Azure ロールベースのアクセス制御 (Azure RBAC) とアクセス ポリシーの比較 (レガシ)
重要
アクセス ポリシーの権限モデルを使用する場合、Contributor、Key Vault Contributor、または、キー コンテナー管理プレーンの Microsoft.KeyVault/vaults/write 権限を含むその他のロールを持つユーザーは、キー コンテナー アクセス ポリシーを設定することで、自分自身にデータ プレーン アクセスを付与できます。 キー コンテナー、キー、シークレット、証明書への不正なアクセスと管理を防ぐには、アクセス ポリシーの権限モデルで、投稿者ロールのアクセスをキー コンテナーに制限することが不可欠です。 このリスクを軽減するために、ロールベースのアクセス制御 (RBAC) の権限モデルを使用することをお勧めします。これにより、権限管理を「所有者」ロールと「ユーザー アクセス管理者」ロールに制限し、セキュリティ オペレーションと管理業務を明確に分離できます。 詳細については、「キー コンテナーの RBAC ガイド」および「Azure RBAC とは」を参照してください。
Azure Key Vault には 2 つの認可システムが用意されています。Azure の管理およびデータ プレーンで動作する Azure ロールベースのアクセス制御 (Azure RBAC) と、データ プレーンでのみ動作するアクセス ポリシー モデルです。
Azure RBAC は Azure Resource Manager の上に構築されており、Azure リソースのアクセスを一元的に管理できます。 Azure RBAC では、ロールの割り当てを作成することによって、リソースへのアクセスを制御します。これには、セキュリティ プリンシパル、ロールの定義 (定義済みの一連のアクセス許可)、スコープ (リソースのグループまたは個々のリソース) の 3 つの要素が含まれます。
アクセス ポリシー モデルは、キー、シークレット、証明書へのアクセスを提供する、Key Vault ネイティブのレガシ認可システムです。 Key Vault スコープで、セキュリティ プリンシパル (ユーザー、グループ、サービス プリンシパル、マネージド ID) に個々のアクセス許可を割り当てることにより、アクセスを制御できます。
データ プレーン アクセス制御のレコメンデーション
Azure Key Vault データ プレーンにお勧めの認可システムは、Azure RBAC です。 Key Vault アクセス ポリシーと比べていくつかの長所があります。
- Azure RBAC には、Azure リソースの統合アクセス制御モデルが用意されており、すべての Azure サービスで同じ API が使われます。
- アクセス管理は一元化され、管理者は Azure リソースに付与されたアクセスの一貫したビューが用意されています。
- キー、シークレット、証明書へのアクセス権を付与する権限は、より適切に制御されており、所有者またはユーザー アクセス管理者ロールのメンバーシップが必要です。
- Azure RBAC は Privileged Identity Management と統合されているため、特権付きアクセス権には時間制限があり、自動的に期限切れになります。
- [拒否の割り当て] を使うことで、指定したスコープでセキュリティ プリンシパルのアクセスを除外できます。
Key Vault データ プレーン アクセス制御を、アクセス ポリシーから RBAC に移行するには、「コンテナー アクセス ポリシーから Azure ロールベースのアクセス制御のアクセス許可モデルへの移行」をご覧ください。