对于 Azure 密钥保管库，是否有可能在单个密钥保管库中使用不同的机密来访问不同的资源（是/否）？如果是，如何？

Question

对于 Azure Key Vault，是否可以在单个 keyvault 中使用不同的机密来访问不同的资源？如果是，怎么做？

Answer 1

正如 cmets 中所传达的，Key Vault 只是一个用于存储密钥、证书和秘密值的存储库。您可以使用role-based access control 功能来限制哪些应用程序和用户能够访问哪些资源，但是除了对 Key Vault 实例施加的hard limits 之外，您还可以使用相当大的机密配额存储在单个 Key Vault 中。

实际上，启动多个密钥保管库是免费的，因此您可以将所有秘密放在一个保管库中，将所有证书放在另一个保管库中，将所有密钥放在另一个保管库中，或者您可能会将所有内容放入一个保管库中 -这完全取决于你。

没有理由不能将每个存储帐户的访问密钥放在单独的机密中，并让授权的服务主体读出它们以供其他地方使用，甚至使用机密来存储各种客户端 ID 和密码在您的租户中创建的服务主体（例如，没有理由您不能只将 JSON 对象存储在其中并将其留给您的应用程序来解析内容）。

简而言之，绝对可以回答您的问题。只需将您需要以文本形式存储的数据添加到您的密钥中，通过 RBAC 设置您的应用程序以访问您的 Key Vault，检索密钥并相应地使用。