Rollbaserad åtkomstkontroll i Azure (Azure RBAC) jämfört med åtkomstprinciper (äldre)

Viktigt!

När du använder behörighetsmodellen Åtkomstprincip kan en användare med Contributor, Key Vault Contributoreller någon annan roll som innehåller Microsoft.KeyVault/vaults/write behörigheter för nyckelvalvshanteringsplanet bevilja sig själva åtkomst till dataplanet genom att ange en åtkomstprincip för Key Vault. För att förhindra obehörig åtkomst och hantering av dina nyckelvalv, nycklar, hemligheter och certifikat är det viktigt att begränsa deltagarrollens åtkomst till nyckelvalv under behörighetsmodellen Åtkomstprincip. För att minska den här risken rekommenderar vi att du använder behörighetsmodellen rollbaserad åtkomstkontroll (RBAC), som begränsar behörighetshanteringen till rollerna "Ägare" och "Administratör för användaråtkomst", vilket ger en tydlig uppdelning mellan säkerhetsåtgärder och administrativa uppgifter. Mer information finns i Key Vault RBAC-guiden och Vad är Azure RBAC?

Azure Key Vault erbjuder två auktoriseringssystem: rollbaserad åtkomstkontroll i Azure (Azure RBAC), som körs på Azures kontroll- och dataplan, och åtkomstprincipmodellen, som endast fungerar på dataplanet.

Azure RBAC bygger på Azure Resource Manager och ger centraliserad åtkomsthantering av Azure-resurser. Med Azure RBAC styr du åtkomsten till resurser genom att skapa rolltilldelningar, vilket består av tre element: ett säkerhetsobjekt, en rolldefinition (fördefinierad uppsättning behörigheter) och ett omfång (grupp med resurser eller enskilda resurser).

Åtkomstprincipmodellen är ett äldre auktoriseringssystem som är inbyggt i Key Vault och ger åtkomst till nycklar, hemligheter och certifikat. Du kan styra åtkomsten genom att tilldela enskilda behörigheter till säkerhetsobjekt (användare, grupper, tjänstens huvudnamn och hanterade identiteter) i Key Vault-omfånget.

Rekommendation för åtkomstkontroll för dataplan

Azure RBAC är det rekommenderade auktoriseringssystemet för Azure Key Vault-dataplanet. Det ger flera fördelar jämfört med Key Vault-åtkomstprinciper:

• Azure RBAC tillhandahåller en enhetlig åtkomstkontrollmodell för Azure-resurser – samma API:er används i alla Azure-tjänster.
• Åtkomsthantering är centraliserad, vilket ger administratörer en konsekvent vy över åtkomst som beviljas till Azure-resurser.
• Rätten att bevilja åtkomst till nycklar, hemligheter och certifikat styrs bättre, vilket kräver rollmedlemskap för ägare eller administratör för användaråtkomst.
• Azure RBAC är integrerat med Privileged Identity Management, vilket säkerställer att privilegierade åtkomsträttigheter är tidsbegränsade och upphör att gälla automatiskt.
• Åtkomst till säkerhetsobjekt kan undantas i angivna omfång genom att neka tilldelningar.

Information om hur du övergår åtkomstkontrollen för Key Vault-dataplanet från åtkomstprinciper till RBAC finns i Migrera från åtkomstprincip för valv till en rollbaserad åtkomstkontrollmodell i Azure.

Läs mer

• Översikt över Azure RBAC
• Tilldela Azure-roller med hjälp av Azure-portalen
• Migrera från en åtkomstprincip till RBAC
• Metodtips för Azure Key Vault