Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Warning
Aby zwiększyć bezpieczeństwo, należy użyć modelu uprawnień kontroli dostępuRole-Based (RBAC) zamiast zasad dostępu podczas zarządzania usługą Azure Key Vault. RBAC (kontrola dostępu oparta na rolach) ogranicza zarządzanie uprawnieniami tylko do ról "Właściciel" i "Administrator dostępów użytkownika", zapewniając wyraźną separację między zadaniami związanymi z bezpieczeństwem i administracją. Aby uzyskać więcej informacji, zobacz Co to jest Azure RBAC? i Przewodnik RBAC Key Vault.
Za pomocą modelu uprawnień zasad dostępu użytkownicy z rolą Contributor, Key Vault Contributor lub dowolną rolą obejmującą uprawnienia Microsoft.KeyVault/vaults/write mogą przyznać sobie dostęp do płaszczyzny danych, konfigurując dostęp do usługi Key Vault za pomocą jej zasad dostępu. Może to spowodować nieautoryzowany dostęp do magazynów kluczy, kluczy, wpisów tajnych i certyfikatów oraz nieautoryzowane zarządzanie nimi. Aby zmniejszyć to ryzyko, ogranicz dostęp roli współautora do magazynów kluczy podczas korzystania z modelu zasad dostępu.
Usługa Azure Key Vault oferuje dwa systemy autoryzacji: kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która działa na płaszczyźnie kontroli i danych platformy Azure oraz model zasad dostępu, który działa samodzielnie na płaszczyźnie danych.
Azure RBAC jest oparty na usłudze Azure Resource Manager i zapewnia scentralizowane zarządzanie dostępem do zasobów platformy Azure. Azure RBAC pozwala zarządzać dostępem do zasobów przez utworzenie przypisań ról, które składają się z trzech elementów: podmiotu zabezpieczeń, definicji roli (wstępnie zdefiniowanego zestawu uprawnień) i zakresu (grupa zasobów lub pojedynczy zasób).
Model zasad dostępu to starszy system autoryzacji natywny dla usługi Key Vault, który zapewnia dostęp do kluczy, wpisów tajnych i certyfikatów. Dostęp można kontrolować, przypisując poszczególne uprawnienia podmiotom zabezpieczeń (użytkownikom, grupom, jednostkom usługi i tożsamościom zarządzanym) w zakresie usługi Key Vault.
Zalecenie dotyczące kontroli dostępu do płaszczyzny danych
Kontrola dostępu oparta na rolach platformy Azure to zalecany system autoryzacji dla płaszczyzny danych usługi Azure Key Vault. Oferuje ona kilka zalet dotyczących zasad dostępu usługi Key Vault:
- Kontrola dostępu oparta na rolach platformy Azure zapewnia ujednolicony model kontroli dostępu dla zasobów platformy Azure — te same interfejsy API są używane we wszystkich usługach platformy Azure.
- Zarządzanie dostępem jest scentralizowane, zapewniając administratorom spójny widok dostępu udzielony zasobom platformy Azure.
- Prawo do udzielania dostępu do kluczy, sekretów i certyfikatów jest lepiej kontrolowane, wymagając członkostwa w roli Właściciela lub Administratora dostępu użytkownika.
- Kontrola dostępu oparta na rolach platformy Azure jest zintegrowana z usługą Privileged Identity Management, zapewniając, że uprzywilejowane prawa dostępu są czasowo ograniczone i wygasają automatycznie.
- Dostęp podmiotów zabezpieczeń można wykluczyć w określonych zakresach za pomocą przypisań odmowy.
Aby przenieść kontrolę dostępu do płaszczyzny danych Key Vault z zasad dostępu na kontrolę dostępu na podstawie ról Azure, zobacz Migrating to Azure RBAC from access policies.