51CTO 博客地址:https://blog.51cto.com/14669127
博客园博客地址:https://www.cnblogs.com/Nancy1983
需求:假如你所使用的Azure 订阅新建了一个名为KeyVault1的Azure Key Vault以及2个如下表的虚拟机:
KeyVault1有一个访问策略,为多个用户提供Key Permissions,如果需要确保用户只能从VM1在KeyVault1中注册secret permissions,该如何操作?
解决方案分析:
通过在Key Vault中设置访问策略授权数据访问权限,可以将VM分配的managed Identities访问权限授权给key Vault.
- 在Access Policy界面,点击“Add Access Poicy”
- 在Configure from template的下拉菜单中选择“Key Management”
- Select Principal界面,在搜索字段中输入创建的VM名称
- 完成新的Access Policy创建
Key Vault的访问通过Management plane和Data plane两个接口进行控制,Management Plane是用来管理Key Vault的,包括新建、删除Key Vault、检索Key Vault属性,更新访问策略等;Data Plane是用来处理存储在Key Vault中的数据,可以添加、删除和修改Key,Secrets和Certificates。
通过分析后,如果需要确保用户只能从VM1在keyVault1中注册secret permissions,那么只需要编辑Key Vault,修改Access Policy就可以。
相关资料:
• About Azure Key Vault
• Secure access to a key vault
• Assign a Key Vault Access Policy using the Azure Portal
• Provide access to key vault keys, certificates and secrets with an Azure Role-based access control