我有一个非常简单的要求: 我们广告中的每个用户都有几个特定于自己用户的api键。我想将它们安全地存储到密钥库中,但我要求只有该密钥所属的用户才能访问(CRUD)这些密钥。因此,基本上,我希望为每个用户提供一个存储桶,其中只有用户本身有权访问此存储桶。 是否可以通过密钥库来实现。因为据我了解,我只能在密钥库级别上分配密钥库权限,因此,如果我授予用户访问权限,他可以读取和修改此密钥库中的所有其他密钥。所有用户都可以在Azure AD中使用。
答案 0 :(得分:2)
AFAIK,这是不可能的。对于天蓝色的密钥库,我们可以仅在管理平面和数据平面see Secure access to a key vault中对其进行管理。我们无法管理密钥库中特定密钥的访问策略。
因为据我所知,我只能在密钥库级别上分配密钥库权限,因此,如果我授予用户访问权限,他可以读取和修改此密钥库中的所有其他密钥。
您的理解是正确的。解决方法是为不同的用户使用不同的密钥库。确保他们仅在自己的密钥仓库Access control (IAM)中扮演角色,而不在订阅的IAM中扮演角色。这样他们就可以访问自己的密钥库了,最后,别忘了将自己添加到密钥库的Access policies中。