Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) versus toegangsbeleid (verouderd)

Belangrijk

Wanneer u het machtigingsmodel voor toegangsbeleid gebruikt, kan een gebruiker met de Contributor, Key Vault Contributorof een andere rol die machtigingen voor het beheervlak van de sleutelkluis bevat Microsoft.KeyVault/vaults/write , zichzelf gegevensvlaktoegang verlenen door een Key Vault-toegangsbeleid in te stellen. Om onbevoegde toegang en beheer van uw sleutelkluizen, sleutels, geheimen en certificaten te voorkomen, is het essentieel om de roltoegang van inzenders tot sleutelkluizen onder het machtigingsmodel voor toegangsbeleid te beperken. Om dit risico te beperken, raden we u aan het RBAC-machtigingsmodel (Role-Based Access Control) te gebruiken, waardoor machtigingsbeheer wordt beperkt tot de rollen 'Eigenaar' en 'Beheerder voor gebruikerstoegang', waardoor een duidelijke scheiding tussen beveiligingsbewerkingen en administratieve taken mogelijk is. Zie de Key Vault RBAC-handleiding en wat is Azure RBAC? voor meer informatie.

Azure Key Vault biedt twee autorisatiesystemen: op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), dat werkt op de besturings- en gegevensvlakken van Azure, en het toegangsbeleidsmodel, dat alleen op het gegevensvlak werkt.

Azure RBAC is gebaseerd op Azure Resource Manager en biedt gecentraliseerd toegangsbeheer van Azure-resources. Met Azure RBAC beheert u de toegang tot resources door roltoewijzingen te maken, die uit drie elementen bestaan: een beveiligingsprincipal, een roldefinitie (vooraf gedefinieerde set machtigingen) en een bereik (groep resources of individuele resources).

Het toegangsbeleidsmodel is een verouderd autorisatiesysteem dat systeemeigen is voor sleutelkluis, dat toegang biedt tot sleutels, geheimen en certificaten. U kunt de toegang beheren door afzonderlijke machtigingen toe te wijzen aan beveiligingsprinciplen (gebruikers, groepen, service-principals en beheerde identiteiten) op key vault-bereik.

Aanbeveling voor toegangsbeheer voor gegevensvlak

Azure RBAC is het aanbevolen autorisatiesysteem voor het Azure Key Vault-gegevensvlak. Het biedt verschillende voordelen ten opzichte van Key Vault-toegangsbeleid:

• Azure RBAC biedt een geïntegreerd toegangsbeheermodel voor Azure-resources. Dezelfde API's worden gebruikt in alle Azure-services.
• Toegangsbeheer is gecentraliseerd en biedt beheerders een consistente weergave van toegang die wordt verleend aan Azure-resources.
• Het recht om toegang te verlenen tot sleutels, geheimen en certificaten wordt beter beheerd, waarvoor lidmaatschap van de rol Eigenaar of Gebruikertoegangsbeheerder is vereist.
• Azure RBAC is geïntegreerd met Privileged Identity Management, zodat bevoegde toegangsrechten beperkt zijn en automatisch verlopen.
• De toegang van beveiligingsprinciplen kan worden uitgesloten bij bepaalde bereiken door gebruik te maken van weigeringstoewijzingen.

Zie Migreren van toegangsbeleid voor kluis naar een op rollen gebaseerd toegangsbeheermodel van Azure om toegangsbeheer van Key Vault over te schakelen van toegangsbeheerbeleid naar RBAC.

Meer informatie

• Overzicht van Azure-RBAC
• Azure-rollen toewijzen met behulp van het Azure Portal
• Migreren van een toegangsbeleid naar RBAC
• Best practices voor Azure Key Vault