【发布时间】:2021-02-16 21:32:40
【问题描述】:
我有一个正在运行的设置。我已启用 Function App 作为系统身份并将该 ID 添加到 Key Vault。在 Key Vault 上的网络中,我在网络设置中允许了所有网络。如果我不将函数应用程序添加为访问策略,则设置不起作用。您是否可以打开密钥保管库,这样您就不必将服务添加到密钥保管库,而只需允许从租户内的所有服务进行访问?
【问题讨论】:
标签: azure-functions azure-keyvault
【发布时间】:2021-02-16 21:32:40
【问题描述】:
使用 Key Vault 的新 RBAC 访问策略应该更容易做到这一点。您似乎将向您的所有服务授予 Key Vault 管理员角色,以便他们可以访问所有数据。
https://docs.microsoft.com/en-us/azure/key-vault/general/rbac-guide
【讨论】:
您能否打开一个密钥保管库,这样您就不必添加服务 到 Key Vault,但只允许从所有服务访问 在租户内部?
我认为有必要允许基于单一服务级别设置访问密钥保管库。 Key Vault 无法判断服务是否属于您的租户。
根据你的想法,你需要获取租户下的所有服务,然后将它们全部添加到密钥保管库访问策略中。
【讨论】: