Kontrola dostępu oparta na rolach (RBAC) platformy Azure a zasady dostępu (starsza wersja)
Ważne
W przypadku korzystania z modelu uprawnień zasad dostępu użytkownik z Contributor
rolą , Key Vault Contributor
lub dowolną inną rolą obejmującą Microsoft.KeyVault/vaults/write
uprawnienia do płaszczyzny zarządzania magazynu kluczy może udzielić sobie dostępu do płaszczyzny danych, ustawiając zasady dostępu usługi Key Vault. Aby zapobiec nieautoryzowanemu dostępowi i zarządzaniu magazynami kluczy, kluczami, wpisami tajnymi i certyfikatami, należy ograniczyć dostęp roli Współautor do magazynów kluczy w modelu uprawnień zasad dostępu. Aby ograniczyć to ryzyko, zalecamy użycie modelu uprawnień Kontrola dostępu oparta na rolach (RBAC), który ogranicza zarządzanie uprawnieniami do ról "Właściciel" i "Administrator dostępu użytkowników", co pozwala na wyraźne rozdzielenie operacji zabezpieczeń i obowiązków administracyjnych. Aby uzyskać więcej informacji, zobacz Przewodnik RBAC usługi Key Vault i Co to jest kontrola dostępu oparta na rolach platformy Azure?
Usługa Azure Key Vault oferuje dwa systemy autoryzacji: kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która działa na płaszczyźnie kontroli i danych platformy Azure oraz model zasad dostępu, który działa samodzielnie na płaszczyźnie danych.
Kontrola dostępu oparta na rolach platformy Azure jest oparta na usłudze Azure Resource Manager i zapewnia scentralizowane zarządzanie dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure umożliwia kontrolowanie dostępu do zasobów przez tworzenie przypisań ról, które składają się z trzech elementów: podmiotu zabezpieczeń, definicji roli (wstępnie zdefiniowanego zestawu uprawnień) i zakresu (grupa zasobów lub pojedynczy zasób).
Model zasad dostępu to starszy system autoryzacji natywny dla usługi Key Vault, który zapewnia dostęp do kluczy, wpisów tajnych i certyfikatów. Dostęp można kontrolować, przypisując poszczególne uprawnienia podmiotom zabezpieczeń (użytkownikom, grupom, jednostkom usługi i tożsamościom zarządzanym) w zakresie usługi Key Vault.
Zalecenie dotyczące kontroli dostępu do płaszczyzny danych
Kontrola dostępu oparta na rolach platformy Azure to zalecany system autoryzacji dla płaszczyzny danych usługi Azure Key Vault. Oferuje ona kilka zalet dotyczących zasad dostępu usługi Key Vault:
- Kontrola dostępu oparta na rolach platformy Azure zapewnia ujednolicony model kontroli dostępu dla zasobów platformy Azure — te same interfejsy API są używane we wszystkich usługach platformy Azure.
- Zarządzanie dostępem jest scentralizowane, zapewniając administratorom spójny widok dostępu udzielony zasobom platformy Azure.
- Prawo do udzielania dostępu do kluczy, wpisów tajnych i certyfikatów jest lepiej kontrolowane, wymagając członkostwa w roli Właściciel lub Administrator dostępu użytkowników.
- Kontrola dostępu oparta na rolach platformy Azure jest zintegrowana z usługą Privileged Identity Management, zapewniając, że uprzywilejowane prawa dostępu są ograniczone czasowo i wygasają automatycznie.
- Dostęp podmiotów zabezpieczeń można wykluczyć w określonych zakresach za pomocą przypisań Odmowy.
Aby przenieść kontrolę dostępu płaszczyzny danych usługi Key Vault z zasad dostępu do kontroli dostępu na podstawie ról, zobacz Migrowanie z zasad dostępu magazynu do modelu uprawnień kontroli dostępu opartej na rolach platformy Azure.