Externí vedlejšího správce účtů zobrazí varování a chyby při práci s trezoru klíčů Azure

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 3192496
Příznaky
Externí uživatel je vyroben vedlejšího správce nájemce a za úkol vytváření nového trezoru klíčů Azure. Však tento uživatel obdrží následující upozornění při vytvoření trezoru:

PS C:\ > nové AzureRmKeyVault - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>-umístění<Region>
Upozornění: Použití značek parametrů v této rutiny bude upravena v budoucí verzi. To bude mít vliv na vytváření,
aktualizace a přidávání značek pro prostředky Azure. Další informace o změně naleznete na adrese </Region></Resource_Group></Key_Vault_Name>https://github.com/Azure/Azure-PowerShell/issues/726#issuecomment-213545494
Upozornění: Chcete-li provést tuto akci nejsou povoleny hosta.

Název trezoru:<Key_Vault_Name>
Název skupiny prostředků:<Resource_Group>
Umístění:<Region>
Zdroj
ID: /subscriptions/<SubscriptionID>/resourceGroups/<Resource_Group>/providers/Microsoft.KeyVault/vaults/<Key_Vault_Name>
Trezor identifikátoru URI: </Key_Vault_Name></Resource_Group></SubscriptionID></Region></Resource_Group></Key_Vault_Name>https://. vault.azure.net
ID klienta:<TenantID>
SKU: standardní
Povoleno pro nasazení? : False
Povoleno pro nasazení šablony? : False
Povoleno šifrování disku? : False
Zásady přístupu:
Tagy:

Upozornění: Zásady přístupu není nastavena. Žádný uživatel nebo aplikace, které mají oprávnění používat tento trezor. Nastavit zásady přístupu pomocí nastavení AzureRmKeyVaultAccessPolicy.

</TenantID>
Navíc všechny pokusy uživatele ke správě zásad přístupu trezor klíč nebo o přidání klíče nebo tajemství trezoru aktivační událost chyby a selhání.

Pokud externí uživatel pokusí provést doporučený krok spuštění Sady AzureRmKeyVaultAccessPolicy Chcete-li konfigurovat zásady přístupu, dojde k následující chybě:

PS C:\ > sada AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@contoso.com - PermissionsToKeys získat, vytvořit, odstranit, seznam, aktualizace, import, zálohování, obnovení - PermissionsToSecrets všechny
Sada AzureRmKeyVaultAccessPolicy: Chcete-li provést tuto akci nejsou povoleny hosta.
Na řádku: 1 char: 1

+ Sada AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Set-AzureRmKeyVaultAccessPolicy], ODataErrorException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultAccessPolicy
Pokud se uživatel pokusí zobrazit trezor klíčů dojde k této chybě: PS C:\ > Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
Get-AzureKeyVaultKey: "Seznam" operace není povolena.
Na řádku: 1 char: 1
+ Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Get-AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.GetAzureKeyVaultKeyIf uživatel pokusí přidat klíč do trezoru klíčů dojde k této chybě: Pokud uživatel pokusí přidat klíč do trezoru klíčů dojde k této chybě: PS C:\ > přidat AzureKeyVaultKey - VaultName <Key_Vault_Name>-název <Key_Encryption_Key>-určení Software

Přidat AzureKeyVaultKey: Operace "vytvořit" není povoleno.
Na řádku: 1 char: 1
+ Přidat AzureKeyVaultKey - VaultName <Key_Vault_Name>-název KEK-určení Softwa...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Přidat AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.AddAzureKeyVaultKeyIf uživatel pokusí přidat tajný klíč do trezoru klíčů dojde k této chybě: PS C:\ > $Secret = ConvertTo SecureString-řetězec "Heslo1" - AsPlainText-síla
PS C:\ > sada AzureKeyVaultSecret - VaultName <Key_Vault_Name>-název tajného G - SecretValue $Secret
Set AzureKeyVaultSecret: Operace "set" není povoleno.
Na řádku: 1 char: 1

+ <Key_Vault_Name>Sada AzureKeyVaultSecret - VaultName-název tajného G - SecretValu...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Set-AzureKeyVaultSecret], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultSecret
</Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Encryption_Key></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></username></Resource_Group></Key_Vault_Name>
Příčina
Externí účty, které jsou účty guest nemají požadovanou úroveň oprávnění ke správě trezory na klíče a klíče a tajné klíče, které jsou v nich uloženy. To platí i v případě, že jejich účet je zobrazen jako vedlejšího správce předplatného.
Řešení
Existují dvě možnosti udělit oprávnění Správa trezorů klíč jako vedlejšího správce v nájemce potřebují externí účty:
  • Globální správce v nájemce provést guest účet vlastníka trezor klíč spuštěním následujícího příkazu:

    PS C:\ > VaultName - sada AzureRmKeyVaultAccessPolicy <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@outlook.com - PermissionsToKeys získat, vytvořit, odstranit, seznam, aktualizace, import, zálohování, obnovení - PermissionsToSecrets všech<b00> </b00> </username> </Resource_Group> </Key_Vault_Name>
  • Pokud externí účet bude vytvářet další klíč trezorů v tohoto klienta v budoucnosti a globální správy klienta chcete udělit oprávnění pro všechny nové trezory Key do budoucna, globální správce převést účet guest členem pomocí následujících kroků:

    1. Použijte modul Azure Active Directory PowerShell:

      PS C:\ > instalace modulu-název AzureADPreview

      PS C:\ > Import-Module-název AzureADPreview
      Globální správce můžete převést uživatele z hosta na člena spuštěním následujícího příkazu:

      PS C:\ > Get-AzureADUser-filtr "eq"Jméno příjmení"displayname" | Sada AzureADUser - UserType členské
    2. Externí uživatel nyní můžete vytvořit nový klíč trezory bez potíží. Pokud chtějí, mohou nastavit zásady přístupu na stávající trezor klíč tím, že samotné Creator Owner. To provedete tak, že shouldrun následující příkazy:

      PS C:\ > přihlašovací AzureRMAccount

      Poznámka: Pokud externí uživatel Microsoft účet (MSA), musíte zahrnout -TenantID parametr při připojení pomocí Připojit AzureAD, jak je znázorněno v následujícím příkladu. Systémem Přihlášení AzureRMAccountnejprve nabízí TenantID. Kopírovat TenantID z výstupu tohoto přihlášení a potom použijte účet Microsoft přihlásit klienta Azure.

      PS C:\ > připojit AzureAD - TenantId<TenantID></TenantID>

    3. Po externí uživatelé jsou ověřeni, budou mít sami vlastníci trezor klíč, který je vytvořen dříve a jejich přijetí upozornění, která je popsána v části "Příznaky" spuštěním následujícího příkazu:

      PS C:\ > VaultName - sada-AzureRmKeyVaultAccessPolicy <Key_Vault_Name>-ResourceGroupName <Resource_Group>-UserPrincipalName <username>@outlook.com - PermissionsToKeys získat, vytvořit, odstranit, seznam, aktualizace, import, zálohování, obnovení - PermissionsToSecrets všechny</username> </Resource_Group> </Key_Vault_Name>

      Pomocí tohoto příkazu stejným externím uživatelům můžete udělit servicePrincipals aplikací Azure AD potřebná oprávnění pro přístup k klíče a tajné klíče v trezoru.

      Kromě toho se můžete povolit příznaky jako-EnabledForDeployment nebo -EnabledForDiskEncryption spuštěním následujícího příkazu:

      PS C:\ > - VaultName sada AzureRmKeyVaultAccessPolicy <Key_Vault_Name>- ResourceGroupName <Resource_Group>-EnabledForDeployment-EnabledForDiskEncryption</Resource_Group> </Key_Vault_Name>

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 3192496 - Poslední kontrola: 09/19/2016 23:00:00 - Revize: 1.0

  • kbmt KB3192496 KbMtcs
Váš názor