よく寄せられる質問
シークレット/キー/証明書を一覧表示または取得できません。 "問題が発生しました" というエラーが表示される
シークレットの一覧表示、取得、作成、またはアクセスに問題がある場合は、適切なAzure RBAC ロールが割り当てられていることを確認してください。 Azure RBAC については、Key Vault を参照してください。 レガシ アクセス ポリシー モデルを使用している場合は、「Key Vault アクセス ポリシーの割り当てを参照してください。
キー コンテナーが、いつ、どのようにアクセスされているのかを確認するにはどうすればよいですか?
1つ以上のキー保管庫を作成した後は、次に誰が、いつどのようにキー保管庫にアクセスするかを監視したくなるでしょう。 ログ記録を有効にする詳細なガイドについては、Azure Key Vaultのログ記録を有効にすることで監視を行うことができます。詳細については、を参照してください。
キー ボールトの可用性、サービスのレイテンシー期間、その他のパフォーマンス メトリックを監視するにはどうすればよいですか?
サービスのスケーリングを開始すると、キー コンテナーに送信される要求の数が増加します。 このような需要により要求の待機時間が長くなる可能性があり、極端な場合には要求がスロットルされてサービスのパフォーマンスを低下させます。 Key Vault のパフォーマンス メトリックを監視し、特定のしきい値についてアラートを受け取ることができます。監視を構成するためのステップ バイ ステップ ガイドについては、 詳細を参照してください。
アクセス ポリシーを変更できませんが、どのように有効にできますか?
ユーザーは、アクセス ポリシーを変更するための十分なMicrosoft Entraアクセス許可を持っている必要があります。 この場合、ユーザーは、より高い共同作成者ロールを持っている必要があります。
"不明なポリシー" エラーが表示されます。 それは何を意味していますか?
[不明] セクションにアクセス ポリシーが表示される理由は 2 つあります。
- 以前のユーザーはアクセス権を持っていましたが、そのユーザーは存在しなくなりました。
- アクセス ポリシーが、サービス プリンシパルではなくアプリケーションの objectid を使って、PowerShell で追加されました。
キー コンテナー オブジェクトごとにアクセス制御を割り当てるにはどうすればよいですか?
個々のキー、シークレット、証明書にロールを割り当てることは避ける必要があります。 一般的なガイダンスの例外:
個々のシークレットを複数のアプリケーション間で共有する必要があるシナリオ (たとえば、1 つのアプリケーションが他のアプリケーションからデータにアクセスする必要がある)
アクセス制御ポリシーを使用して Key Vault の認証を提供するにはどうすればよいですか?
Key Vaultするクラウドベースのアプリケーションを認証する最も簡単な方法は、マネージド ID を使用することです。詳細については、「Authenticate to Azure Key Vaultを参照してください。 オンプレミス アプリケーションを作成する場合、ローカル開発を行う場合、またはマネージド ID を使用できない場合は、代わりにサービス プリンシパルを手動で登録し、Azure RBAC を使用してキー コンテナーへのアクセスを提供できます。 Key Vaultのデータ プレーン操作については、Azure RBAC を参照してください。
キー コンテナーへのアクセス権を AD グループに付与するにはどうすればよいですか?
Azure CLI az role assignment create コマンドまたは Azure PowerShell New-AzRoleAssignment コマンドレットを使用して、Azure RBAC を使用して、キー コンテナーに対する AD グループのアクセス許可を付与します。
Azure RBAC については、Key Vaultデータ プレーン操作を参照してください。
注
レガシ アクセス ポリシーを使用している場合は、Azure CLI az keyvault set-policy コマンドまたは Azure PowerShell Set-AzKeyVaultAccessPolicy コマンドレットを使用できます。 ただし、Azure RBAC が推奨される承認モデルです。 「Key Vault アクセス ポリシーの割り当てを参照してください。
アプリケーションには、少なくとも 1 つの IAM (ID とアクセス管理) ロールがキーボールトに割り当てられている必要があります。 それがないとログインすることができず、サブスクリプションにアクセスする権限の不足でエラーになります。 マネージド ID を持つグループMicrosoft Entra、トークンを更新して有効になるまでに何時間もかかる場合があります。 承認にマネージド ID を使用する制限事項を参照してください
既存のアクセス ポリシーを削除せずに ARM テンプレートを使用してKey Vaultを再デプロイするにはどうすればよいですか?
現在Key Vault再デプロイでは、Key Vault内のすべてのアクセス ポリシーが削除され、ARM テンプレートのアクセス ポリシーに置き換えられます。 Key Vaultアクセス ポリシーには増分オプションはありません。 Key Vaultでアクセス ポリシーを保持するには、Key Vaultの既存のアクセス ポリシーを読み取り、アクセス停止を回避するために ARM テンプレートにこれらのポリシーを設定する必要があります。
このシナリオに役立つもう 1 つのオプションは、アクセス ポリシーの代わりに rbac とロールAzure使用することです。 Azure RBAC を使用すると、ポリシーを再度指定せずにキー コンテナーを再デプロイできます。 詳細については、Azure ロールベースのアクセス制御を使用して Key Vault のキー、証明書、およびシークレットにアクセスを提供に関するページを参照してください。
次のエラーの種類に関する推奨されるトラブルシューティング手順
- HTTP 401: 認証されていない要求 - トラブルシューティングの手順
- HTTP 403: アクセス許可が不十分 - トラブルシューティングの手順
- HTTP 429: 要求が多すぎます - トラブルシューティングの手順
- Key Vaultへの削除アクセス許可があるかどうかを確認してください。AzureのKey Vault用RBACを参照してください。 レガシ アクセス ポリシーを使用している場合は、「Key Vault アクセス ポリシーの割り当てを参照してください。
- コードでキー コンテナーへの認証に問題がある場合は認証 SDK を使用してください
キー コンテナーが調整されているときに実装する必要があるベスト プラクティスは何ですか?
サービスの 制限に応じてアプリを調整するためのベスト プラクティスに従います。
次のステップ
key vault認証エラーのトラブルシューティング方法について説明します:Key Vault トラブルシューティング ガイド。