Las cuentas de administrador de colaboración externo reciben advertencias y errores cuando trabajan con Azure clave Vault

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3192496
Síntomas
Un usuario externo es un administrador de conjunto de un arrendatario y se encarga de crear un nuevo depósito clave de Azure. Sin embargo, recibirá la siguiente advertencia cuando se crea la caja fuerte:

PS C:\ > <Key_Vault_Name>nueva AzureRmKeyVault - VaultName - ResourceGroupName <Resource_Group>-ubicación<Region>
Advertencia: Se modificarán el uso del parámetro de la etiqueta de este cmdlet en una versión futura. Esto afectará la creación,
actualizar y agregar etiquetas de Azure recursos. Para obtener más información acerca del cambio, visite </Region></Resource_Group></Key_Vault_Name>https://github.com/Azure/Azure-PowerShell/issues/726#issuecomment-213545494
Advertencia: No se permiten los usuarios invitados para realizar esta acción.

Nombre del depósito:<Key_Vault_Name>
Nombre del grupo de recursos:<Resource_Group>
Ubicación:<Region>
Recurso
ID: /subscriptions/<SubscriptionID>/resourceGroups/<Resource_Group>/providers/Microsoft.KeyVault/vaults/<Key_Vault_Name>
URI de caja fuerte: </Key_Vault_Name></Resource_Group></SubscriptionID></Region></Resource_Group></Key_Vault_Name>https://. vault.azure.net
Id. de inquilinos:<TenantID>
SKU: estándar
¿Habilitado para la implementación? : False
¿Habilitado para la implementación de la plantilla? : False
¿Habilitado para el cifrado de disco? : False
Directivas de acceso:
Etiquetas:

Advertencia: No se establece la directiva de acceso. Ningún usuario o aplicación tiene permiso de acceso para utilizar este depósito. Utilice Set AzureRmKeyVaultAccessPolicy para establecer las directivas de acceso.

</TenantID>
Además, todos los intentos de ese usuario para administrar la directiva de acceso de clave Vault o para agregar claves o secretos a los errores de desencadenador de bóveda y producirá un error.

Si el usuario externo intenta realizar el paso recomendado de ejecutar Set AzureRmKeyVaultAccessPolicy para configurar la directiva de acceso, se activa el siguiente error:

PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@contoso.com - PermissionsToKeys obtener, crear, eliminar, enumerar, actualizar, importar, backup, restore - PermissionsToSecrets todos los
Set-AzureRmKeyVaultAccessPolicy: No se permiten los usuarios invitados para realizar esta acción.
En línea: 1 char: 1

+ <Key_Vault_Name>Set-AzureRmKeyVaultAccessPolicy - VaultName - ResourceGroupName...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Set-AzureRmKeyVaultAccessPolicy], ODataErrorException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultAccessPolicy
Si el usuario intenta ver el depósito de clave se produce este error: PS C:\ > Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
Get-AzureKeyVaultKey: No se permite la operación "lista"
En línea: 1 char: 1
+ Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Get-AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.GetAzureKeyVaultKeyIf el usuario intenta agregar una clave a la caja fuerte de clave se produce este error: si el usuario intenta agregar una clave a la caja fuerte de clave se produce este error: PS C:\ > Add-AzureKeyVaultKey - VaultName <Key_Vault_Name>-nombre de <Key_Encryption_Key>-Software de destino

Agregar-AzureKeyVaultKey: Operación "crear" no está permitido
En línea: 1 char: 1
+ Agregar-AzureKeyVaultKey - VaultName <Key_Vault_Name>-nombre KEK-Softwa de destino...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Agregar-AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.AddAzureKeyVaultKeyIf que el usuario intenta agregar un secreto en el depósito de clave se produce este error: PS C:\ > $Secret = ConvertTo-SecureString-cadena 'Password1' - AsPlainText-Force
PS C:\ > Set-AzureKeyVaultSecret - VaultName <Key_Vault_Name>-$Secret el nombre secreto de G - SecretValue
Set-AzureKeyVaultSecret: Operación "set" no está permitido
En línea: 1 char: 1

+ <Key_Vault_Name>Set-AzureKeyVaultSecret - VaultName-SecretValu - G secreto el nombre...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Set-AzureKeyVaultSecret], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultSecret
</Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Encryption_Key></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></username></Resource_Group></Key_Vault_Name>
Causa
Cuentas externas que son las cuentas de invitado no tienen el nivel de acceso requerido para administrar depósitos de clave, las claves y los secretos que se almacenan en ellas. Esto es cierto incluso si su cuenta se muestra como un administrador del conjunto de la suscripción.
Solución
Existen dos opciones para conceder los permisos que necesitan para administrar depósitos clave como administrador de CO en los inquilinos de cuentas externas:
  • Un administrador global en el inquilino puede hacer que el invitado cuenta el propietario de la caja fuerte de clave ejecutando el comando siguiente:

    PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>ResourceGroupName - <Resource_Group>- UserPrincipalName <username>@outlook.com - PermissionsToKeys obtener, crear, eliminar, enumerar, actualizar, importar, backup, restore - PermissionsToSecrets todos los<b00> </b00> </username> </Resource_Group> </Key_Vault_Name>
  • Si la cuenta externa va a crear más depósitos de la clave en este arrendatario en el futuro, y el administrador global del inquilino no desea conceder permisos a todos los depósitos clave nuevo en el futuro, el administrador global puede convertir la cuenta de invitado a un miembro, siga estos pasos:

    1. Utilice el módulo de Azure Active Directory PowerShell:

      PS C:\ > módulo de instalación-nombre AzureADPreview

      PS C:\ > Import-Module-nombre AzureADPreview
      El administrador global puede convertir al usuario de invitado a miembro ejecutando el comando siguiente:

      PS C:\ > Get-AzureADUser-filtro "displayname eq 'Firstname Lastname'" | Conjunto AzureADUser - UserType miembro
    2. Ahora el usuario externo puede crear nuevos depósitos clave sin problemas. Si lo desea, puede establecer la directiva de acceso en el depósito de clave existente haciendo que ellos mismos el creador o propietario. Para ello, se shouldrun los siguientes comandos:

      PS C:\ > AzureRMAccount de inicio de sesión

      Nota: Si el usuario externo es una cuenta de Microsoft (MSA), deben incluir el -TenantID parámetro cuando se conectan mediante AzureAD conectar, como se muestra en el ejemplo siguiente. Ejecuta Inicio de sesión AzureRMAccounten primer lugar proporciona la TenantID. Copie la TenantID de la salida de este inicio de sesión y, a continuación, utilizarlo para iniciar la sesión de la cuenta de Microsoft en el inquilino de Azure.

      PS C:\ > conectar-AzureAD - TenantId<TenantID></TenantID>

    3. Después se autentican los usuarios externos, pueden realizar ellos mismos los propietarios de un depósito de clave que se crearon anteriormente y por la que hayan percibido la advertencia que se describe en la sección "Síntomas" al ejecutar el comando siguiente:

      PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>-UserPrincipalName <username>@outlook.com PermissionsToKeys - obtener, crear, eliminar, enumerar, actualizar, importar, copia de seguridad, restaurar PermissionsToSecrets-todos los</username> </Resource_Group> </Key_Vault_Name>

      Con este mismo comando, los usuarios externos pueden conceder servicePrincipals para aplicaciones de Azure AD los permisos necesarios para tener acceso a las claves y los secretos de la caja fuerte.

      Además, pueden habilitar como indicadores-EnabledForDeployment o -EnabledForDiskEncryption ejecutando el comando siguiente:

      PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>-EnabledForDeployment-EnabledForDiskEncryption</Resource_Group> </Key_Vault_Name>

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3192496 - Última revisión: 09/19/2016 23:02:00 - Revisión: 1.0

  • kbmt KB3192496 KbMtes
Comentarios