Configurar o acesso ao Cofre de Chaves, incluindo políticas de acesso ao cofre e o Controle de Acesso Baseado em Funções do Azure
O controle de acesso baseado em função do Azure (Azure RBAC) é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado dos recursos do Azure.
O RBAC do Azure permite que os usuários gerenciem permissões de Chave, Segredos e Certificados. Ele fornece um local único para gerir todas as permissões em todos os key vaults.
O modelo RBAC do Azure permite que os usuários definam permissões em diferentes níveis de escopo: grupo de gerenciamento, assinatura, grupo de recursos ou recursos individuais. O RBAC do Azure para cofre de chaves também permite que os usuários tenham permissões separadas em chaves, segredos e certificados individuais.
Práticas recomendadas para atribuições de função de chaves, segredos e certificados individuais
Nossa recomendação é usar um cofre por aplicação e por ambiente (Desenvolvimento, Pré-Produção e Produção).
As permissões de chaves, segredos e certificados individuais devem ser usadas apenas para cenários específicos:
- Compartilhando segredos individuais entre vários aplicativos, por exemplo, um aplicativo precisa acessar dados do outro aplicativo
Funções internas do Azure para operações do plano de dados do Key Vault
Observação
A função de Colaborador do Cofre de Chaves destina-se apenas a operações do plano de gestão para gerenciar cofres de chaves. Não permite o acesso a chaves, segredos e certificados.
| Função incorporada | Descrição | ID |
|---|---|---|
| Administrador de Cofre de Chaves | Execute todas as operações do plano de dados em um cofre de chaves e todos os objetos nele, incluindo certificados, chaves e segredos. Não é possível gerenciar recursos do cofre de chaves ou gerenciar atribuições de função. Só funciona para cofres de chaves que usam o modelo de permissão 'controlo de acesso baseado em funções do Azure'. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Gestor de Certificados do Cofre de Segredos | Execute qualquer ação nos certificados de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | A4417E6F-FECD-4DE8-B567-7B0420556985 |
| Responsável pela criptografia do Key Vault | Execute qualquer ação nas chaves de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Usuário de criptografia do Key Vault Crypto Service | Leia metadados de chaves e execute operações de encapsulamento/desempacotamento. Só funciona para cofres de chaves que utilizam o modelo de permissão de controlo de acesso baseado em função do Azure. | E147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault Crypto Utilizador | Execute operações criptográficas usando chaves. Só funciona para cofres de chaves que utilizam o modelo de permissões de 'Controle de Acesso Baseado em Funções do Azure'. | 12338AF0-0E69-4776-BEA7-57AE8D297424 |
| Leitor de Cofre de Chaves | Leia metadados de cofres de chaves e seus certificados, chaves e segredos. Não é possível ler valores confidenciais, como conteúdo secreto ou material de chave. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em funções do Azure'. | 21090545-7CA7-4776-B22C-E363652D74D2 |
| Oficial de Segredos do Cofre de Chaves | Execute qualquer ação nos segredos de um cofre de chaves, exceto administrar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | B86A8FE4-44CE-4948-AEE5-ECCB2C155CD7 |
| Usuário do Key Vault Secrets | Leia conteúdo secreto, incluindo parte secreta de um certificado com chave privada. Só funciona com cofres de chaves que utilizam o modelo de permissão 'controlo de acesso baseado em funções do Azure'. | 4633458b-17de-408a-b874-0445c86b69e6 |
Observação
Não há nenhum usuário de certificado do Cofre de Chaves porque os aplicativos exigem parte secreta do certificado com chave privada. A função Usuário dos Segredos do Cofre da Chave deve ser usada para aplicativos recuperarem certificados.
Gerir as atribuições de função integradas do plano de dados do Key Vault (pré-visualização)
| Função incorporada | Descrição | ID |
|---|---|---|
| Administrador de Acesso a Dados do Cofre de Chaves (visualização) | Gerencie o acesso ao Cofre de Chaves do Azure adicionando ou removendo atribuições de função para as funções de Administrador do Cofre de Chaves, Oficial de Certificados do Cofre de Chaves, Oficial de Criptografia do Cofre de Chaves, Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves, Usuário de Criptografia do Cofre de Chaves, Leitor de Cofre de Chaves, Oficial de Segredos do Cofre de Chaves ou Usuário de Segredos do Cofre de Chaves. Inclui uma condição ABAC para restringir atribuições de função. | 8B54135C-B56D-4D72-A534-26097CFDC8D8 |
Usando permissões de segredo, chave e certificado do Azure RBAC com o Key Vault
O novo modelo de permissão RBAC do Azure para o cofre de chaves oferece uma alternativa ao modelo de permissões da política de acesso ao cofre.
Pré-requisitos
Você deve ter uma assinatura do Azure. Se não o fizer, pode criar uma conta gratuita antes de começar.
Para adicionar atribuições de função, deve ter permissões de Microsoft.Authorization/roleAssignments/write e Microsoft.Authorization/roleAssignments/delete, como Administrador de Acesso a Dados do Key Vault (visualização), Administrador de Acesso ao Utilizador ou Proprietário.