Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach na platformie Azure

Kontrola dostępu oparta na rolach (Azure RBAC) to system autoryzacji wbudowany w Azure Resource Manager, który umożliwia scentralizowane zarządzanie dostępem do zasobów Azure.

Kontrola dostępu oparta na rolach platformy Azure umożliwia użytkownikom zarządzanie kluczami, wpisami tajnymi oraz uprawnieniami do certyfikatów, a także zapewnia jedno miejsce do zarządzania wszystkimi uprawnieniami we wszystkich magazynach kluczy.

Model RBAC platformy Azure umożliwia użytkownikom ustawianie uprawnień na różnych poziomach zakresu: grupy zarządzania, subskrypcji, grupy zasobów lub poszczególnych zasobów. Kontrola dostępu oparta na rolach platformy Azure dla magazynu kluczy umożliwia również użytkownikom posiadanie oddzielnych uprawnień do poszczególnych kluczy, sekretów i certyfikatów.

Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure.

Omówienie modelu dostępu usługi Key Vault

Dostęp do magazynu kluczy jest kontrolowany za pomocą dwóch interfejsów: płaszczyzny sterowania i płaszczyzny danych.

Warstwa kontrolna to miejsce, w którym zarządzasz samym Key Vault. Operacje na tej płaszczyźnie obejmują tworzenie i usuwanie magazynów kluczy, pobieranie właściwości usługi Key Vault i aktualizowanie zasad dostępu.

Płaszczyzna danych jest miejscem, gdzie pracujesz z danymi przechowywanymi w skrzynce kluczy. Możesz dodawać, usuwać i modyfikować klucze, wpisy tajne i certyfikaty.

Obie płaszczyzny używają identyfikatora Entra firmy Microsoft do uwierzytelniania. W przypadku autoryzacji płaszczyzna sterowania używa kontroli dostępu opartej na rolach (RBAC) platformy Azure , a płaszczyzna danych używa zasad dostępu usługi Key Vault (starsza wersja) lub kontroli dostępu na podstawie ról platformy Azure na potrzeby operacji płaszczyzny danych usługi Key Vault.

Aby uzyskać dostęp do magazynu kluczy w obu płaszczyznach, wszystkie osoby wywołujące (użytkownicy lub aplikacje) muszą mieć odpowiednie uwierzytelnianie i autoryzację. Uwierzytelnianie ustanawia tożsamość obiektu wywołującego. Autoryzacja określa, które operacje może wykonywać obiekt wywołujący.

Aplikacje uzyskują dostęp do płaszczyzn za pośrednictwem punktów końcowych. Mechanizmy kontroli dostępu dla obu płaszczyzn działają niezależnie. Aby udzielić aplikacji dostępu do używania kluczy w magazynie kluczy, należy udzielić dostępu do płaszczyzny danych przy użyciu Azure RBAC lub zasad dostępu Key Vault. Aby udzielić użytkownikowi dostępu do odczytu do właściwości i tagów usługi Key Vault, ale bez dostępu do danych (kluczy, wpisów tajnych lub certyfikatów), należy przyznać dostęp do płaszczyzny kontroli za pomocą Azure RBAC.

Punkty końcowe płaszczyzny dostępu

W poniższej tabeli przedstawiono punkty końcowe dla płaszczyzn kontroli i danych.

Zarządzanie dostępem administracyjnym do usługi Key Vault

Podczas tworzenia magazynu kluczy w grupie zasobów można zarządzać dostępem przy użyciu identyfikatora Entra firmy Microsoft. Możesz przyznać użytkownikom lub grupom uprawnienia do zarządzania magazynami kluczy w grupie zasobów. Dostęp można udzielić na określonym poziomie zakresu, przypisując odpowiednie role platformy Azure. Aby udzielić użytkownikowi dostępu do zarządzanie magazynami kluczy, należy przypisać użytkownikowi wstępnie zdefiniowaną Key Vault Contributor rolę w określonym zakresie. Do roli platformy Azure można przypisać następujące poziomy zakresów:

• Subskrypcja: rola platformy Azure przypisana na poziomie subskrypcji ma zastosowanie do wszystkich grup zasobów i zasobów w ramach tej subskrypcji.
• Grupa zasobów: rola platformy Azure przypisana na poziomie grupy zasobów ma zastosowanie do wszystkich zasobów w tej grupie zasobów.
• Określony zasób: rola platformy Azure przypisana dla określonego zasobu ma zastosowanie do tego zasobu. W tym przypadku zasób to konkretny magazyn kluczy.

Istnieje kilka wstępnie zdefiniowanych ról. Jeśli wstępnie zdefiniowana rola nie odpowiada Twoim potrzebom, możesz zdefiniować własną rolę. Aby uzyskać więcej informacji, zobacz Azure RBAC: role wbudowane.

Najlepsze praktyki dotyczące poszczególnych kluczy, tajnych danych i przypisywania ról dla certyfikatów

Naszym zaleceniem jest użycie sejfu dla każdej aplikacji w każdym środowisku (Rozwój, Przedprodukcja i Produkcja) z rolami przypisanymi w zakresie magazynu kluczy.

Przypisywanie ról dla poszczególnych kluczy, wpisów tajnych i certyfikatów nie jest zalecane. Wyjątki obejmują scenariusze, w których:

• Poszczególne wpisy tajne wymagają dostępu poszczególnych użytkowników; na przykład w przypadku, gdy użytkownicy muszą odczytać swój klucz prywatny SSH, aby uwierzytelnić się na maszynie wirtualnej przy użyciu usługi Azure Bastion.
• Poszczególne sekrety muszą być dzielone przez wiele aplikacji; na przykład, gdy jedna aplikacja musi dostępować do danych z innej aplikacji.

Aby uzyskać więcej informacji na temat wytycznych dotyczących zarządzania usługą Azure Key Vault, zobacz:

• Zabezpieczanie usługi Azure Key Vault
• Limity usługi Azure Key Vault

Wbudowane role platformy Azure dla operacji płaszczyzny danych usługi Key Vault

Aby uzyskać więcej informacji na temat wbudowanych definicji ról platformy Azure, zobacz Role wbudowane platformy Azure.

Zarządzanie wbudowanymi przypisaniami ról w warstwie danych usługi Key Vault

Użycie uprawnień do tajemnic, kluczy i certyfikatów w ramach kontroli dostępu opartej na rolach Azure w usłudze Key Vault

Nowy model uprawnień RBAC platformy Azure dla skarbca kluczy stanowi alternatywę dla modelu uprawnień polityki dostępu do skarbca.

Wymagania wstępne

Wymagana jest subskrypcja platformy Azure. Jeśli tego nie zrobisz, przed rozpoczęciem możesz utworzyć bezpłatne konto .

Aby zarządzać przypisaniami ról, musisz mieć takie uprawnienia jak Microsoft.Authorization/roleAssignments/write (z ograniczonymi uprawnieniami do przypisywania/usuwania tylko określonych ról usługi Key Vault), Microsoft.Authorization/roleAssignments/delete lub właściciel.

Włączanie uprawnień RBAC platformy Azure w usłudze Key Vault

1. W nowym magazynie kluczy włącz uprawnienia RBAC platformy Azure.

   

2. Włącz uprawnienia RBAC platformy Azure w istniejącym magazynie kluczy.

   

Przypisywanie roli

az role assignment create --role {role-name-or-id} --assignee {assignee-upn}> --scope {scope}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName {role-name} -SignInName {assignee-upn} -Scope {scope}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName Reader -ApplicationId {application-id} -Scope {scope}

Przypisanie roli zakresu grupy zasobów

az role assignment create --role "Key Vault Reader" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

Powyższe przypisanie roli umożliwia wyświetlanie listy obiektów magazynu kluczy w magazynie kluczy.

Przypisanie roli zakresu usługi Key Vault

az role assignment create --role "Key Vault Secrets Officer" --assignee {assignee-upn} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Przypisanie roli w tajnym zakresie

az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {i.e user@microsoft.com} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 00001111-aaaa-2222-bbbb-3333cccc4444} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

Testowanie i weryfikowanie

1. Zweryfikuj dodawanie nowego sekretu bez roli "Key Vault Secrets Officer" na poziomie magazynu kluczy.

   1. Przejdź do karty Kontrola dostępu do magazynu kluczy (IAM) i usuń przypisanie roli "Key Vault Secrets Officer" dla tego zasobu.

      

   2. Przejdź do wcześniej utworzonego sekretu. Możesz zobaczyć wszystkie tajne właściwości.

      

   3. Utwórz nowy wpis tajny (Wpisy tajne > +Generuj/Importuj) powinien wyświetlić następujący błąd:

      

2. Sprawdź edytowanie tajnych danych bez roli "Key Vault Secret Officer" na tajnym poziomie.

   1. Przejdź do wcześniej utworzonej karty kontroli dostępu (IAM) i usuń przypisanie roli "Oficer ds. tajemnic Key Vault" dla tego zasobu.

   2. Przejdź do wcześniej utworzonego sekretu. Możesz wyświetlić tajne właściwości.

      

3. Sprawdzanie tajemnic odczytanych bez roli czytelnika na poziomie magazynu kluczy.

   1. Przejdź do grupy zasobów magazynu kluczy na kartę Kontrola dostępu (IAM) i usuń przypisanie roli "Key Vault Reader".

   2. Przejście do zakładki Sekretów w magazynie kluczy powinno spowodować wyświetlenie tego błędu:

      

Tworzenie ról niestandardowych

polecenie az role definition create

az role definition create --role-definition '{ \
    "Name": "Backup Keys Operator", \
    "Description": "Perform key backup/restore operations", \
    "Actions": [], \
    "DataActions": [ \
        "Microsoft.KeyVault/vaults/keys/read ", \
        "Microsoft.KeyVault/vaults/keys/backup/action", \
        "Microsoft.KeyVault/vaults/keys/restore/action" \
    ], \
    "NotDataActions": [], \
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'

$roleDefinition = @"
{ 
    "Name": "Backup Keys Operator", 
    "Description": "Perform key backup/restore operations", 
    "Actions": [], 
    "DataActions": [ 
        "Microsoft.KeyVault/vaults/keys/read ", 
        "Microsoft.KeyVault/vaults/keys/backup/action", 
        "Microsoft.KeyVault/vaults/keys/restore/action" 
    ], 
    "NotDataActions": [], 
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] 
}
"@

$roleDefinition | Out-File role.json

New-AzRoleDefinition -InputFile role.json

Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych, zobacz:

Role niestandardowe platformy Azure

Często zadawane pytania

Czy można używać przypisań zakresów obiektów RBAC platformy Azure w celu zapewnienia izolacji dla zespołów aplikacji w usłudze Key Vault?

Nr Model uprawnień RBAC platformy Azure umożliwia przypisanie dostępu do poszczególnych obiektów w usłudze Key Vault do użytkownika lub aplikacji, ale wszystkie operacje administracyjne, takie jak kontrola dostępu do sieci, monitorowanie i zarządzanie obiektami, wymagają uprawnień na poziomie magazynu, co spowoduje uwidocznienie bezpiecznych informacji operatorom w zespołach aplikacji.

Dowiedz się więcej

• Omówienie kontroli dostępu opartej na rolach platformy Azure
• Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
• Samouczek dotyczący ról niestandardowych
• Zabezpieczanie usługi Azure Key Vault