Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Warning
Para maior segurança, use o modelo de permissão Controle de Acesso Baseado em Função (RBAC) em vez de políticas de acesso ao gerir o Cofre de Chaves do Azure. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso de Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para obter mais informações, consulte O que é o RBAC do Azure? e o Guia RBAC do Cofre de Chaves.
Com o modelo de permissão da Política de Acesso, os utilizadores com Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder a si próprios acesso ao plano de dados configurando uma política de acesso ao Azure Key Vault. Isso pode resultar em acesso não autorizado e gerenciamento de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso da função de Colaborador aos cofres de chaves ao usar o modelo de Política de Acesso.
O Azure Key Vault oferece dois sistemas de autorização: o controle de acesso baseado em função do Azure (Azure RBAC), que opera nos planos de controle e dados do Azure, e o modelo de política de acesso, que opera apenas no plano de dados.
O Azure RBAC é baseado no Azure Resource Manager e fornece gerenciamento de acesso centralizado de recursos do Azure. Com o Azure RBAC, controla o acesso aos recursos criando atribuições de função, que consistem em três elementos: um principal de segurança, uma definição de função (conjunto predefinido de permissões) e um âmbito (grupo de recursos ou recurso individual).
O modelo de política de acesso é um sistema de autorização legado, nativo do Cofre de Chaves, que fornece acesso a chaves, segredos e certificados. Você pode controlar o acesso atribuindo permissões individuais a entidades de segurança (usuários, grupos, entidades de serviço e identidades gerenciadas) no escopo do Cofre de Chaves.
Recomendação de controle de acesso ao plano de dados
O RBAC do Azure é o sistema de autorização recomendado para o plano de dados do Azure Key Vault. Ele oferece várias vantagens em relação às políticas de acesso ao Key Vault:
- O RBAC do Azure fornece um modelo de controle de acesso unificado para recursos do Azure — as mesmas APIs são usadas em todos os serviços do Azure.
- O gerenciamento de acesso é centralizado, fornecendo aos administradores uma exibição consistente do acesso concedido aos recursos do Azure.
- O direito de conceder acesso a chaves, segredos e certificados é melhor controlado, exigindo a associação à função de Proprietário ou Administrador de Acesso de Usuário.
- O RBAC do Azure é integrado ao Privileged Identity Management, garantindo que os direitos de acesso privilegiados sejam limitados no tempo e expirem automaticamente.
- O acesso das entidades de segurança pode ser excluído em determinados âmbitos através da utilização de Negar atribuições.
Para transicionar o controlo de acesso do seu plano de dados Key Vault das políticas de acesso para o Azure RBAC, consulte Migração para Azure RBAC a partir das políticas de acesso.