Konfigurowanie dostępu do usługi Key Vault, w tym zasad dostępu do magazynu i kontroli dostępu opartej na rolach platformy Azure
Kontrola dostępu na podstawie ról platformy (Azure RBAC, role-based access control) to system autoryzacji oparty na usłudze Azure Resource Manager, umożliwiający szczegółowe zarządzanie dostępem do zasobów platformy Azure.
Kontrola dostępu na podstawie ról platformy Azure umożliwia użytkownikom zarządzanie uprawnieniami klucz, wpisy tajne i certyfikaty. Zapewnia jedno miejsce do zarządzania wszystkimi uprawnieniami we wszystkich magazynach kluczy.
Model RBAC platformy Azure umożliwia ustawianie uprawnień na różnych poziomach zakresu: grupy zarządzania, subskrypcji, grupy zasobów lub poszczególnych zasobów. Kontrola dostępu oparta na rolach platformy Azure dla magazynu kluczy umożliwia również użytkownikom posiadanie oddzielnych uprawnień do poszczególnych kluczy, wpisów tajnych i certyfikatów.
Najlepsze rozwiązania dotyczące poszczególnych kluczy, wpisów tajnych i przypisań ról certyfikatów
Naszym zaleceniem jest użycie magazynu na aplikację na środowisko (programowanie, przedprodukcyjne i produkcja).
Uprawnienia poszczególnych kluczy, wpisów tajnych i certyfikatów powinny być używane tylko w określonych scenariuszach:
- Udostępnianie poszczególnych wpisów tajnych między wieloma aplikacjami, na przykład jedna aplikacja musi uzyskiwać dostęp do danych z innej aplikacji
Wbudowane role platformy Azure dla operacji płaszczyzny danych usługi Key Vault
Uwaga
Rola Współautor usługi Key Vault służy do wykonywania operacji na płaszczyźnie zarządzania tylko do zarządzania magazynami kluczy. Nie zezwala na dostęp do kluczy, wpisów tajnych i certyfikatów.
| Rola wbudowana | Opis | Identyfikator |
|---|---|---|
| Administracja istrator usługi Key Vault | Wykonaj wszystkie operacje płaszczyzny danych w magazynie kluczy i wszystkich obiektów, w tym certyfikatów, kluczy i wpisów tajnych. Nie można zarządzać zasobami magazynu kluczy ani zarządzać przypisaniami ról. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Oficer certyfikatów usługi Key Vault | Wykonaj dowolną akcję na certyfikatach magazynu kluczy, z wyjątkiem uprawnień zarządzania. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault Crypto Officer | Wykonaj dowolną akcję na kluczach magazynu kluczy, z wyjątkiem zarządzania uprawnieniami. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Użytkownik szyfrowania usługi kryptograficznej usługi Key Vault | Odczytywanie metadanych kluczy i wykonywanie operacji zawijania/odpakowywanie. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Użytkownik kryptograficzny usługi Key Vault | Wykonywanie operacji kryptograficznych przy użyciu kluczy. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Czytelnik usługi Key Vault | Odczytywanie metadanych magazynów kluczy i jego certyfikatów, kluczy i wpisów tajnych. Nie można odczytać poufnych wartości, takich jak zawartość wpisu tajnego lub materiał klucza. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Oficer wpisów tajnych usługi Key Vault | Wykonaj dowolną akcję wpisów tajnych magazynu kluczy, z wyjątkiem zarządzania uprawnieniami. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Użytkownik wpisów tajnych usługi Key Vault | Odczytaj zawartość wpisu tajnego, w tym część wpisu tajnego certyfikatu z kluczem prywatnym. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure". | 4633458b-17de-408a-b874-0445c86b69e6 |
Uwaga
Nie ma użytkownika certyfikatu usługi Key Vault, ponieważ aplikacje wymagają części certyfikatu wpisu tajnego z kluczem prywatnym. Rola Użytkownika wpisów tajnych usługi Key Vault powinna być używana do pobierania certyfikatu przez aplikacje.
Zarządzanie wbudowanymi przypisaniami ról płaszczyzny danych usługi Key Vault (wersja zapoznawcza)
| Rola wbudowana | Opis | Identyfikator |
|---|---|---|
| Administracja istrator dostępu do danych usługi Key Vault (wersja zapoznawcza) | Zarządzanie dostępem do usługi Azure Key Vault przez dodawanie lub usuwanie przypisań ról dla usługi Key Vault Administracja istratora, oficera certyfikatów usługi Key Vault, oficera kryptograficznego usługi Key Vault, użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault, czytelnika usługi Key Vault, oficera wpisów tajnych usługi Key Vault lub ról użytkownika wpisów tajnych usługi Key Vault. Obejmuje warunek ABAC do ograniczenia przypisań ról. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Używanie uprawnień wpisów tajnych, klucza i certyfikatu kontroli dostępu opartej na rolach platformy Azure w usłudze Key Vault
Nowy model uprawnień RBAC platformy Azure dla magazynu kluczy stanowi alternatywę dla modelu uprawnień zasad dostępu do magazynu.
Wymagania wstępne
Wymagana jest subskrypcja platformy Azure. Jeśli tego nie zrobisz, przed rozpoczęciem możesz utworzyć bezpłatne konto.
Aby dodać przypisania ról, musisz mieć Microsoft.Authorization/roleAssignments/write uprawnienia iMicrosoft.Authorization/roleAssignments/delete, takie jak Administracja istrator dostępu do danych usługi Key Vault (wersja zapoznawcza), Administracja istrator dostępu użytkowników lub właściciel.