如何为MSI启用功能应用程序访问Key Vault？

我有一个启用了Managed service identity（MSI）的功能应用程序。

我正在尝试使用此功能应用程序从我的密钥保管库访问密钥。

我已将代码添加到我的Function App中以检索秘密。

AzureServiceTokenProvider azureServiceTokenProvider = new AzureServiceTokenProvider();

var keyVaultClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));

var secret = await keyVaultClient.GetSecretAsync("https://test-prototype-vault.vault.azure.net/secrets/batman/guidhere").ConfigureAwait(false);

我收到以下错误：

Microsoft.Azure.WebJobs.Script: One or more errors occurred. Microsoft.Azure.KeyVault: Access denied.

我认为这是因为我需要（如上面的链接所述）。

您可能需要配置目标资源以允许从您的应用程序进行访问。例如，如果您向Key Vault请求令牌，则需要确保添加了包含应用程序标识的访问策略。

我不知道该怎么做。我已经去了我的Key Vault并试图添加一个访问策略 - 我找不到选择原则选项的应用程序。

Azure功能的设置。

当我尝试添加主体时会发生什么。