Warning
Para maior segurança, use o modelo de permissão Controle de Acesso Baseado em Função (RBAC) em vez de políticas de acesso ao gerir o Cofre de Chaves do Azure. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso de Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para obter mais informações, consulte O que é o RBAC do Azure? e o Guia RBAC do Cofre de Chaves.
Com o modelo de permissão da Política de Acesso, os utilizadores com Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder a si próprios acesso ao plano de dados configurando uma política de acesso ao Azure Key Vault. Isso pode resultar em acesso não autorizado e gerenciamento de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso da função de Colaborador aos cofres de chaves ao usar o modelo de Política de Acesso.
Uma política de acesso ao Cofre de Chaves determina se uma determinada entidade de segurança, ou seja, um usuário, aplicativo ou grupo de usuários, pode executar diferentes operações em segredos, chaves e certificados do Cofre de Chaves. Você pode atribuir políticas de acesso usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
O Key Vault suporta até 1024 entradas de política de acesso, com cada entrada a conceder um conjunto distinto de permissões para um principal de segurança específico. Devido a essa limitação, recomendamos atribuir políticas de acesso a grupos de usuários, sempre que possível, em vez de usuários individuais. O uso de grupos facilita muito o gerenciamento de permissões para várias pessoas em sua organização. Para obter mais informações, consulte Gerenciar o acesso a aplicativos e recursos usando grupos do Microsoft Entra.
Atribuir uma política de acesso
No portal Azure, navegue até o recurso Cofre de Chaves.
Selecione Políticas de acesso e, em seguida, selecione Criar:
Selecione as permissões desejadas em Permissões de chave, Permissões secretas e Permissões de certificado.
No painel de seleção Principal, insira o nome do usuário, aplicativo ou entidade de serviço no campo de pesquisa e selecione o resultado apropriado.
Se você estiver usando uma identidade gerenciada para o aplicativo, pesquise e selecione o nome do próprio aplicativo. (Para obter mais informações sobre entidades de segurança, consulte Autenticação do Key Vault.
Reveja as alterações à política de acesso e selecione Criar para guardar a política de acesso.
De volta à página Políticas de acesso, verifique se a sua política de acesso está listada.
Para obter mais informações sobre como criar grupos no Microsoft Entra ID usando a CLI do Azure, consulte az ad group create e az ad group member add.
Para executar comandos da CLI do Azure localmente, instale a CLI do Azure.
Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.
Somente CLI local: inicie sessão no Azure usando az login:
az login
O az login comando abre uma janela do navegador para coletar credenciais, se necessário.
Adquira o ID do objeto
Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:
Aplicativos e outras entidades de serviço: use o comando az ad sp list para recuperar suas entidades de serviço. Examine a saída do comando para determinar a ID do objeto da entidade de segurança à qual você deseja atribuir a diretiva de acesso.
az ad sp list --show-mine
Grupos: use o comando az ad group list , filtrando os resultados com o --display-name parâmetro:
az ad group list --display-name <search-string>
Utilizadores: use o comando az ad user show, passando o endereço de e-mail do utilizador no --id parâmetro:
az ad user show --id <email-address-of-user>
Atribuir a política de acesso
Use o comando az keyvault set-policy para atribuir as permissões desejadas:
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
Substitua <object-id> pelo ID do objeto do seu principal de segurança.
Você só precisa incluir --secret-permissions, --key-permissions e --certificate-permissions ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions>e <certificate-permissions> são fornecidos na documentação az keyvault set-policy .
Para obter mais informações sobre como criar grupos no Microsoft Entra ID usando o Azure PowerShell, consulte New-AzADGroup e Add-AzADGroupMember.
Para executar comandos localmente, instale o Azure PowerShell se ainda não o fez.
Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.
PowerShell local somente:
Instale o módulo PowerShell do Azure Ative Directory.
Entre no Azure:
Connect-AzAccount
Adquira o ID do objeto
Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:
Aplicações e outras entidades de serviço: use o cmdlet Get-AzADServicePrincipal com o parâmetro -SearchString para filtrar os resultados pelo nome da entidade de serviço desejada.
Get-AzADServicePrincipal -SearchString <search-string>
Grupos: use o cmdlet Get-AzADGroup com o -SearchString parâmetro para filtrar os resultados pelo nome do grupo desejado:
Get-AzADGroup -SearchString <search-string>
Na saída, o ID do objeto é listado como Id.
Utilizadores: utilizem o cmdlet Get-AzADUser, passando o endereço de e-mail do utilizador para o -UserPrincipalName parâmetro.
Get-AzAdUser -UserPrincipalName <email-address-of-user>
Na saída, o ID do objeto é listado como Id.
Atribuir a política de acesso
Use o cmdlet Set-AzKeyVaultAccessPolicy para atribuir a política de acesso:
Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions
Você só precisa incluir -PermissionsToSecrets, -PermissionsToKeys e -PermissionsToCertificates ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions>, e <certificate-permissions> são fornecidos na documentação Set-AzKeyVaultAccessPolicy - Parameters .
Próximos passos