Migrar de políticas de acesso para o RBAC do Azure

O Azure Key Vault oferece dois modelos de controle de acesso: o RBAC (controle de acesso baseado em função) do Azure e um modelo de política de acesso. O RBAC do Azure é o modelo de controle de acesso padrão e recomendado para o Azure Key Vault. Para uma comparação dos dois métodos de autorização, consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus políticas de acesso.

Este artigo fornece as informações necessárias para migrar um cofre de chaves de um modelo de política de acesso para um modelo RBAC do Azure.

Políticas de acesso para mapeamento de funções do Azure

O RBAC do Azure tem várias funções internas do Azure que você pode atribuir a usuários, grupos, entidades de serviço e identidades gerenciadas. Se as funções internas não atenderem às necessidades específicas de sua organização, você poderá criar funções personalizadas do Azure próprias.

funções internas do Key Vault para gerenciamento de acesso a chaves, certificados e segredos:

Administrador do Key Vault
Leitor do Key Vault
Operador de limpeza do Key Vault
Responsável pelos certificados do Key Vault
Usuário de certificado do Key Vault
Responsável pela Criptografia do Key Vault
Usuário de Criptografia do Key Vault
Usuário de Criptografia do Serviço Key Vault
Usuário da versão do Serviço de Criptografia do Key Vault
Responsável pelos Segredos do Key Vault
Usuário de Segredos do Key Vault

Para obter mais informações sobre as funções internas, veja Funções internas do Azure

As políticas de acesso do cofre podem ser atribuídas com permissões selecionadas individualmente ou com modelos de permissão predefinidos.

Modelos de permissão predefinidos de políticas de acesso:

Gerenciamento de certificados, chaves e segredos
Gerenciamento de segredos e chaves
Gerenciamento de segredos e certificados
Gerenciamento de chaves
Gerenciamento de segredos
Gerenciamento de Certificados
Conector do SQL Server
Azure Data Lake Storage ou Armazenamento do Microsoft Azure
Backup do Azure
Chave de Cliente do Exchange Online
Chave de Cliente do SharePoint Online
BYOK de Informações do Azure

Modelos de políticas de acesso para mapeamento de funções do Azure

Modelo de política de acesso	Operações	Função do Azure
Gerenciamento de certificados, chaves e segredos	Chaves: todas as operações Certificados: todas as operações Segredos: todas as operações	Administrador do Key Vault
Gerenciamento de segredos e chaves	Chaves: todas as operações Segredos: todas as operações	Responsável pela Criptografia do Key Vault Responsável pelos Segredos do Key Vault
Gerenciamento de segredos e certificados	Certificados: todas as operações Segredos: todas as operações	Responsável pelos Certificados do Key Vault Responsável pelos Segredos do Key Vault
Gerenciamento de chaves	Chaves: todas as operações	Responsável pela Criptografia do Key Vault
Gerenciamento de segredos	Segredos: todas as operações	Responsável pelos Segredos do Key Vault
Gerenciamento de Certificados	Certificados: todas as operações	Responsável pelos certificados do Key Vault
Conector do SQL Server	Chaves: obter, listar, encapsular chave, desencapsular chave	Usuário de Criptografia do Serviço Key Vault
Azure Data Lake Storage ou Armazenamento do Microsoft Azure	Chaves: obter, listar, desencapsular chave	Não aplicável Função personalizada necessária
Backup do Azure	Chaves: obter, listar, backup Segredos: obter, listar, fazer backup	Não aplicável Função personalizada necessária
Chave de Cliente do Exchange Online	Chaves: obter, listar, encapsular chave, desencapsular chave	Usuário de Criptografia do Serviço Key Vault
Chave de Cliente do Exchange Online	Chaves: obter, listar, encapsular chave, desencapsular chave	Usuário de Criptografia do Serviço Key Vault
BYOK de Informações do Azure	Chaves: obter, descriptografar, assinar	Não aplicável Função personalizada necessária

Mapeamento de escopos de atribuição

O RBAC do Azure para o Key Vault permite a atribuição de funções nos seguintes escopos:

Grupo de gerenciamento
Assinatura
Grupo de recursos
Recurso do Key Vault
Chave, segredo e certificado individuais

As políticas de acesso são limitadas à atribuição de políticas somente no nível de recurso do Key Vault.

Em geral, é recomendável ter um cofre de chaves por aplicativo e gerenciar o acesso no nível do cofre de chaves. Há cenários em que o gerenciamento de acesso em outros escopos pode simplificar o gerenciamento de acesso.

Infraestrutura, administradores de segurança e operadores: o gerenciamento de grupos de cofres de chaves no nível do grupo de gerenciamento, da assinatura ou do grupo de recursos com políticas de acesso ao cofre requer a manutenção de políticas para cada cofre de chaves. O RBAC do Azure permite criar uma atribuição de função no grupo de gerenciamento, na assinatura ou no grupo de recursos. Essa atribuição será aplicada a qualquer novo cofre de chaves criado no mesmo escopo. Nesse cenário, é recomendável usar o Privileged Identity Management com acesso na hora certa ao fornecer acesso permanente.
Aplicativos: há cenários em que o aplicativo precisaria compartilhar o segredo com outro aplicativo. Usar políticas de acesso do cofre separam o cofre de chaves que tinha que ser criado para evitar o acesso a todos os segredos. O RBAC do Azure permite atribuir função com escopo para um segredo individual usando um único cofre de chaves.

Como migrar

Siga estas etapas para migrar seu cofre de políticas de acesso para o RBAC do Azure:

Prepare-se: verifique se você tem permissões adequadas e um inventário de seus aplicativos.
Inventário: documente todas as políticas e permissões de acesso existentes.
Criar funções do RBAC do Azure: atribuir as funções do RBAC do Azure apropriadas a cada entidade de segurança.
Habilitar o RBAC do Azure: alterne o cofre de chaves para usar o modelo de controle de acesso do RBAC do Azure.
Validar: teste o acesso para garantir que todos os aplicativos e usuários mantenham o acesso apropriado.
Monitor: Configurar monitoramento e alertas para problemas de acesso.

Pré-requisitos

Antes de iniciar a migração, verifique se você tem:

Permissões necessárias: você deve ter as seguintes permissões no cofre de chaves:
- Microsoft.Authorization/roleAssignments/write permissão, incluída nas funções de Proprietário e Administrador de Acesso do Usuário
- Microsoft.KeyVault/vaults/write permissão, incluída na função de Contribuidor do Key Vault
Observação

Não há suporte para funções de administrador de assinatura clássicas (Administrador de Serviços e Co-Administrator).
Inventário de aplicativos e identidades: liste todos os aplicativos, serviços e usuários que acessam o cofre de chaves e documente todas as políticas de acesso atuais e as permissões que eles concedem.

Inventariar as políticas de acesso atuais

Documente todas as políticas de acesso existentes, observando as entidades de segurança (usuários, grupos, entidades de serviço) e suas permissões.

Use o comando az keyvault show da CLI do Azure para recuperar as políticas de acesso:

# List all current access policies
az keyvault show --name <vault-name> --resource-group <resource-group-name> --query properties.accessPolicies

Use o cmdlet Get-AzKeyVault para recuperar as políticas de acesso:

# List all current access policies
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>"
$vault.AccessPolicies

Criar atribuições de função RBAC equivalentes do Azure

Para cada entidade de segurança com uma política de acesso, crie uma ou mais atribuições de função RBAC do Azure com base na tabela de mapeamento acima.

Use o comando az role assignment create para conceder funções apropriadas:

# Example for Key Vault Administrator role:
az role assignment create --role "Key Vault Administrator" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
az role assignment create --role "Key Vault Secrets Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
az role assignment create --role "Key Vault Crypto Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
az role assignment create --role "Key Vault Certificates Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Use o cmdlet New-AzRoleAssignment para conceder funções apropriadas:

# Example for Key Vault Administrator role:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Administrator" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Certificates Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Habilitar o RBAC do Azure

Depois de criar todas as atribuições de função necessárias, altere o cofre para usar o modelo de permissão do RBAC do Azure.

Use o comando az keyvault update para habilitar o RBAC do Azure:

# Switch the vault to Azure RBAC
az keyvault update --name <vault-name> --resource-group <resource-group-name> --enable-rbac-authorization true

Utilize o cmdlet Update-AzKeyVault para habilitar o RBAC do Azure:

# Switch the vault to Azure RBAC permission model
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>"
Update-AzKeyVault -VaultName $vault.VaultName -ResourceGroupName $vault.ResourceGroupName -EnableRbacAuthorization $true

Validar acesso

Teste o acesso ao cofre para garantir que todos os aplicativos e usuários ainda possam executar as operações necessárias.

Teste seu acesso com estes comandos:

# Try to list secrets to verify access
az keyvault secret list --vault-name <vault-name>

# Try to get a secret to verify access
az keyvault secret show --vault-name <vault-name> --name <secret-name>

Teste seu acesso com estes cmdlets:

# Try to list secrets to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>"

# Try to get a secret to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>" -Name "<secret-name>"

Configurar monitoramento e alertas

Após a migração, configure o monitoramento adequado para detectar quaisquer problemas de acesso:

Utilize o comando az monitor diagnostic-settings create

# Enable diagnostics logging for Key Vault
az monitor diagnostic-settings create --resource <vault-id> --name KeyVaultLogs --logs "[{\"category\":\"AuditEvent\",\"enabled\":true}]" --workspace <log-analytics-workspace-id>

Utilize o cmdlet Set-AzDiagnosticSetting comando:

# Get the vault resource ID
$vaultResourceId = (Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>").ResourceId

# Enable diagnostics logging for Key Vault
$logs = @()
$logs += New-AzDiagnosticSettingLogSettingsObject -Category "AuditEvent" -Enabled $true
Set-AzDiagnosticSetting -ResourceId $vaultResourceId -Name "KeyVaultLogs" -WorkspaceId "<log-analytics-workspace-id>" -Log $logs

Governança de migração com o Azure Policy

Usando o serviço Azure Policy, você pode controlar a migração do RBAC do Azure nos seus cofres. Você pode criar uma definição de política personalizada para auditar os cofres de chaves existentes e impor todos os novos cofres de chaves para usar o RBAC do Azure.

Criar e atribuir definição de política para o RBAC do Azure Key Vault

Navegue até o recurso de Política
Selecione Atribuições em Authoring no lado esquerdo da página do Azure Policy
Selecione Atribuir política na parte superior da página
Insira as seguintes informações:
- Definir o escopo da política escolhendo a assinatura e o grupo de recursos
- Selecione a definição de política: "[Versão prévia]: o Azure Key Vault deve usar o RBAC do Azure"
- Definir o efeito desejado da política (Auditar, Negar ou Desabilitar)
Conclua a tarefa revisando-a e criando-a

Depois que a política for atribuída, pode levar até 24 horas para concluir a verificação. Depois que a verificação for concluída, você poderá ver os resultados de conformidade no painel do Azure Policy.

Política de Acesso à Ferramenta de Comparação do RBAC do Azure

Importante

Essa ferramenta é criada e mantida por membros da Comunidade da Microsoft e não tem suporte formal dos Serviços de Atendimento ao Cliente. A ferramenta é fornecida COMO ESTÁ e sem garantias de qualquer tipo.

Ferramenta do PowerShell para comparar as políticas de acesso do Key Vault com as funções RBAC atribuídas do Azure, para ajudar na migração das Políticas de Acesso para o RBAC do Azure. A intenção da ferramenta é fornecer verificação de sanidade ao migrar o Key Vault existente para o RBAC do Azure para garantir que as funções atribuídas com ações de dados subjacentes abrangem as Políticas de Acesso existentes.

Solução de problemas comuns

Atraso na atribuição de função: as atribuições de função podem levar vários minutos para serem propagadas. Implemente a lógica de repetição em seus aplicativos.
Atribuições de funções perdidas após recuperação: as atribuições de funções não são preservadas quando um cofre é recuperado após exclusão reversível. Você deve recriar todas as atribuições de função após a recuperação.
Erros de acesso negado: Verifique se:
- As funções corretas são atribuídas no escopo certo
- O principal do serviço ou a identidade gerenciada tem as permissões exatas necessárias
- As regras de acesso à rede não estão bloqueando sua conexão
Os scripts falham após a migração: Atualize todos os scripts que usaram políticas de acesso para usar atribuições de função.

Saiba mais

Comentários

Esta página foi útil?

Last updated on 2025-11-20