我正在Azure中配置密钥库。我希望授予开发团队权限,使其能够访问和创建此保管库中的密钥,机密和证书,但不能访问该保管库中的所有密钥,机密和证书。这是否可能,或者我需要具有单独的权限/访问策略的单独的密钥库吗?
谢谢!
答案 0 :(得分:3)
不,你不能。但是您可以根据需要创建任意多个KeyVauls:)
重要
关键保管库访问策略不支持精细的对象级 特定密钥,机密或证书之类的权限。当一个用户 被授予创建和删除密钥的权限,它们可以执行 在该密钥库中所有密钥上的操作。
Azure DevTest实验室可以做到这一点。创建实验室时,它会为每个用户创建一个KV,这样您就可以在权限中进行细化。
[编辑]
此功能可能会在不久的将来出现。敬请期待;)
答案 1 :(得分:0)
其他人看,请参考。我不是作者或任何东西,只是发布我认为有用的内容
<块引用>我们为 Key Vault 数据平面实施了 Azure RBAC,这将允许 在单个密钥、机密、证书上创建角色分配作为 范围。
我们的最佳做法是每个应用程序都有一个 Key Vault 区域,每个环境提供完全隔离并避免爆炸 发生故障时的半径。密钥保管库的整合不是 推荐,并且 Key Vault 服务不会以这种方式扩展。重要的 要考虑的限制 - 每个 Azure RBAC 最多 2000 个角色分配 10 秒内订阅和 Key Vault 最多 2000 次操作。
文档: https://docs.microsoft.com/en-us/azure/key-vault/general/rbac-guide