Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Häufig gestellte Fragen
Ich kann keine Geheimnisse, Schlüssel oder Zertifikate auflisten oder abrufen. Ich sehe die Fehlermeldung "Etwas ist schiefgelaufen"
Wenn Sie Probleme mit dem Auflisten/Abrufen/Erstellen oder Zugreifen auf ein Geheimnis haben, stellen Sie sicher, dass Ihnen die entsprechende Azure RBAC-Rolle zugewiesen ist. Siehe Azure RBAC für Key Vault. Wenn Sie das Legacy-Zugriffsrichtlinienmodell verwenden, lesen Sie Eine Zugriffsrichtlinie für Key Vault zuweisen.
Wie kann ich ermitteln, wie und wann auf Schlüsseltresore zugegriffen wird?
Nachdem Sie einen oder mehrere Schlüsseltresor erstellt haben, sollten Sie wahrscheinlich überwachen, wie und wann auf Ihre Schlüsseltresor zugegriffen wird und von wem. Sie können überwachen, indem Sie die Protokollierung für Azure Key Vault aktivieren. Für eine schrittweise Anleitung zur Aktivierung der Protokollierung, mehr lesen.
Wie kann ich die Tresorverfügbarkeit, Dienstwartezeiten oder andere Leistungsmetriken für einen Schlüsseltresor überwachen?
Wenn Sie damit beginnen, Ihren Dienst zu skalieren, steigt die Anzahl von Anforderungen, die an Ihren Schlüsseltresor gesendet werden. Diese Nachfrage kann die Latenz Ihrer Anforderungen erhöhen und in extremen Fällen dazu führen, dass Ihre Anforderungen gedrosselt werden, wodurch die Leistung Ihres Diensts beeinträchtigt wird. Sie können Schlüsseltresor-Leistungsmetriken überwachen und Warnungen für bestimmte Schwellenwerte konfigurieren. Eine ausführliche Anleitung zum Konfigurieren der Überwachung finden Sie hier.
Ich kann die Zugriffsrichtlinie nicht ändern. Wie kann sie aktiviert werden?
Der Benutzer muss über ausreichende Microsoft Entra Berechtigungen zum Ändern der Zugriffsrichtlinie verfügen. In diesem Fall müsste der Benutzer eine höhere Mitwirkenderolle haben.
Ich sehe den Fehler "Unbekannte Richtlinie". Was bedeutet das?
Es gibt zwei Gründe, warum möglicherweise eine Zugriffsrichtlinie im Abschnitt "Unbekannt" angezeigt wird:
- Ein vorheriger Benutzer hatte Zugriff, aber dieser Benutzer ist nicht mehr vorhanden.
- Die Zugriffsrichtlinie wurde über PowerShell mithilfe der Anwendungsobjekt-ID anstelle des Dienstprinzipals hinzugefügt.
Wie kann ich die Zugriffssteuerung pro Key Vault-Objekt zuweisen?
Das Zuweisen von Rollen zu einzelnen Schlüsseln, Geheimnissen und Zertifikaten sollte vermieden werden. Ausnahmen von allgemeinen Anleitungen:
Szenarien, in denen einzelne geheime Schlüssel zwischen mehreren Anwendungen gemeinsam genutzt werden müssen, z. B. muss eine Anwendung auf Daten aus der anderen Anwendung zugreifen.
Wie kann ich die Schlüsseltresorauthentifizierung per Zugriffssteuerungsrichtlinie bereitstellen?
Die einfachste Möglichkeit zum Authentifizieren einer cloudbasierten Anwendung für Key Vault ist eine verwaltete Identität. Details finden Sie unter Authenticate to Azure Key Vault. Wenn Sie eine lokale Anwendung erstellen, eine lokale Entwicklung durchführen oder eine verwaltete Identität aus anderen Gründen nicht verwenden können, können Sie stattdessen einen Dienstprinzipal manuell registrieren und mithilfe von Azure RBAC Zugriff auf Ihren Schlüsseltresor bereitstellen. Siehe Azure RBAC für Vorgänge in der Key Vault-Datenebene.
Wie kann ich der Azure AD-Gruppe Zugriff auf das Key Vault gewähren?
Erteilen Sie der AD-Gruppe Berechtigungen für Ihren Schlüsseltresor mithilfe von Azure RBAC mit dem Azure CLI az role assignment create-Befehl oder dem Azure PowerShell New-AzRoleAssignment-Cmdlet. Siehe Azure RBAC für Vorgänge auf der Key Vault-Datenebene.
Hinweis
Wenn Sie Legacyzugriffsrichtlinien verwenden, können Sie den Befehl Azure CLI az keyvault set-policy oder das Cmdlet Azure PowerShell Set-AzKeyVaultAccessPolicy verwenden. Azure RBAC ist jedoch das empfohlene Autorisierungsmodell. Siehe Zuweisen einer Zugriffsrichtlinie für Key Vault.
Für die Anwendung muss dem Schlüsseltresor darüber hinaus mindestens eine IAM-Rolle (Identity and Access Management, Identitäts- und Zugriffsverwaltung) zugewiesen werden. Andernfalls ist die Anmeldung nicht möglich, und es tritt ein Fehler aufgrund unzureichender Zugriffsberechtigungen für das Abonnement auf. Microsoft Entra Gruppen mit verwalteten Identitäten erfordern möglicherweise viele Stunden, um Token zu aktualisieren und wirksam zu werden. Siehe Einschränkung der Verwendung von verwalteten Identitäten für die Autorisierung
Wie kann ich Key Vault mit ARM-Vorlage erneut bereitstellen, ohne vorhandene Zugriffsrichtlinien zu löschen?
Die erneute Bereitstellung von Key Vault löscht derzeit alle Zugriffsrichtlinien im Key Vault und ersetzt sie durch die Zugriffsrichtlinien in der ARM-Vorlage. Es gibt keine inkrementelle Option für Key Vault Zugriffsrichtlinien. Um Zugriffsrichtlinien in Key Vault beizubehalten, müssen Sie vorhandene Zugriffsrichtlinien in Key Vault lesen und die ARM-Vorlage mit diesen Richtlinien auffüllen, um Zugriffsausfälle zu vermeiden.
Eine weitere Option, die für dieses Szenario hilfreich sein kann, ist die Verwendung Azure RBAC und Rollen als Alternative zu Zugriffsrichtlinien. Mit Azure RBAC können Sie den Schlüsseltresor erneut bereitstellen, ohne die Richtlinie erneut anzugeben. Weitere Informationen finden Sie unter Gewähren Sie Zugriff auf Key Vault-Schlüssel, Zertifikate und Secrets mit der rollenbasierten Zugriffssteuerung von Azure.
Empfohlene Schritte zur Problembehandlung für die folgenden Fehlertypen
- HTTP 401: Nicht authentifizierte Anforderung – Schritte zur Problembehandlung
- HTTP 403: Unzureichende Berechtigungen – Schritte zur Problembehandlung
- HTTP 429: Zu viele Anforderungen – Schritte zur Problembehandlung
- Überprüfen Sie, ob Sie die Zugriffsberechtigung für key vault gelöscht haben: Siehe Azure RBAC für Key Vault. Wenn Sie Legacy-Zugriffsrichtlinien verwenden, lesen Sie Zuweisen einer Key Vault-Zugriffsrichtlinie.
- Wenn Sie ein Problem mit der Authentifizierung für den Schlüsseltresor im Code haben, verwenden Sie das Authentifizierungs-SDK.
Welche bewährten Methoden sollten implementiert werden, wenn der Schlüsseltresor gedrosselt wird?
Befolgen Sie die bewährten Methoden zum Einschränken Ihrer App als Reaktion auf Dienstgrenzwerte.
Nächste Schritte
Erfahren Sie, wie Sie key vault Authentifizierungsfehler beheben: Key Vault Problembehandlungshandbuch.