我不清楚如何使用系统分配的托管服务标识授权 Azure 应用服务从 Azure Key Vault 获取密钥。我是否使用 IAM 刀片并赋予应用服务标识读者角色?或者我是否进入访问策略刀片并找到应用服务标识的主体并授予其密钥权限?或者我是否同时执行两者?
答案1
假设您只需要托管身份从 Key Vault 内部读取数据,那么您可以使用访问策略刀片。
访问策略刀片控制读取保管库内容的权限。IAM 刀片控制在 Azure 中管理 Key Vault 对象本身的权限。
要授权应用服务从 Key Vault 获取密钥,我需要使用 IAM 刀片还是访问策略刀片?