Fornecer acesso a chaves, certificados e segredos do Azure Key Vault com o controlo de acesso baseado em funções do Azure

O controle de acesso baseado em função do Azure (Azure RBAC) é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso centralizado de recursos do Azure.

O RBAC do Azure permite que os usuários gerenciem chaves, segredos e permissões de certificados e fornece um local para gerenciar todas as permissões em todos os cofres de chaves.

O modelo RBAC do Azure permite que os usuários definam permissões em diferentes níveis de escopo: grupo de gerenciamento, assinatura, grupo de recursos ou recursos individuais. O RBAC do Azure para cofre de chaves também permite que os usuários tenham permissões separadas em chaves, segredos e certificados individuais.

Para obter mais informações, consulte Controle de acesso baseado em função do Azure (Azure RBAC).

Visão geral do modelo de acesso ao Key Vault

O acesso a um cofre de chaves é controlado através de duas interfaces: o plano de controlo e o plano de dados.

O plano de controlo é onde se gere o próprio Key Vault. As operações neste plano incluem criar e eliminar cofres de chaves, recuperar propriedades do Cofre de Chaves e atualizar políticas de acesso.

O plano de dados é onde trabalhas com os dados armazenados num cofre de chaves. Pode adicionar, eliminar e modificar chaves, segredos e certificados.

Ambos os aviões utilizam o Microsoft Entra ID para autenticação. Para autorização, o plano de controlo utiliza controlo de acesso baseado em funções Azure (Azure RBAC) e o plano de dados utiliza uma política de acesso Key Vault (legacy) ou Azure RBAC para operações no plano de dados Key Vault.

Para aceder a um cofre de chaves em qualquer um dos planos, todos os chamadores (utilizadores ou aplicações) devem ter autenticação e autorização adequadas. A autenticação estabelece a identidade do chamador. A autorização determina quais as operações que o chamador pode executar.

As aplicações acedem aos planos através dos endpoints. Os controles de acesso para os dois planos funcionam de forma independente. Para conceder a uma aplicação acesso para usar chaves num cofre de chaves, concede-se acesso ao plano de dados usando Azure RBAC ou uma política de acesso Key Vault. Para conceder a um utilizador acesso de leitura às propriedades e etiquetas do Key Vault, mas não acesso a dados (chaves, segredos ou certificados), concede-se acesso ao plano de controlo com Azure RBAC.

Pontos finais do plano de acesso

A tabela seguinte mostra os pontos finais dos planos de controlo e de dados.

Gerir o acesso administrativo ao Cofre de Chaves

Quando cria um cofre de chaves num grupo de recursos, gere o acesso usando o Microsoft Entra ID. Você concede aos usuários ou grupos a capacidade de gerenciar os cofres de chaves em um grupo de recursos. Pode conceder acesso a um nível específico de âmbito atribuindo os papéis Azure apropriados. Para conceder acesso a um usuário para gerenciar cofres de chaves, atribua uma função predefinida Key Vault Contributor ao usuário em um escopo específico. Os seguintes níveis de escopos podem ser atribuídos a um papel Azure:

• Assinatura: uma função do Azure atribuída no nível de assinatura se aplica a todos os grupos de recursos e recursos dentro dessa assinatura.
• Grupo de recursos: uma função do Azure atribuída no nível do grupo de recursos aplica-se a todos os recursos desse grupo de recursos.
• Recurso específico: uma função do Azure atribuída a um recurso específico aplica-se a esse recurso. Nesse caso, o recurso é um cofre de chaves específico.

Existem vários papéis pré-definidos. Se uma função predefinida não atender às suas necessidades, você pode definir sua própria função. Para obter mais informações, consulte RBAC do Azure: funções integradas.

Práticas recomendadas para atribuições de função de chaves, segredos e certificados individuais

Nossa recomendação é usar um cofre por aplicativo e por ambiente (Desenvolvimento, Pré-produção e Produção) com funções atribuídas no escopo do cofre principal.

Não é recomendado atribuir funções a chaves, segredos e certificados individuais. Exceções incluem cenários onde:

• Os segredos individuais requerem acesso individual do utilizador; por exemplo, onde os utilizadores têm de ler a sua chave privada SSH para autenticarem numa máquina virtual usando Azure Bastion.
• Segredos individuais devem ser partilhados entre múltiplas aplicações; por exemplo, quando uma aplicação precisa de aceder a dados de outra aplicação.

Mais informações sobre as diretrizes de gerenciamento do Cofre de Chaves do Azure, consulte:

• Proteja o seu Azure Key Vault
• Limites de serviço do Azure Key Vault

Funções internas do Azure para operações do plano de dados do Cofre da Chave

Para obter mais informações sobre definições de funções internas do Azure, consulte Funções internas do Azure.

Gerenciando atribuições de função do plano de dados do Key Vault integrado

Usando permissões de segredo, chave e certificado do RBAC do Azure com o Azure Key Vault

O novo modelo de permissão RBAC do Azure para o cofre de chaves fornece uma alternativa ao modelo de permissões da política de acesso ao cofre.

Pré-requisitos

Precisa de uma subscrição do Azure. Se não o fizer, pode criar uma conta gratuita antes de começar.

Para gerenciar atribuições de função, você deve ter Microsoft.Authorization/roleAssignments/write e Microsoft.Authorization/roleAssignments/delete permissões, como Administrador de Acesso a Dados do Cofre de Chaves (com permissões restritas para atribuir/remover apenas funções específicas do Cofre de Chaves), Administrador de Acesso de Usuário ou Proprietário.

Habilitar permissões do RBAC do Azure no Azure Key Vault

1. Habilite as permissões do RBAC do Azure no novo cofre de chaves:

   

2. Habilite as permissões do RBAC do Azure no cofre de chaves existente:

   

Atribuir função

az role assignment create --role {role-name-or-id} --assignee {assignee-upn}> --scope {scope}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName {role-name} -SignInName {assignee-upn} -Scope {scope}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName Reader -ApplicationId {application-id} -Scope {scope}

Atribuição de função no âmbito do grupo de recursos

az role assignment create --role "Key Vault Reader" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

A atribuição de função acima fornece a capacidade de listar objetos do cofre de chaves no cofre de chaves.

Atribuição de função de escopo do Key Vault

az role assignment create --role "Key Vault Secrets Officer" --assignee {assignee-upn} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Atribuição de função de escopo secreto

az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {i.e user@microsoft.com} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 00001111-aaaa-2222-bbbb-3333cccc4444} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

Testar e verificar

1. Valide a adição de novo segredo sem a função "Key Vault Secrets Officer" no nível do cofre de chaves.

   1. Vá para a guia Controle de acesso do cofre de chaves (IAM) e remova a atribuição de função "Key Vault Secrets Officer" para este recurso.

      

   2. Navegue até o segredo criado anteriormente. Você pode ver todas as propriedades secretas.

      

   3. Criar novo segredo ( Segredos > +Gerar/Importar) deve mostrar este erro:

      

2. Valide a edição secreta sem a função "Key Vault Secret Officer" no nível secreto.

   1. Vá para a guia Controle de Acesso (IAM) secreto criado anteriormente e remova a atribuição de função "Key Vault Secrets Officer" para este recurso.

   2. Navegue até o segredo criado anteriormente. Você pode ver propriedades secretas.

      

3. Valide segredos lidos sem a função de leitor no nível do cofre de chaves.

   1. Vá para a guia Controle de acesso (IAM) do grupo de recursos do cofre de chaves e remova a atribuição de função "leitor do cofre de chaves".

   2. Navegar até a guia Segredos do cofre de chaves deve mostrar este erro:

      

Criação de funções personalizadas

az role definition create comando

az role definition create --role-definition '{ \
    "Name": "Backup Keys Operator", \
    "Description": "Perform key backup/restore operations", \
    "Actions": [], \
    "DataActions": [ \
        "Microsoft.KeyVault/vaults/keys/read ", \
        "Microsoft.KeyVault/vaults/keys/backup/action", \
        "Microsoft.KeyVault/vaults/keys/restore/action" \
    ], \
    "NotDataActions": [], \
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'

$roleDefinition = @"
{ 
    "Name": "Backup Keys Operator", 
    "Description": "Perform key backup/restore operations", 
    "Actions": [], 
    "DataActions": [ 
        "Microsoft.KeyVault/vaults/keys/read ", 
        "Microsoft.KeyVault/vaults/keys/backup/action", 
        "Microsoft.KeyVault/vaults/keys/restore/action" 
    ], 
    "NotDataActions": [], 
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] 
}
"@

$roleDefinition | Out-File role.json

New-AzRoleDefinition -InputFile role.json

Para obter mais informações sobre como criar funções personalizadas, consulte:

Funções personalizadas do Azure

Perguntas Mais Frequentes

Posso usar atribuições de âmbito de objeto do Azure RBAC para fornecer isolamento às equipas de aplicação no Key Vault?

N.º O modelo de permissões Azure RBAC permite-lhe atribuir acesso a objetos individuais no Key Vault ao utilizador ou aplicação, mas quaisquer operações administrativas como controlo de acesso à rede, monitorização e gestão de objetos requerem permissões ao nível do cofre, que depois expõem informações seguras aos operadores de todas as equipas de aplicação.

Mais informações

• Descrição geral do Azure RBAC
• Atribuir funções do Azure com o portal do Azure
• Tutorial de funções personalizadas
• Proteja o seu Azure Key Vault