【发布时间】:2021-12-22 04:29:20
【问题描述】:
首先,我正在尝试使用您的密钥管理将我的 Azure Key Vault 连接到我的静态加密。我遵循了 MongoDB 文档指南linkhttps://docs.atlas.mongodb.com/security-azure-kms/
image from MongoDB Atlas Setup
到目前为止我所做的一切都没有奏效。
我已经设置了应用程序并添加了客户端密码,该应用程序具有通过订阅分配给它的角色“Azure key Vault Reader”。
我已经在与上述相同的订阅下设置了 Key Vault - 使用它自己的资源组来匹配它。并生成密钥。 键具有所有操作。
所以我拥有具有 Vault Key Reader 访问权限的应用程序和包含密钥的 Key Vault。
Client(Application) ID 填充了来自应用程序的信息。
租户 ID 由应用程序中的租户 ID 填充。
秘密被创建并存储在应用程序中 - 被添加。 (不是身份证)
添加了从密钥保管库复制的订阅 ID。
添加了从密钥保管库复制的资源组名称。
添加了从密钥保管库复制的密钥保管库名称。
最后,密钥标识符从保管库中复制并添加。
我仍然收到此错误 - 我的处理方式有问题吗? 我觉得我已经尝试了所有设置组合,但似乎凭据以错误的方式设置,我不明白,因为它都是直接从 Azure 复制的。
“我们无法连接到您的 Azure Key Vault 帐户。请检查您的凭据并重试。”
【问题讨论】:
-
启用 Azure Key Vault 日志记录并检查状态代码。这将告诉您您的信誉是否不好,您是否有访问策略问题,或者您是否根本没有到达 Key Vault。
-
您是否在密钥保管库中配置了这些访问策略:密钥管理操作 GET LIST 加密操作 ENCRYPT DECRYPT 用于应用注册(服务主体)
-
感谢有关日志的建议,问题出在 RBAC。 Azure key Vault Reader 角色是不够的,不应该在资源组之下。为应用程序提供更高的保管库角色并将其设置在订阅下有效。谢谢
标签: mongodb azure azure-keyvault mongodb-atlas