Konfigurieren des Zugriffs auf Key Vault, darunter Tresorzugriffsrichtlinien und rollenbasierte Zugriffssteuerung in Azure
Die rollenbasierte Zugriffssteuerung (Azure Role-Based Access Control, Azure RBAC) ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine präzise Verwaltung des Zugriffs auf Azure-Ressourcen ermöglicht.
Azure RBAC ermöglicht Benutzern das Verwalten von Berechtigungen für Schlüssel, Geheimnisse und Zertifikate. Es bietet einen Ort, an dem alle Berechtigungen für alle Schlüsseltresore verwaltet werden können.
Mit der rollenbasierten Zugriffssteuerung in Azure (RBAC) können Benutzer*innen Berechtigungen für verschiedene Bereichsebenen festlegen: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Einzelressourcen. Die Azure-RBAC für Key Vault bietet Benutzer*innen außerdem die Möglichkeit, separate Berechtigungen für einzelne Schlüssel, Geheimnisse und Zertifikate zuzuweisen.
Bewährte Methoden für Rollenzuweisungen für einzelne Schlüssel, Geheimnisse und Zertifikate
Es wird empfohlen, einen Schlüsseltresor pro Anwendung und Umgebung (Entwicklung, Präproduktion und Produktion) zu verwenden.
Die Berechtigungen für einzelne Schlüssel, Geheimnisse und Zertifikate sollten nur in bestimmten Szenarien verwendet werden:
- Das Freigeben einzelner Geheimnisse zwischen mehreren Anwendungen, z. B. muss eine Anwendung auf Daten aus der anderen Anwendung zugreifen
In Azure integrierte Rollen für Key Vault-Vorgänge auf Datenebene
Hinweis
Die Rolle „Key Vault-Mitwirkender“ ist für Vorgänge auf Verwaltungsebene vorgesehen und dient nur zum Verwalten von Schlüsseltresoren. Sie lässt nicht den Zugriff auf Schlüssel, Geheimnisse und Zertifikate zu.
| Integrierte Rolle | Beschreibung | ID |
|---|---|---|
| Key Vault-Administrator | Ausführen beliebiger Vorgänge auf Datenebene für einen Schlüsseltresor und alle darin enthaltenen Objekte (einschließlich Zertifikate, Schlüssel und Geheimnisse). Kann keine Key Vault-Ressourcen oder Rollenzuweisungen verwalten. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault-Zertifikatbeauftragter | Ausführen beliebiger Aktionen für die Zertifikate eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault-Kryptografiebeauftragter | Ausführen beliebiger Aktionen für die Schlüssel eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Key Vault Crypto Service Encryption-Benutzer | Lesen von Metadaten von Schlüsseln und Ausführen von Vorgängen zum Packen/Entpacken. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault-Kryptografiebenutzer | Ausführen kryptografischer Vorgänge mithilfe von Schlüsseln. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault-Leser | Lesen von Metadaten von Schlüsseltresoren und deren Zertifikaten, Schlüsseln und Geheimnissen. Sensible Werte, z. B. der Inhalt von Geheimnissen oder Schlüsselmaterial, können nicht gelesen werden. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault-Geheimnisbeauftragter | Ausführen beliebiger Aktionen für die Geheimnisse eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault-Geheimnisbenutzer | Lesen geheimer Inhalte einschließlich geheimer Teile eines Zertifikats mit privatem Schlüssel. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden. | 4633458b-17de-408a-b874-0445c86b69e6 |
Hinweis
Die Rolle „Key Vault-Zertifikatbenutzer“ gibt es nicht, da Anwendungen einen geheimen Teil des Zertifikats mit privatem Schlüssel benötigen. Die Rolle „Geheimnisbenutzer für Schlüsseltresore“ sollte für Anwendungen zum Abrufen des Zertifikats verwendet werden.
Verwalten integrierter Rollenzuweisungen im Key Vault-Datenebenen (Vorschau)
| Integrierte Rolle | Beschreibung | ID |
|---|---|---|
| Key Vault-Datenzugriffsadministrator (Vorschau) | Verwalten Sie den Zugriff auf Azure Key Vault, indem Sie Rollenzuweisungen für den Key Vault-Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Secrets Reader, Key Vault Secrets Officer oder Key Vault Secrets User-Rollen hinzufügen oder entfernen. Enthält eine ABAC-Bedingung, um Rollenzuweisungen einzuschränken. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Verwenden von Geheimnis-, Schlüssel- und Zertifikatberechtigungen von Azure RBAC mit Key Vault
Das neue Azure RBAC-Berechtigungsmodell für Key Vault bietet eine Alternative zum Berechtigungsmodell für den Tresor mit Zugriffsrichtlinien.
Voraussetzungen
Sie benötigen ein Azure-Abonnement. Sollten Sie über kein Abonnement verfügen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Um Rollenzuweisungen hinzuzufügen, müssen Sie über Microsoft.Authorization/roleAssignments/write- und Microsoft.Authorization/roleAssignments/delete-Berechtigungen verfügen, z. B. durch die Rolle „Key Vault-Datenzugriffsadministrator (Vorschau)“, „Benutzerzugriffsadministrator“ oder „Besitzer“.