并使用访问控制策略提供对密钥保管库的访问权限。 请参阅 “分配访问控制策略”。
如何授予 AD 组对密钥保管库的访问权限?
使用 Azure CLI az keyvault set-policy 命令或 Azure PowerShell Set-AzKeyVaultAccessPolicy cmdlet 向密钥保管库授予 AD 组权限。 请参阅 分配访问策略 - CLI 和 分配访问策略 - PowerShell。
应用程序还需要将至少一个标识和访问管理 (IAM) 角色分配给密钥保管库。 否则,它将无法登录并且会失败,因为没有足够权限来访问订阅。 具有托管标识的 Microsoft Entra 组可能需要很长时间才能刷新令牌并变为生效状态。 请参阅 使用托管标识进行授权的限制
如何使用 ARM 模板重新部署 Key Vault,而无需删除现有的访问策略?
目前,Key Vault 重新部署会删除 Key Vault 中的任何访问策略,并将其替换为 ARM 模板中的访问策略。 Key Vault 访问策略没有增量选项。 若要在 Key Vault 中保留访问策略,需要读取 Key Vault 中的现有访问策略,并使用这些策略填充 ARM 模板,以避免任何访问中断。
另一种可以帮助此方案的选项是使用 Azure RBAC 和角色作为访问策略的替代方法。 使用 Azure RBAC,无需再次指定策略即可重新部署密钥保管库。 可以 在此处阅读更多此解决方案。
以下错误类型的建议故障排除步骤
- HTTP 401:未经身份验证的请求 - 故障排除步骤
- HTTP 403:权限不足 - 故障排除步骤
- HTTP 429:请求过多 - 故障排除步骤
- 检查是否已删除对密钥保管库的访问权限:请参阅 “分配访问策略” - CLI、 分配访问策略 - PowerShell 或 分配访问策略 - 门户。
- 如果在代码中对 Key Vault 进行身份验证时遇到问题,请使用 身份验证 SDK
如果密钥保管库受到限制,我应该实施哪些最佳做法?
遵循此处所述的最佳做法
后续步骤
了解如何排查密钥保管库身份验证错误: Key Vault 故障排除指南。