Konfigurera åtkomst till Key Vault, inklusive principer för valvåtkomst och rollbaserad åtkomstkontroll i Azure
Rollbaserad Azure-åtkomstkontroll (Azure RBAC) är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering av resurser i Azure.
Azure RBAC tillåter användare att hantera behörigheter för nyckel, hemligheter och certifikat. Det ger en plats där du kan hantera alla behörigheter för alla nyckelvalv.
Azure RBAC-modellen tillåter användning för att ange behörigheter på olika omfångsnivåer: hanteringsgrupp, prenumeration, resursgrupp eller enskilda resurser. Med Azure RBAC för key vault kan användarna också ha separata behörigheter för enskilda nycklar, hemligheter och certifikat.
Metodtips för rolltilldelningar för enskilda nycklar, hemligheter och certifikat
Vår rekommendation är att använda ett valv per program per miljö (utveckling, förproduktion och produktion).
Enskilda nycklar, hemligheter och certifikatbehörigheter bör endast användas för specifika scenarier:
- Dela enskilda hemligheter mellan flera program, till exempel måste ett program komma åt data från det andra programmet
Inbyggda Azure-roller för Key Vault-dataplansåtgärder
Kommentar
Rollen Key Vault-deltagare är endast avsedd för hanteringsplanåtgärder för att hantera nyckelvalv. Det tillåter inte åtkomst till nycklar, hemligheter och certifikat.
| Inbyggd roll | Beskrivning | ID |
|---|---|---|
| Key Vault-administratör | Utför alla dataplansåtgärder på ett nyckelvalv och alla objekt i det, inklusive certifikat, nycklar och hemligheter. Det går inte att hantera key vault-resurser eller hantera rolltilldelningar. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault Certificates Officer | Utför alla åtgärder på certifikaten för ett nyckelvalv, förutom att hantera behörigheter. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault Crypto Officer | Utför alla åtgärder på nycklarna i ett nyckelvalv, förutom att hantera behörigheter. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Krypteringsanvändare för Key Vault Crypto Service | Läs metadata för nycklar och utför wrap/unwrap-åtgärder. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault Crypto-användare | Utför kryptografiska åtgärder med hjälp av nycklar. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault-läsare | Läs metadata för nyckelvalv och dess certifikat, nycklar och hemligheter. Det går inte att läsa känsliga värden, till exempel hemligt innehåll eller nyckelmaterial. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault Secrets Officer | Utför alla åtgärder på hemligheterna i ett nyckelvalv, förutom att hantera behörigheter. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Nyckelvalvshemlighetsanvändare | Läs hemligt innehåll inklusive hemlig del av ett certifikat med privat nyckel. Fungerar bara för nyckelvalv som använder behörighetsmodellen "Rollbaserad åtkomstkontroll i Azure". | 4633458b-17de-408a-b874-0445c86b69e6 |
Kommentar
Det finns ingen Key Vault-certifikatanvändare eftersom program kräver hemlighetsdelen av certifikatet med privat nyckel. Rollen Key Vault Secrets User ska användas för program för att hämta certifikat.
Hantera inbyggda rolltilldelningar för Key Vault-dataplan (förhandsversion)
| Inbyggd roll | Beskrivning | ID |
|---|---|---|
| Key Vault Data Access Administrator (förhandsversion) | Hantera åtkomst till Azure Key Vault genom att lägga till eller ta bort rolltilldelningar för Key Vault-administratören, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer eller Key Vault Secrets User-roller. Innehåller ett ABAC-villkor för att begränsa rolltilldelningar. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Använda Azure RBAC-behörigheter för hemlighet, nyckel och certifikat med Key Vault
Den nya Azure RBAC-behörighetsmodellen för nyckelvalv är ett alternativ till behörighetsmodellen för valvåtkomstprincip.
Förutsättningar
Du måste ha en Azure-prenumeration. Om du inte gör det kan du skapa ett kostnadsfritt konto innan du börjar.
Om du vill lägga till rolltilldelningar måste du ha Microsoft.Authorization/roleAssignments/write och Microsoft.Authorization/roleAssignments/delete behörigheter, till exempel Key Vault Data Access Administrator (förhandsversion), Administratör för användaråtkomst eller Ägare.