基本上我正在尝试将私有证书(.pfx 文件)添加到集成帐户。我正在使用新的门户。
我做了什么/创造了什么:
每当我转到我的集成帐户 > 证书 > 添加 > 选择 [Certificate Type]="Private" 时,组合框 Resource Group 和 Key Vault 会自动填充,但 Key Name 会引发以下错误:
与密钥保管库 [MY_KEY_VAULT] 的通信失败。请通过授予逻辑应用服务主体“7cd684f4-8a78-49b0-91ec-6a35d38739ba”对“列表”、“获取”、“解密”和“签名”操作的访问权限,授权逻辑应用对密钥保管库执行操作。
奇怪的是,ObjectID 7cd684f4-8a78-49b0-91ec-6a35d38739ba 不属于我的 AD,而是属于我的公司 AD。
错误消息中给出的 Guid 有点误导。它指的是 Azure 逻辑应用服务帐户。
您可以通过在 KeyVault 中为用户“Azure 逻辑应用”授予所需权限来解决此问题
需要设置访问策略
创建私有证书时,请执行以下步骤:
将密钥上传到密钥保管库
设置访问策略,其中逻辑应用服务主体“7cd684f4-8a78-49b0-91ec-6a35d38739ba”
设置访问策略:
Set-AzureRmKeyVaultAccessPolicy -VaultName 'IntegrationAccountVault1' -ServicePrincipalName $servicePrincipal -PermissionsToKeys decrypt, sign, get, list
在集成帐户中,使用添加证书并从下拉列表中选择私有证书。将密钥与相应的公共证书关联。
您复制的错误消息清楚地表明缺少授权步骤。需要通过授予对逻辑应用服务主体 ('7cd684f4-8a78-49b0-91ec-6a35d38739ba') 的访问权限来授权逻辑应用对 Key Vault 执行操作。
执行上面给出的设置访问策略。
我已复制您发布的错误以供参考。
“与密钥保管库 [MY_KEY_VAULT] 的通信失败。请通过授予逻辑应用服务主体 '7cd684f4-8a78-49b0-91ec-6a35d38739ba' 的访问权限来授权逻辑应用对密钥保管库执行操作 'list'、'get'、'解密'和'签名'操作"