Você está offline; aguardando reconexão

Contas de administrador colaboradores externos recebem avisos e erros quando eles funcionam com o Azure chave Vault

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3192496
Sintomas
Um usuário externo é feito a um colega administrador de um locatário e é designado para criar um novo cofre chave do Azure. No entanto, o usuário recebe o seguinte aviso quando o cofre é criado:

PS C:\ > novo AzureRmKeyVault - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>-local<Region>
Aviso: O uso do parâmetro de marca nesse cmdlet será modificado em uma versão futura. Isso afetará a criação,
atualizar e anexar marcas para recursos do Azure. Para obter mais detalhes sobre a alteração, visite </Region></Resource_Group></Key_Vault_Name>https://GitHub.com/Azure/Azure-PowerShell/issues/726#issuecomment-213545494
Aviso: Os usuários convidados não tem permissão para executar esta ação.

Nome do cofre:<Key_Vault_Name>
Nome do grupo de recursos:<Resource_Group>
Local:<Region>
Recurso
Identificação: /subscriptions/<SubscriptionID>/resourceGroups/<Resource_Group>/providers/Microsoft.KeyVault/vaults/<Key_Vault_Name>
URI do cofre: </Key_Vault_Name></Resource_Group></SubscriptionID></Region></Resource_Group></Key_Vault_Name>https://. vault.azure.net
ID do inquilino:<TenantID>
SKU: padrão
Habilitado para implantação? : Falso
Habilitado para implantação de modelo? : Falso
Habilitado para criptografia de disco? : Falso
Diretivas de acesso:
Marcas:

Aviso: A diretiva de acesso não está definida. Nenhum usuário ou aplicativo tem permissão de acesso para usar o cofre. Use o AzureRmKeyVaultAccessPolicy de conjunto para definir as diretivas de acesso.

</TenantID>
Além disso, todas as tentativas que o usuário para gerenciar a diretiva de acesso de Cofre de chave ou de adicionar chaves ou segredos para os erros de disparador vault e falhar.

Se o usuário externo tenta realizar a etapa recomendada de executar o Conjunto de AzureRmKeyVaultAccessPolicy para configurar a diretiva de acesso, o seguinte erro é disparado:

PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@contoso.com - PermissionsToKeys obter, criar, excluir, listar, atualizar, importar, fazer backup, restaurar - PermissionsToSecrets todos os
Set-AzureRmKeyVaultAccessPolicy: Os usuários convidados não tem permissão para executar esta ação.
Linha: 1 caractere: 1

+ Definir-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Conjunto-AzureRmKeyVaultAccessPolicy] ODataErrorException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultAccessPolicy
Se o usuário tenta exibir o cofre chave falhar com este erro: PS C:\ > Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
Get-AzureKeyVaultKey: "List" a operação não é permitida
Linha: 1 caractere: 1
+ Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Get-AzureKeyVaultKey] KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.GetAzureKeyVaultKeyIf o usuário tentar adicionar uma chave ao Cofre de chave falhar com este erro: se o usuário tentar adicionar uma chave ao Cofre de chave falhar com este erro: PS C:\ > Add-AzureKeyVaultKey - VaultName <Key_Vault_Name>-nome <Key_Encryption_Key>-Software de destino

Adicionar-AzureKeyVaultKey: Operação "criar" não é permitido
Linha: 1 caractere: 1
+ Adicionar-AzureKeyVaultKey - VaultName <Key_Vault_Name>-nome KEK-destino Softwa...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Adicionar-AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.AddAzureKeyVaultKeyIf o usuário tenta adicionar um segredo ao Cofre de chave falhar com este erro: PS C:\ > $Secret = ConvertTo-SecureString-cadeia de caracteres 'Senha1' - AsPlainText-força
PS C:\ > Set-AzureKeyVaultSecret - VaultName <Key_Vault_Name>-nome do G-Secret - SecretValue $Secret
Conjunto de AzureKeyVaultSecret: Operação "set" não é permitido
Linha: 1 caractere: 1

+ Definir-AzureKeyVaultSecret - VaultName <Key_Vault_Name>-nome do segredo G - SecretValu...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Conjunto-AzureKeyVaultSecret] KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultSecret
</Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Encryption_Key></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></username></Resource_Group></Key_Vault_Name>
Causa
Contas externas são contas de convidado não tem o nível de acesso necessário para gerenciar cofres chave e as chaves e os segredos são armazenados neles. Isso é verdadeiro mesmo que sua conta está listada como um administrador de colegas da inscrição.
Resolução
Há duas opções para conceder as permissões necessárias para gerenciar os cofres chave como um administrador de conjunto de Inquilino de contas externas:
  • Um administrador global no inquilino pode fazer com que o convidado da conta do proprietário da chave do cofre, executando o seguinte comando:

    PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@outlook.com - PermissionsToKeys obter, criar, excluir, listar, atualizar, importar, fazer backup, restaurar - PermissionsToSecrets todas as<b00> </b00> </username> </Resource_Group> </Key_Vault_Name>
  • Se a conta externa criará mais cofres chave neste inquilino no futuro e administração global do inquilino não quiser conceder permissões a todos os novos compartimentos de chave no futuro, o administrador global pode converter a conta de convidado em um membro seguindo estas etapas:

    1. Use o módulo do Azure Active Directory PowerShell:

      PS C:\ > módulo de instalação-nome do AzureADPreview

      PS C:\ > Import-Module-nome do AzureADPreview
      O administrador global pode converter o usuário do convidado para membro executando o seguinte comando:

      PS C:\ > Get-AzureADUser-filtro "eq displayname 'Firstname Lastname'" | Conjunto AzureADUser - UserType membro
    2. Agora o usuário externo pode criar novos cofres chave sem problemas. Se desejar, eles podem definir a diretiva de acesso no cofre de chave existente, tornando-se o proprietário/criador. Para fazer isso, eles shouldrun os seguintes comandos:

      PS C:\ > Login AzureRMAccount

      Observação: Se o usuário externo é uma conta MSA (Microsoft), deve incluir o -TenantID Quando eles se conectam por meio de parâmetro Conexão AzureAD, conforme mostrado no exemplo a seguir. Em execução AzureRMAccount de loginprimeiro fornece o TenantID. Copie o TenantID da saída desse logon e, em seguida, usá-lo para efetuar a conta da Microsoft em inquilino Azure.

      PS C:\ > AzureAD conectar - TenantId<TenantID></TenantID>

    3. Depois que os usuários externos são autenticados, eles podem tornar-se proprietários de um cofre de chave que eles criados anteriormente e para que eles recebidos de aviso descrita na seção "Sintomas" executando o seguinte comando:

      PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>-UserPrincipalName <username>@outlook.com - PermissionsToKeys obter, criar, excluir, listar, atualizar, importar, fazer backup, restaurar - PermissionsToSecrets todos os</username> </Resource_Group> </Key_Vault_Name>

      Usando esse mesmo comando, os usuários externos podem conceder servicePrincipals para aplicativos do Azure AD as permissões necessárias para acessar as chaves e segredos no cofre.

      Além disso, eles podem ativar sinalizadores como-EnabledForDeployment ou -EnabledForDiskEncryption executando o comando a seguir:

      PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>-EnabledForDeployment-EnabledForDiskEncryption</Resource_Group> </Key_Vault_Name>

Propriedades

ID do Artigo: 3192496 - Última Revisão: 09/20/2016 01:57:00 - Revisão: 1.0

  • kbmt KB3192496 KbMtpt
Comentários