我有一个可以运行的设置。我已启用函数应用作为系统标识并将该 ID 添加到密钥保管库。在 Key Vault 上的网络中,我已在网络设置中允许所有网络。如果我不将函数应用添加为访问策略,则设置将不起作用。您能否打开 Key Vault,这样您就不必将服务添加到 Key Vault 中,而只允许从租户内的所有服务进行访问?
答案 0 :(得分:0)
你能打开一个密钥保管库,这样你就不必添加服务吗 到 Key Vault,但只允许从所有服务访问 租户内部?
我认为有必要允许基于单一服务级别设置访问密钥保管库。 Key Vault 无法判断服务是否属于您的租户。
对于您的想法,您需要获取租户下的所有服务,然后将它们全部添加到 Key Vault 访问策略中。
答案 1 :(得分:0)
使用 Key Vault 的新 RBAC 访问策略应该更容易做到这一点。您似乎要为所有服务授予 Key Vault 管理员角色,以便他们可以访问所有数据。
https://docs.microsoft.com/en-us/azure/key-vault/general/rbac-guide