Configurar o acesso ao Cofre da Chave, incluindo políticas de acesso ao cofre e o Controle de Acesso Baseado em Função do Azure
O controlo de acesso baseado em funções do Azure (RBAC do Azure) é um sistema de autorização criado com base no Azure Resource Manager que fornece gestão pormenorizada de acesso de recursos no Azure.
O RBAC do Azure permite que os utilizadores façam a gestão permissões de Chave, Segredos e Certificados. Ele fornece um lugar para gerir todas as permissões em todos os cofres de chaves.
O modelo RBAC do Azure permite que os usuários definam permissões em diferentes níveis de escopo: grupo de gerenciamento, assinatura, grupo de recursos ou recursos individuais. O RBAC do Azure para cofre de chaves também permite que os usuários tenham permissões separadas em chaves, segredos e certificados individuais.
Práticas recomendadas para atribuições de função de chaves, segredos e certificados individuais
Nossa recomendação é usar um cofre por aplicativo e por ambiente (Desenvolvimento, Pré-produção e Produção).
As permissões de chaves, segredos e certificados individuais devem ser usadas apenas para cenários específicos:
- Compartilhando segredos individuais entre vários aplicativos, por exemplo, um aplicativo precisa acessar dados do outro aplicativo
Funções internas do Azure para operações do plano de dados do Cofre da Chave
Nota
A função de Colaborador do Cofre de Chaves destina-se apenas a operações de plano de gerenciamento para gerenciar cofres de chaves. Não permite o acesso a chaves, segredos e certificados.
| Função incorporada | Descrição | ID |
|---|---|---|
| Administrador do Cofre de Chaves | Execute todas as operações do plano de dados em um cofre de chaves e todos os objetos nele, incluindo certificados, chaves e segredos. Não é possível gerenciar recursos do cofre de chaves ou gerenciar atribuições de função. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Oficial de Certificados do Cofre de Chaves | Execute qualquer ação nos certificados de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | A4417E6F-FECD-4DE8-B567-7B0420556985 |
| Responsável pela criptografia do Key Vault | Execute qualquer ação nas chaves de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 14B46E9E-C2B7-41B4-B07B-48A6EBF60603 |
| Usuário de criptografia do Key Vault Crypto Service | Leia metadados de chaves e execute operações de encapsulamento/desempacotamento. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | E147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault Crypto Usuário | Execute operações criptográficas usando chaves. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 12338AF0-0E69-4776-BEA7-57AE8D297424 |
| Leitor Key Vault | Leia metadados de cofres de chaves e seus certificados, chaves e segredos. Não é possível ler valores confidenciais, como conteúdo secreto ou material de chave. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 21090545-7CA7-4776-B22C-E363652D74D2 |
| Oficial de Segredos do Cofre de Chaves | Execute qualquer ação nos segredos de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | B86A8FE4-44CE-4948-AEE5-ECCB2C155CD7 |
| Usuário do Key Vault Secrets | Leia conteúdo secreto, incluindo parte secreta de um certificado com chave privada. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'. | 4633458b-17de-408a-b874-0445c86b69e6 |
Nota
Não há nenhum usuário de certificado do Cofre de Chaves porque os aplicativos exigem parte secreta do certificado com chave privada. A função Usuário dos Segredos do Cofre da Chave deve ser usada para aplicativos recuperarem certificados.
Gerenciando atribuições de função do plano de dados do Key Vault integradas (visualização)
| Função incorporada | Descrição | ID |
|---|---|---|
| Key Vault Data Access Administrator (visualização) | Gerencie o acesso ao Cofre de Chaves do Azure adicionando ou removendo atribuições de função para as funções de Administrador do Cofre de Chaves, Oficial de Certificados do Cofre de Chaves, Oficial de Criptografia do Cofre de Chaves, Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves, Usuário de Criptografia do Cofre de Chaves, Leitor de Cofre de Chaves, Oficial de Segredos do Cofre de Chaves ou Usuário de Segredos do Cofre de Chaves. Inclui uma condição ABAC para restringir atribuições de função. | 8B54135C-B56D-4D72-A534-26097CFDC8D8 |
Usando permissões de segredo, chave e certificado do RBAC do Azure com o Cofre da Chave
O novo modelo de permissão RBAC do Azure para o cofre de chaves fornece alternativa ao modelo de permissões de política de acesso ao cofre.
Pré-requisitos
Precisa de uma subscrição do Azure. Se não o fizer, pode criar uma conta gratuita antes de começar.
Para adicionar atribuições de função, você deve ter Microsoft.Authorization/roleAssignments/write e Microsoft.Authorization/roleAssignments/delete permissões, como Administrador de Acesso a Dados do Cofre de Chaves (visualização), Administrador de Acesso de Usuário ou Proprietário.