設定 Key Vault 的存取權，包括保存庫存取原則與 Azure 角色型存取控制

7 分鐘

Azure 角色型存取控制 (Azure RBAC) 是以 Azure Resource Manager 為基礎的授權系統，提供 Azure 資源的精細存取管理。

Azure RBAC 可讓使用者管理金鑰、祕密和憑證的權限。它提供一個位置來管理所有金鑰保存庫的權限。

Azure RBAC 模型可用來在不同的範圍層級上設定權限：管理群組、訂用帳戶、資源群組或個別資源。適用於金鑰保存庫的 Azure RBAC 也可讓使用者在個別金鑰、祕密和憑證上擁有不同的權限。

個別金鑰、秘密和憑證角色指派的最佳做法

建議您為開發、生產前和生產環境的每個應用程式使用專屬保存庫。

個別的金鑰、秘密和憑證權限應僅用於特定案例：

在多個應用程式之間共用個別祕密，例如，某個應用程式需要從另一個應用程式存取資料

適用於 Key Vault 資料平面作業的 Azure 內建角色

注意

Key Vault 參與者角色僅適用於管理平面作業，以管理金鑰保存庫。其不允許存取金鑰、秘密和憑證。

內建角色	說明	識別碼
Key Vault 系統管理員	可在金鑰保存庫和其中的所有物件上執行所有資料平面作業，包括憑證、金鑰和祕密。無法管理金鑰保存庫資源或管理角色指派。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	00482a5a-887f-4fb3-b363-3b7fe8e74483
Key Vault 憑證員	可對金鑰保存庫的憑證執行任何動作，但不能管理權限。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	a4417e6f-fecd-4de8-b567-7b0420556985
Key Vault 密碼編譯員	可對金鑰保存庫的金鑰執行任何動作，但不能管理權限。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Key Vault 密碼編譯服務加密使用者	可讀取金鑰的中繼資料，並執行包裝/解除包裝作業。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	e147488a-f6f5-4113-8e2d-b22465e65bf6
Key Vault 密碼編譯使用者	使用金鑰執行密碼編譯作業。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	12338af0-0e69-4776-bea7-57ae8d297424
Key Vault 讀者	可讀取金鑰保存庫的中繼資料及其憑證、金鑰和祕密。無法讀取敏感值，例如秘密內容或金鑰內容。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	21090545-7ca7-4776-b22c-e363652d74d2
Key Vault 祕密員	可對金鑰保存庫的祕密執行任何動作，但不能管理權限。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Key Vault 祕密使用者	讀取祕密內容，包括具有私密金鑰之憑證的祕密部分。僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。	4633458b-17de-408a-b874-0445c86b69e6

注意

沒有 Key Vault 憑證使用者，因為應用程式需要具有私密金鑰之憑證的秘密部分。應用程式應該使用 Key Vault 秘密使用者角色來擷取憑證。

管理內建 Key Vault 資料平面角色指派 (預覽)

內建角色	說明	識別碼
Key Vault 資料存取管理員 (預覽)	新增或移除 Key Vault 系統管理員、Key Vault 憑證人員、Key Vault 密碼編譯人員、Key Vault 密碼編譯服務加密使用者、Key Vault 密碼編譯使用者、Key Vault 讀者、Key Vault 祕密人員或 Key Vault 祕密使用者角色的角色指派，來管理 Azure Key Vault 的存取權。包含用來限制角色指派的 ABAC 條件。	8b54135c-b56d-4d72-a534-26097cfdc8d8

搭配 Key Vault 使用 Azure RBAC 秘密、金鑰和憑證權限

金鑰保存庫的新 Azure RBAC 權限模型可替代保存庫存取原則權限模型。

必要條件

您必須擁有 Azure 訂用帳戶。如果沒有，則可以在開始前先建立免費帳戶。