Toegang tot Key Vault configureren, waaronder toegangsbeleid voor kluizen en op rollen gebaseerd toegangsbeheer van Azure
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is een autorisatiesysteem dat is gebouwd op Azure Resource Manager en dat een fijnmazig toegangsbeheer van Azure-resources biedt.
Met Azure RBAC kunnen gebruikers machtigingen voor sleutels, geheimen en certificaten beheren. Het biedt één plaats voor het beheren van alle machtigingen voor alle sleutelkluizen.
Met het Azure RBAC-model kunt u machtigingen instellen voor verschillende bereikniveaus: beheergroep, abonnement, resourcegroep of afzonderlijke resources. Met Azure RBAC voor sleutelkluis kunnen gebruikers ook afzonderlijke machtigingen hebben voor afzonderlijke sleutels, geheimen en certificaten.
Aanbevolen procedures voor roltoewijzingen voor afzonderlijke sleutels, geheimen en certificaten
We raden u aan om een kluis per toepassing per omgeving te gebruiken (ontwikkeling, preproductie en productie).
Afzonderlijke sleutels, geheimen en certificaten moeten alleen worden gebruikt voor specifieke scenario's:
- Afzonderlijke geheimen delen tussen meerdere toepassingen, bijvoorbeeld één toepassing moet toegang hebben tot gegevens uit de andere toepassing
Ingebouwde Azure-rollen voor Key Vault-gegevensvlakbewerkingen
Notitie
De rol Key Vault-inzender is bedoeld voor beheervlakbewerkingen om sleutelkluizen te beheren. Er is geen toegang toegestaan tot sleutels, geheimen en certificaten.
| Ingebouwde rol | Beschrijving | Id |
|---|---|---|
| Key Vault-Beheer istrator | Voer alle gegevensvlakbewerkingen uit op een sleutelkluis en alle objecten erin, inclusief certificaten, sleutels en geheimen. Kan key vault-resources niet beheren of roltoewijzingen beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault Certificates Officer | Voer een actie uit op de certificaten van een sleutelkluis, behalve machtigingen voor beheer. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault Crypto Officer | Voer een actie uit op de sleutels van een sleutelkluis, behalve machtigingen beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Versleutelingsgebruiker voor Key Vault Crypto Service | Lees metagegevens van sleutels en voer wrap-/unwrap-bewerkingen uit. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault Crypto-gebruiker | Cryptografische bewerkingen uitvoeren met behulp van sleutels. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault-lezer | Lees metagegevens van sleutelkluizen en de bijbehorende certificaten, sleutels en geheimen. Kan gevoelige waarden, zoals geheime inhoud of sleutelmateriaal, niet lezen. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault Secrets Officer | Voer een actie uit voor de geheimen van een sleutelkluis, behalve machtigingen voor beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault-geheimengebruiker | Lees geheime inhoud, inclusief een geheim gedeelte van een certificaat met een persoonlijke sleutel. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel op basis van rollen van Azure. | 4633458b-17de-408a-b874-0445c86b69e6 |
Notitie
Er is geen Key Vault-certificaatgebruiker omdat voor toepassingen geheimen van het certificaat met een persoonlijke sleutel zijn vereist. De sleutelkluisgeheimen gebruikersrol moet worden gebruikt voor toepassingen om het certificaat op te halen.
Ingebouwde Roltoewijzingen van Key Vault-gegevensvlak beheren (preview)
| Ingebouwde rol | Beschrijving | Id |
|---|---|---|
| Key Vault Data Access Beheer istrator (preview) | Beheer de toegang tot Azure Key Vault door roltoewijzingen toe te voegen of te verwijderen voor de Key Vault-Beheer istrator, Key Vault Certificates Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer of Key Vault Secrets User. Bevat een ABAC-voorwaarde om roltoewijzingen te beperken. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Azure RBAC-geheime, sleutel- en certificaatmachtigingen gebruiken met Key Vault
Het nieuwe Azure RBAC-machtigingsmodel voor key vault biedt een alternatief voor het machtigingsmodel voor kluistoegang.
Vereisten
U hebt een abonnement op Azure nodig. Als u dat niet doet, kunt u een gratis account maken voordat u begint.
Als u roltoewijzingen wilt toevoegen, moet u beschikken Microsoft.Authorization/roleAssignments/write over en Microsoft.Authorization/roleAssignments/delete machtigingen, zoals Key Vault Data Access Beheer istrator (preview), Gebruikerstoegang Beheer istrator of Eigenaar.