Я пытаюсь получить доступ к секретам Key Vaults пользователей от имени пользователя, и меня немного смущает, как политики доступа Azure IAM работают вместе с политиками доступа Key Vaults. Я хочу предоставить приложению доступ к хранилищу ключей конкретного пользователя.
При чтении документов Azure Key Vault кажется, что «Пользователь плюс доступ к приложению / составная идентификация» позволили бы мне это сделать. Однако я не могу найти какие-либо примеры этой реализации в документах Azure. Я подумал, что «Выбрать принципала» = пользователь и «Авторизованное приложение» = конфигурация service_principal в хранилище ключей «Вкладка« Добавить политику доступа »» указывает, какое приложение может получить доступ к тому или иному хранилищу ключей от имени пользователя, но опция «Авторизованное приложение», похоже, не оказывает никакого влияния .
Я использую OAuth-авторизацию App / Service Principal для проверки того, находится ли пользователь в графе AD, и после этого пытаюсь получить доступ к конкретному хранилищу ключей от имени пользователя.
Политики доступа, которые я тестировал в настоящее время и которые не работают для меня:
Конфигурация, при которой у участника службы нет делегированных разрешений пользователям Служба хранилища ключей Azure
- Невозможно получить доступ к хранилищу ключей независимо от того, какая политика доступа к IAM или хранилищу ключей - Azure выдаст сообщение «Требуется согласие» при запросе токена.
Конфигурации, где у участника службы есть делегированные разрешения службе хранилища ключей Azure
- Когда политика доступа к хранилищам ключей установлена для пользователя / пользователя и участника службы, я могу получить доступ к секретам хранилищ ключей от имени пользователя.
- Однако это относится к любому из хранилищ ключей, которое есть у пользователя, которое мне не нужно.
Может ли кто-нибудь указать мне правильное направление доступа к конкретному хранилищу ключей от имени пользователя?