設定 Key Vault 的存取權，包括保存庫存取權限政策和 Azure 角色為基礎的存取控制。

7 分鐘

Azure 角色型訪問控制（Azure RBAC）是以 Azure Resource Manager 為基礎的授權系統，可提供更細緻的 Azure 資源存取管理。

Azure RBAC 可讓使用者管理密鑰、秘密和憑證許可權。它提供一個位置來管理所有金鑰保存庫的所有許可權。

Azure RBAC 模型允許使用來設定不同範圍層級的許可權：管理群組、訂用帳戶、資源群組或個別資源。適用於金鑰保存庫的 Azure RBAC 也允許使用者對個別密鑰、秘密和憑證擁有個別許可權。

個別密鑰、秘密和憑證角色指派的最佳做法

我們的建議是為每個應用程式和每個環境使用一個保險庫（開發、生產前和生產環境）。

個別金鑰、秘密和憑證許可權只應用於特定案例：

例如，在多個應用程式之間共用個別秘密，其中一個應用程式需要從其他應用程式存取數據

Key Vault 數據平面作業的 Azure 內建角色

注意

金鑰保管庫貢獻者角色僅限於管理作業，以管理金鑰保管庫。它不允許存取金鑰、秘密和憑證。

內建角色	描述	識別碼
Key Vault 系統管理員	在金鑰保存庫及其中的所有物件上執行所有數據平面作業，包括憑證、金鑰和秘密。無法管理金鑰保存庫資源或管理角色指派。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	00482a5a-887f-4fb3-b363-3b7fe8e74483
Key Vault 憑證管理員	在密鑰保存庫的憑證上執行任何動作，但管理許可權除外。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	a4417e6f-fecd-4de8-b567-7b0420556985
Key Vault 密碼編譯官員	對金鑰保存庫的金鑰執行任何動作，但管理許可權除外。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Key Vault 加密服務加密使用者	讀取金鑰的元數據，並執行包裝/解除包裝作業。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	e147488a-f6f5-4113-8e2d-b22465e65bf6
Key Vault 加密使用者	使用金鑰執行密碼編譯作業。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	12338af0-0e69-4776-bea7-57ae8d297424
Key Vault 讀取器	讀取金鑰庫及其憑證、金鑰和機密的元數據。無法讀取機密值，例如秘密內容或密鑰內容。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	21090545-7ca7-4776-b22c-e363652d74d2
Key Vault 機密管理員	除了管理權限之外，可以對密鑰庫機密執行任何操作。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Key Vault 秘密使用者	讀取秘密內容，包括具有私鑰之憑證的秘密部分。僅適用於使用「Azure 角色型訪問控制」許可權模型的密鑰保存庫。	4633458b-17de-408a-b874-0445c86b69e6

注意

沒有 Key Vault 憑證使用者，因為應用程式需要具有私鑰之憑證的秘密部分。應用程式應該使用 Key Vault Secrets User 角色來提取憑證。

管理內建 Key Vault（鍵保管庫）資料平面角色指派（預覽）

內建角色	描述	識別碼
Key Vault 資料存取管理員（預覽）	新增或移除 Key Vault 系統管理員、Key Vault 憑證官員、Key Vault 密碼編譯官、Key Vault 加密服務加密使用者、Key Vault 密碼編譯使用者、Key Vault 密碼編譯使用者、Key Vault 讀取者、Key Vault 秘密官員或 Key Vault 秘密使用者角色的角色指派，來管理 Azure Key Vault 的存取權。包含用來限制角色指派的 ABAC 條件。	8b54135c-b56d-4d72-a534-26097cfdc8d8

搭配 Key Vault 使用 Azure RBAC 秘密、金鑰和憑證許可權

密鑰保存庫的新 Azure RBAC 許可權模型提供保存庫存取原則許可權模型的替代方案。

先決條件

您必須擁有 Azure 訂用帳戶。如果您未這麼做，可以在開始之前建立免費帳戶。