С помощью Azure Key Vault можно предоставить доступ для чтения одного секретного, а не секретного ключа в хранилище ключей, для которого у клиента есть URI?Можно ли изменить права доступа к одному секретному хранилищу ключей?
На сегодняшний день нет. Доступ может предоставляться только на уровне хранилища с помощью политик доступа (в это время может быть определено максимально 16 политик доступа), и как только пользователю или приложению предоставляется доступ к секретам, доступ применим ко всем секретам этого хранилища.
Одним из возможных решений было бы создать одно хранилище для каждого тайна. Я попытался найти limits on number of vaults, который вы можете получить в подписке, но не смог найти. Очевидно, что этот подход означал бы большую головную боль управления в управлении этими многочисленными хранилищами, и мы не знаем, сколько максимальных хранилищ вы можете получить за подписку.
Почему количество политик доступа ограничено до 16? Это безумие в отношении «обещания» MSI. Тогда только 16 приложений могут иметь доступ к KeyVault. – Anders