配置对密钥保管库的访问，包括保管库访问策略和 Azure 基于角色的访问控制

7 分钟

Azure 基于角色的访问控制（Azure RBAC）是基于 Azure 资源管理器构建的授权系统，可提供对 Azure 资源的精细访问管理。

Azure RBAC 允许用户管理密钥、机密和证书权限。它提供了一个位置来管理所有密钥保管库中的所有权限。

Azure RBAC 模型允许用于设置不同范围级别的权限：管理组、订阅、资源组或单个资源。用于密钥保管库的 Azure RBAC 还允许用户对单个密钥、机密和证书拥有单独的权限。

单个密钥、机密和证书角色分配的最佳做法

我们建议针对每个应用程序在每个环境（开发、预生产和生产）中使用一个保管库。

单个密钥、机密和证书权限应仅用于特定方案：

在多个应用程序之间共享单个机密，例如，一个应用程序需要从另一个应用程序访问数据

用于 Key Vault 数据平面操作的 Azure 内置角色

注意

Key Vault 参与者角色仅用于管理平面操作，以管理密钥保管库。它不允许访问密钥、机密和证书。

内置角色	说明	ID
Key Vault 管理员	对密钥保管库及其中的所有对象，包括证书、密钥和秘密，执行所有数据平面操作。无法管理密钥保管库资源或管理角色分配。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	00482a5a-887f-4fb3-b363-3b7fe8e74483
Key Vault 证书管理员	在密钥保管库的证书上执行任何操作，但不包括管理权限。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	a4417e6f-fecd-4de8-b567-7b0420556985
Key Vault 加密官	对密钥保管库的密钥执行任何操作，但不能管理权限。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	14b46e9e-c2b7-41b4-b07b-48a6ebf60603
密钥保管库加密服务用户	读取密钥的元数据并执行包装/解包作。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	e147488a-f6f5-4113-8e2d-b22465e65bf6
Key Vault Crypto 用户	使用密钥执行加密作。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	12338af0-0e69-4776-bea7-57ae8d297424
Key Vault 读取者	阅读密钥保管库及其证书、密钥和秘密的元数据。无法读取机密内容或密钥材料等敏感值。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	21090545-7ca7-4776-b22c-e363652d74d2
密钥库机密管理员	可以对密钥保管库中的机密进行任何操作，但不能管理权限。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Key Vault 机密用户	读取包括私钥的证书中机密部分的内容。仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	4633458b-17de-408a-b874-0445c86b69e6

注意

没有 Key Vault 证书用户，因为应用程序需要使用私钥的证书的机密部分。应用程序应使用 Key Vault 机密用户角色来检索证书。

管理内置 Key Vault 数据平面角色分配（预览版）

内置角色	说明	ID
Key Vault 数据访问管理员（预览版）	通过添加或删除 Key Vault 管理员、Key Vault 证书官员、Key Vault 加密官、Key Vault 加密服务加密用户、Key Vault 加密用户、Key Vault 加密用户、Key Vault 读取者、Key Vault 机密官员或 Key Vault 机密用户角色来管理对 Azure Key Vault 的访问。包括 ABAC 条件用于约束角色分配。	8b54135c-b56d-4d72-a534-26097cfdc8d8

将 Azure RBAC 机密、密钥和证书权限与 Key Vault 配合使用

密钥保管库的新 Azure RBAC 权限模型提供了保管库访问策略权限模型的替代方法。

先决条件

必须具有 Azure 订阅。如果没有，可以在开始前创建一个免费帐户。