Εξωτερικούς συνεργάτες διαχειριστή λογαριασμών λαμβάνετε προειδοποιήσεις και τα σφάλματα, όταν εργάζονται με θάλαμο κλειδί Azure

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 3192496
Συμπτώματα
Εξωτερικό χρήστη γίνεται ένας διαχειριστής κοινού από ένα μισθωτή και έχει ανατεθεί με τη δημιουργία ενός νέου θάλαμο Azure στο κλειδί. Ωστόσο, ο χρήστης αυτός λαμβάνει το ακόλουθο προειδοποιητικό μήνυμα, όταν δημιουργείται το θάλαμο:

PS C:\ > νέα AzureRmKeyVault - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>-θέση<Region>
ΠΡΟΕΙΔΟΠΟΊΗΣΗ: Η χρήση της παραμέτρου Tag σε αυτό το cmdlet θα τροποποιηθεί σε μελλοντική έκδοση. Αυτό θα επηρεάσει τη δημιουργία,
ενημέρωση και προσαρτώντας ετικέτες Azure πόρων. Για περισσότερες λεπτομέρειες σχετικά με την αλλαγή, επισκεφθείτε </Region></Resource_Group></Key_Vault_Name>https://github.com/Azure/Azure-PowerShell/issues/726#issuecomment-213545494
ΠΡΟΕΙΔΟΠΟΊΗΣΗ: Δεν επιτρέπεται στους χρήστες για να εκτελέσετε αυτήν την ενέργεια.

Όνομα θάλαμο:<Key_Vault_Name>
Όνομα ομάδας πόρων:<Resource_Group>
Θέση:<Region>
Πόρος
Αναγνωριστικό: /subscriptions/<SubscriptionID>/resourceGroups/<Resource_Group>/providers/Microsoft.KeyVault/vaults/<Key_Vault_Name>
Θάλαμο URI: </Key_Vault_Name></Resource_Group></SubscriptionID></Region></Resource_Group></Key_Vault_Name>https://. vault.azure.net
Αναγνωριστικό μισθωτών:<TenantID>
SKU: Βασική
Δυνατότητα για ανάπτυξη; : False
Δυνατότητα για την ανάπτυξη του προτύπου; : False
Ενεργοποιημένη για κρυπτογράφηση δίσκου; : False
Πολιτικές πρόσβασης:
Ετικέτες:

ΠΡΟΕΙΔΟΠΟΊΗΣΗ: Δεν έχει οριστεί πολιτική πρόσβασης. Δεν υπάρχει χρήστης ή μια εφαρμογή έχει δικαιώματα πρόσβασης για να χρησιμοποιήσετε αυτό το θάλαμο. Για να ορίσετε πολιτικές πρόσβασης, χρησιμοποιήστε το σύνολο AzureRmKeyVaultAccessPolicy.

</TenantID>
Επιπλέον, όλες οι προσπάθειες από αυτόν το χρήστη για τη διαχείριση της πολιτικής πρόσβασης θάλαμο κλειδί ή για να προσθέσετε κλειδιών ή απόρρητα τα σφάλματα ενεργοποίησης θάλαμο και να αποτύχει.

Εάν η εξωτερική χρήστης προσπαθήσει να εκτελέσει το συνιστώμενο βήμα εκτελεί το Σύνολο AzureRmKeyVaultAccessPolicy , για να ρυθμίσετε τις παραμέτρους της πολιτικής πρόσβασης, ενεργοποιείται το ακόλουθο μήνυμα λάθους:

PS C:\ > σύνολο-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@contoso.com - PermissionsToKeys λήψη, δημιουργία, διαγραφή, λίστα, ενημέρωση, εισαγωγή, δημιουργία αντιγράφων ασφαλείας, επαναφορά - PermissionsToSecrets όλων
Σύνολο-AzureRmKeyVaultAccessPolicy: Δεν επιτρέπεται στους χρήστες για να εκτελέσετε αυτήν την ενέργεια.
Στη γραμμή: 1 χαρακτήρας: 1

+ Ορισμός-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Σύνολο-AzureRmKeyVaultAccessPolicy], ODataErrorException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultAccessPolicy
Εάν ο χρήστης προσπαθήσει να προβάλετε τον θάλαμο κλειδί αποτυγχάνει με το σφάλμα: PS C:\ > Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
Get-AzureKeyVaultKey: "Λίστα" δεν επιτρέπεται η λειτουργία
Στη γραμμή: 1 χαρακτήρας: 1
+ Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Get-AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.GetAzureKeyVaultKeyIf ο χρήστης επιχειρήσει να προσθέσει έναν αριθμό-κλειδί για το θάλαμο κλειδί αποτύχει με σφάλμα: αν ο χρήστης που προσπαθεί να προσθέσει ένα κλειδί το θάλαμο κλειδί αποτυγχάνει με το σφάλμα: PS C:\ > Add-AzureKeyVaultKey - VaultName <Key_Vault_Name>-όνομα <Key_Encryption_Key>-λογισμικό προορισμού

Προσθήκη AzureKeyVaultKey: Η λειτουργία "Δημιουργία" είναι δεν επιτρέπεται η
Στη γραμμή: 1 χαρακτήρας: 1
+ Προσθήκη-AzureKeyVaultKey - VaultName <Key_Vault_Name>-όνομα KEK-προορισμού Softwa...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Προσθήκη-AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.AddAzureKeyVaultKeyIf, ο χρήστης που προσπαθεί να προσθέσει έναν μυστικό κωδικό το θάλαμο κλειδί αποτυγχάνει με το σφάλμα: PS C:\ > $Secret = ConvertTo-SecureString-AsPlainText - συμβολοσειρά 'Password1'-Force
PS C:\ > σύνολο-AzureKeyVaultSecret - VaultName <Key_Vault_Name>-όνομα Secret Γ - SecretValue $Secret
Σύνολο-AzureKeyVaultSecret: Η λειτουργία "σύνολο" δεν επιτρέπεται
Στη γραμμή: 1 χαρακτήρας: 1

+ Ορισμός-AzureKeyVaultSecret - VaultName <Key_Vault_Name>-όνομα Secret Γ - SecretValu...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Σύνολο-AzureKeyVaultSecret], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultSecret
</Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Encryption_Key></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></username></Resource_Group></Key_Vault_Name>
Αιτία
Εξωτερικοί λογαριασμοί που είναι οι λογαριασμοί guest δεν έχει το επίπεδο πρόσβασης απαιτείται για να διαχειριστείτε το κλειδί θαλάμους και τα κλειδιά και τα μυστικά που αποθηκεύονται σε αυτές. Αυτό ισχύει ακόμη και αν αναφέρεται ως διαχειριστής συνεργάτες της εγγραφής λογαριασμό.
Προτεινόμενη αντιμετώπιση
Υπάρχουν δύο επιλογές για να παραχωρήσετε εξωτερικοί λογαριασμοί τα δικαιώματα που χρειάζονται για τη Διαχείριση θάλαμοι κλειδί ως διαχειριστής συνεργάτες του ο ένοικος:
  • Μιας καθολικής διαχείρισης σε ο ένοικος μπορεί να κάνει το guest λογαριασμό κατόχου από το θάλαμο κλειδί εκτελώντας την ακόλουθη εντολή:

    PS C:\ > σύνολο-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@outlook.com - PermissionsToKeys λήψη, δημιουργία, διαγραφή, λίστα, ενημέρωση, εισαγωγή, δημιουργία αντιγράφων ασφαλείας, επαναφορά - PermissionsToSecrets όλα<b00> </b00> </username> </Resource_Group> </Key_Vault_Name>
  • Εάν ο εξωτερικός λογαριασμός πρόκειται να δημιουργήσετε περισσότερες κλειδί θαλάμους σε αυτή μισθωτών στο μέλλον και ο μισθωτής καθολικής διαχείρισης θέλετε να παραχωρήσετε δικαιώματα σε όλα τα νέα θάλαμοι κλειδί πορεία, της καθολικής διαχείρισης να μετατρέψετε το λογαριασμό guest σε ένα μέλος, ακολουθώντας τα εξής βήματα:

    1. Χρησιμοποιήστε τη λειτουργική μονάδα Azure ενεργό PowerShell καταλόγου:

      PS C:\ > ενότητα εγκατάσταση-όνομα AzureADPreview

      PS C:\ > μονάδα εισαγωγής-όνομα AzureADPreview
      Το καθολικό admin να μετατρέψετε ο χρήστης από guest, σε κράτος, εκτελώντας την ακόλουθη εντολή:

      PS C:\ > Get AzureADUser-φίλτρο "eq εμφανιζόμενο όνομα"Όνομα Επώνυμο"" | Σύνολο AzureADUser - UserType μέλος
    2. Τώρα το εξωτερικό χρήστη να δημιουργήσετε νέο κλειδί θαλάμους χωρίς πρόβλημα. Αν θέλουν, μπορούν να ορίσουν την πολιτική πρόσβασης από το υπάρχον κλειδί θάλαμο, κάνοντας τους του δημιουργού/κατόχου. Για να το κάνετε αυτό, τους shouldrun τις ακόλουθες εντολές:

      PS C:\ > AzureRMAccount σύνδεσης

      Σημείωση Εάν το εξωτερικό χρήστη είναι ένας λογαριασμός Microsoft (MSA), πρέπει να συμπεριλάβετε το -TenantID Όταν συνδέονται χρησιμοποιώντας την παράμετρο Σύνδεση AzureAD, όπως φαίνεται στο παρακάτω παράδειγμα. Εκτέλεση AzureRMAccount σύνδεσηςπρώτα παρέχει το TenantID. Αντιγράψτε το TenantID από την έξοδο από αυτήν τη σύνδεση και, στη συνέχεια, να το χρησιμοποιήσετε για να συνδεθείτε στο λογαριασμό Microsoft σε ο ένοικος Azure.

      PS C:\ > σύνδεση-AzureAD - TenantId<TenantID></TenantID>

    3. Μετά από εξωτερικούς χρήστες υποβάλλονται σε έλεγχο ταυτότητας, μπορούν να τους κάνουν ιδιοκτήτες ένα θάλαμο κλειδί που έχουν δημιουργήσει προηγουμένως και για την οποία έλαβαν την προειδοποίηση που περιγράφεται στην ενότητα "Συμπτώματα", εκτελώντας την ακόλουθη εντολή:

      PS C:\ > σύνολο-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>-UserPrincipalName <username>@outlook.com - PermissionsToKeys λήψη, δημιουργία, διαγραφή, λίστα, ενημέρωση, εισαγωγή, δημιουργία αντιγράφων ασφαλείας, επαναφορά - PermissionsToSecrets όλων</username> </Resource_Group> </Key_Vault_Name>

      Χρησιμοποιώντας αυτήν την ίδια εντολή, στους εξωτερικούς χρήστες να εκχωρήσετε servicePrincipals για εφαρμογές Azure AD τα απαραίτητα δικαιώματα για πρόσβαση σε πλήκτρα και απόρρητα στο το θάλαμο.

      Επιπλέον, μπορούν να το ενεργοποιήσουν σημαίες όπως-EnabledForDeployment ή -EnabledForDiskEncryption εκτελώντας την ακόλουθη εντολή:

      PS C:\ > σύνολο-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>-EnabledForDeployment-EnabledForDiskEncryption</Resource_Group> </Key_Vault_Name>

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Свойства

ИД на статията: 3192496 – Последен преглед: 09/19/2016 23:01:00 – Редакция: 1.0

  • kbmt KB3192496 KbMtel
Обратна връзка