Atribuir uma política de acesso ao Key Vault (legado)

Warning

Para melhorar a segurança, utilize o modelo de permissões Role-Based Controlo de Acesso (RBAC) em vez de políticas de acesso ao gerir Azure Key Vault. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso de Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para mais informações, consulte O que é Azure RBAC? e o Guia Key Vault RBAC.

Com o modelo de permissões de Política de Acesso, utilizadores com permissões Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder-se acesso ao plano de dados configurando uma política de acesso Key Vault. Isso pode resultar em acesso não autorizado e gerenciamento de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso da função de Colaborador aos cofres de chaves ao usar o modelo de Política de Acesso.

Importante

As políticas de acesso são um modelo de autorização legado para o Azure Key Vault. Para novas implementações, utilize o controlo de acesso baseado em funções (RBAC) do Azure. Veja Conceder acesso a chaves, certificados e segredos do Key Vault com controlo de acesso baseado em funções do Azure e Proteja o seu Azure Key Vault.

Uma política de acesso Key Vault determina se um dado princípio de segurança, nomeadamente um utilizador, aplicação ou grupo de utilizadores, pode realizar operações diferentes em Key Vault secretos, chaves e certificados. Pode atribuir políticas de acesso usando o portal Azure, o CLI do Azure ou o Azure PowerShell.

O Key Vault suporta até 1024 entradas de política de acesso, com cada entrada a conceder um conjunto distinto de permissões para um principal de segurança específico. Devido a essa limitação, recomendamos atribuir políticas de acesso a grupos de usuários, sempre que possível, em vez de usuários individuais. O uso de grupos facilita muito o gerenciamento de permissões para várias pessoas em sua organização. Para mais informações, consulte Gerir o acesso a aplicações e recursos usando Microsoft Entra groups.

Atribuir uma política de acesso

No portal Azure, navegue até ao recurso Key Vault.
Selecione Políticas de acesso e, em seguida, selecione Criar:
Selecione as permissões desejadas em Permissões de chave, Permissões secretas e Permissões de certificado.
No painel de seleção Principal, insira o nome do usuário, aplicativo ou entidade de serviço no campo de pesquisa e selecione o resultado apropriado.

Se você estiver usando uma identidade gerenciada para o aplicativo, pesquise e selecione o nome do próprio aplicativo. (Para mais informações sobre princípios de segurança, consulte autenticação do Key Vault.
Reveja as alterações à política de acesso e selecione Criar para guardar a política de acesso.
De volta à página Políticas de acesso, verifique se a sua política de acesso está listada.

Para mais informações sobre como criar grupos em Microsoft Entra ID usando o CLI do Azure, consulte az ad group create e az ad group member add.

Para executar CLI do Azure comandos localmente, instale o CLI do Azure.

Para executar comandos diretamente na cloud, use o Azure Cloud Shell.
Apenas CLI local: iniciar sessão em Azure usando az login:
```
az login
```
O az login comando abre uma janela do navegador para coletar credenciais, se necessário.

Adquira o ID do objeto

Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:

Aplicativos e outras entidades de serviço: use o comando az ad sp list para recuperar suas entidades de serviço. Examine a saída do comando para determinar a ID do objeto da entidade de segurança à qual você deseja atribuir a diretiva de acesso.
```
az ad sp list --show-mine
```
Grupos: use o comando az ad group list , filtrando os resultados com o --display-name parâmetro:
```
az ad group list --display-name <search-string>
```
Utilizadores: use o comando az ad user show, passando o endereço de e-mail do utilizador no --id parâmetro:
```
az ad user show --id <email-address-of-user>
```

Atribuir a política de acesso

Use o comando az keyvault set-policy para atribuir as permissões desejadas:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Substitua <object-id> pelo ID do objeto do seu principal de segurança.

Você só precisa incluir --secret-permissions, --key-permissions e --certificate-permissions ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions>e <certificate-permissions> são fornecidos na documentação az keyvault set-policy .

Para mais informações sobre a criação de grupos em Microsoft Entra ID usando Azure PowerShell, consulte New-AzADGroup e Add-AzADGroupMember.

Para executar comandos localmente, instala Azure PowerShell se ainda não o fizeste.

Para executar comandos diretamente na cloud, use o Azure Cloud Shell.
PowerShell local somente:
1. Instala o módulo PowerShell Microsoft Entra ID.
2. Iniciar sessão no Azure:
```
Connect-AzAccount
```

Adquira o ID do objeto

Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:

Aplicações e outras entidades de serviço: use o cmdlet Get-AzADServicePrincipal com o parâmetro -SearchString para filtrar os resultados pelo nome da entidade de serviço desejada.
```
Get-AzADServicePrincipal -SearchString "<search-string>"
```
Grupos: use o cmdlet Get-AzADGroup com o -SearchString parâmetro para filtrar os resultados pelo nome do grupo desejado:
```
Get-AzADGroup -SearchString "<search-string>"
```
Na saída, o ID do objeto é listado como Id.
Utilizadores: utilizem o cmdlet Get-AzADUser, passando o endereço de e-mail do utilizador para o -UserPrincipalName parâmetro.
```
 Get-AzAdUser -UserPrincipalName <email-address-of-user>
```
Na saída, o ID do objeto é listado como Id.

Atribuir a política de acesso

Use o cmdlet Set-AzKeyVaultAccessPolicy para atribuir a política de acesso:

Set-AzKeyVaultAccessPolicy -VaultName "<vault-name>" -ObjectId "<object-id>" -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions>

Você só precisa incluir -PermissionsToSecrets, -PermissionsToKeys e -PermissionsToCertificates ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions>, e <certificate-permissions> são fornecidos na documentação Set-AzKeyVaultAccessPolicy - Parameters .

Próximos passos

Comentários

Esta página foi útil?

Last updated on 2026-05-14

Atribuir uma política de acesso ao Key Vault (legado)

Atribuir uma política de acesso

Próximos passos

Comentários

Recursos adicionais