Azure - 添加私有證書 - Key Vault 密鑰和權限錯誤

Question

基本上，我正在嘗試將私有證書（.pfx 文件）添加到集成帳戶。 我正在使用新門戶。

我所做的/創造的：

• 資源組
• 集成帳戶
• 密鑰保管庫
• 活動目錄
• 使用命令 Set-AzureRmKeyVaultAccessPolicy 向我的用戶授予對所有密鑰和機密的權限

每當我轉到我的集成帳戶 > 證書 > 添加 > 選擇 [Certificate Type]="Private" 時，組合框資源組和密鑰保管庫會自動填充，但密鑰名稱會引發以下錯誤：

與密鑰保管庫 [MY_KEY_VAULT] 的通信失敗。 請通過授予邏輯應用服務主體“7cd684f4-8a78-49b0-91ec-6a35d38739ba”的訪問權限來授權邏輯應用對密鑰保管庫執行“列表”、“獲取”、“解密”和“簽名”操作。

奇怪的是，ObjectID 7cd684f4-8a78-49b0-91ec-6a35d38739ba 不屬於我的 AD 而是我公司的 AD。

Answer 1

錯誤消息中給出的 Guid 有點誤導。 它指的是 Azure 邏輯應用服務帳戶。

您可以通過在 KeyVault 中向用戶“Azure Logic Apps”授予所需權限來解決該問題

Answer 2

需要設置訪問策略

創建私有證書時，請按照下列步驟操作：

1. 將密鑰上傳到密鑰保管庫

2. 設置訪問策略，其中邏輯應用服務主體 '7cd684f4-8a78-49b0-91ec-6a35d38739ba'

   設置訪問策略：

    Set-AzureRmKeyVaultAccessPolicy -VaultName 'IntegrationAccountVault1' -ServicePrincipalName $servicePrincipal -PermissionsToKeys decrypt, sign, get, list

3. 在集成帳戶中，使用添加證書並從下拉列表中選擇私有證書。 將密鑰與相應的公共證書相關聯。

Answer 3

您復制的錯誤消息明確表示缺少授權步驟。 需要通過授予對邏輯應用服務主體 ('7cd684f4-8a78-49b0-91ec-6a35d38739ba') 的訪問權限來授權邏輯應用在 Key Vault 上執行操作。

執行上面給出的設置訪問策略。

我已復制您發布的錯誤以供參考。

“與密鑰保管庫 [MY_KEY_VAULT] 的通信失敗。請通過授予邏輯應用服務主體“7cd684f4-8a78-49b0-91ec-6a35d38739ba”的訪問權限來授權邏輯應用對密鑰保管庫執行“列表”、“獲取”、“解密'和'簽名'操作”