Azure - 添加私有证书 - 密钥保管库密钥和权限出错
Azure - Add private certificate - error with Key vault key and permissions
基本上我正在尝试将私有证书(.pfx 文件)添加到集成帐户。我正在使用新门户。
我有什么done/created:
- 资源组
- 集成帐户
- 密钥保管库
- 活动目录
- 使用命令 Set-AzureRmKeyVaultAccessPolicy 向我的用户授予对所有密钥和机密的权限
每当我转到我的集成帐户 > 证书 > 添加 > 选择 [证书类型]="Private" 时,资源组和密钥保管库组合框会自动填充,但密钥名称会引发以下错误:
与密钥保管库的通信 [MY_KEY_VAULT] 失败。请通过为 'list'、'get'、'decrypt' 和 [ 的逻辑应用服务主体“7cd684f4-8a78-49b0-91ec-6a35d38739ba”授予访问权限,授权逻辑应用对密钥保管库执行操作=36=] 操作。
奇怪的是,ObjectID 7cd684f4-8a78-49b0-91ec-6a35d38739ba 不属于我的 AD,而是属于我公司的 AD。
需要设置访问策略
创建私有证书时,请按照以下步骤操作:
将密钥上传到密钥库
设置访问策略,其中逻辑应用服务主体'7cd684f4-8a78-49b0-91ec-6a35d38739ba'
设置访问策略:
Set-AzureRmKeyVaultAccessPolicy -VaultName 'IntegrationAccountVault1' -ServicePrincipalName $servicePrincipal -PermissionsToKeys decrypt, sign, get, list
在集成帐户中,使用下拉列表中的添加证书和 select 私有证书。将密钥与相应的 public 证书相关联。
您复制的错误消息清楚地表明缺少授权步骤。需要通过授予对逻辑应用服务主体 ('7cd684f4-8a78-49b0-91ec-6a35d38739ba') 的访问权限来授权逻辑应用对 Key Vault 执行操作。
执行上面给出的设置访问策略。
我已经复制了您发布的错误以供参考。
"Communication with key vault [MY_KEY_VAULT] failed. Please authorize logic apps to perform operations on key vault by granting access for the logic apps service principal '7cd684f4-8a78-49b0-91ec-6a35d38739ba' for 'list', 'get', 'decrypt' and 'sign' operations"
错误消息中给出的 Guid 有点误导。它指的是 Azure 逻辑应用程序服务帐户。
您可以通过在 KeyVault
中授予用户 'Azure Logic Apps' 所需的权限来解决此问题
基本上我正在尝试将私有证书(.pfx 文件)添加到集成帐户。我正在使用新门户。
我有什么done/created:
- 资源组
- 集成帐户
- 密钥保管库
- 活动目录
- 使用命令 Set-AzureRmKeyVaultAccessPolicy 向我的用户授予对所有密钥和机密的权限
每当我转到我的集成帐户 > 证书 > 添加 > 选择 [证书类型]="Private" 时,资源组和密钥保管库组合框会自动填充,但密钥名称会引发以下错误:
与密钥保管库的通信 [MY_KEY_VAULT] 失败。请通过为 'list'、'get'、'decrypt' 和 [ 的逻辑应用服务主体“7cd684f4-8a78-49b0-91ec-6a35d38739ba”授予访问权限,授权逻辑应用对密钥保管库执行操作=36=] 操作。
奇怪的是,ObjectID 7cd684f4-8a78-49b0-91ec-6a35d38739ba 不属于我的 AD,而是属于我公司的 AD。
需要设置访问策略
创建私有证书时,请按照以下步骤操作:
将密钥上传到密钥库
设置访问策略,其中逻辑应用服务主体'7cd684f4-8a78-49b0-91ec-6a35d38739ba'
设置访问策略:
Set-AzureRmKeyVaultAccessPolicy -VaultName 'IntegrationAccountVault1' -ServicePrincipalName $servicePrincipal -PermissionsToKeys decrypt, sign, get, list在集成帐户中,使用下拉列表中的添加证书和 select 私有证书。将密钥与相应的 public 证书相关联。
您复制的错误消息清楚地表明缺少授权步骤。需要通过授予对逻辑应用服务主体 ('7cd684f4-8a78-49b0-91ec-6a35d38739ba') 的访问权限来授权逻辑应用对 Key Vault 执行操作。
执行上面给出的设置访问策略。
我已经复制了您发布的错误以供参考。
"Communication with key vault [MY_KEY_VAULT] failed. Please authorize logic apps to perform operations on key vault by granting access for the logic apps service principal '7cd684f4-8a78-49b0-91ec-6a35d38739ba' for 'list', 'get', 'decrypt' and 'sign' operations"
错误消息中给出的 Guid 有点误导。它指的是 Azure 逻辑应用程序服务帐户。
您可以通过在 KeyVault
中授予用户 'Azure Logic Apps' 所需的权限来解决此问题