是的，即使你的应用拥有Azure订阅级别的Owner权限，默认情况下仍然需要将其添加到Key Vault的访问策略中，才能通过HTTP GET方法成功检索密钥值。下面具体解释原因：

• Key Vault默认采用独立的访问控制体系
  Azure订阅级的RBAC角色（比如Owner）主要用于管控订阅内资源的创建、删除、全局配置等操作，但这些权限并不会自动延伸到Key Vault内部的密钥/机密/证书的具体访问。Key Vault默认使用专属的访问策略系统，只有在访问策略中明确分配了密钥Get权限的主体（应用、用户等），才能执行HTTP GET操作获取密钥值。

• 两种权限模型的区别
  Key Vault支持两种权限管控模式，不同模式下的权限逻辑差异明显：

  • 访问策略模式（默认）：此时订阅Owner没有对Key Vault内容的访问权限，必须手动在Key Vault的"访问策略"页面，为你的应用添加包含密钥 -> Get权限的条目。
  • Azure RBAC模式（可选）：如果你在Key Vault的"访问控制(IAM)"页面启用了Azure RBAC权限模型，那么订阅Owner作为RBAC的最高权限角色，会自动拥有对Key Vault所有内容的操作权限（包括密钥的Get操作），这种情况下就不需要额外配置访问策略。

• HTTP请求的权限验证逻辑
  当你的应用发送HTTP GET请求到Key Vault时，服务会根据当前Key Vault的权限模式进行校验：

  • 若为访问策略模式：检查请求的身份是否在访问策略中拥有对应的Get权限；
  • 若为Azure RBAC模式：检查请求的身份是否被分配了包含Microsoft.KeyVault/vaults/keys/read权限的RBAC角色（Owner角色默认包含这个权限）。

小提示：你可以在Key Vault的"访问配置"页面查看当前使用的权限模式，确认需要配置哪种权限方式。

内容的提问来源于stack exchange，提问作者Kai950