【发布时间】:2016-07-20 13:12:24
【问题描述】:
使用 Azure Key Vault,是否可以授予读取单个机密的访问权限,而不是客户端具有 URI 的 Key Vault 中的任何机密?
【问题讨论】:
标签: azure azure-keyvault
【发布时间】:2016-07-20 13:12:24
【问题描述】:
截至今天,没有。只能通过访问策略在保险库级别授予访问权限(此时最多可以定义 16 个访问策略),并且一旦授予用户/应用程序对机密的访问权限,该访问权限将适用于该保险库中的所有机密。
一种可能的解决方案是为每个机密创建一个保管库。我试图查找您可以在订阅中拥有的limits on number of vaults,但找不到任何内容。显然,这种方法在管理这么多数量的保管库时会带来更多的管理难题,而且我们不知道每个订阅最多可以拥有多少个保管库。
【讨论】:
-
为什么访问策略数限制为 16?对于 MSI 的“承诺”,这太疯狂了。那么只有 16 个应用可以访问 KeyVault。
-
2020 - 似乎限制已提高到 1024 个访问策略,但仍然无法为单个机密分配访问权限。 (来源:docs.microsoft.com/en-us/azure/key-vault/general/…)