Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Quando si utilizza il modello di autorizzazione basato sui criteri di accesso, un utente con il ruolo Contributor, Key Vault Contributor o qualsiasi altro ruolo che includa le autorizzazioni Microsoft.KeyVault/vaults/write per il piano di gestione dell'insieme di credenziali delle chiavi può concedere a sé stesso l'accesso al piano dati impostando un criterio di accesso per l'insieme di credenziali delle chiavi. Per impedire l'accesso non autorizzato e la gestione degli insiemi di credenziali delle chiavi, delle chiavi, dei segreti e dei certificati, è essenziale limitare l'accesso del ruolo Collaboratore agli insiemi di credenziali delle chiavi nel modello di autorizzazione criteri di accesso. Per ridurre questo rischio, ti consigliamo di utilizzare il modello di autorizzazione Controllo dell'accesso basato sui ruoli (RBAC), che limita la gestione delle autorizzazioni ai ruoli "Proprietario" e "Amministratore dell'accesso utenti", consentendo una chiara separazione tra operazioni di sicurezza e compiti amministrativi. Per ulteriori informazioni, vedere la Guida al controllo degli accessi in base al ruolo di Key Vault e Che cos'è il controllo degli accessi in base al ruolo di Azure?.
Azure Key Vault offre due sistemi di autorizzazione: il controllo degli accessi in base al ruolo di Azure, che opera sul piano di controllo e sul piano dati di Azure e il modello dei criteri di accesso, che opera solo sul piano dati.
Il controllo degli accessi basato sui ruoli di Azure è costruito su Azure Resource Manager e fornisce una gestione centralizzata degli accessi alle risorse di Azure. Con il controllo degli accessi in base al ruolo di Azure si controlla l'accesso alle risorse creando assegnazioni di ruolo, costituite da tre elementi: un'entità di sicurezza, una definizione del ruolo (set predefinito di autorizzazioni) e un ambito (gruppo di risorse o singola risorsa).
Il modello dei criteri di accesso è un sistema di autorizzazione legacy, nativo di Key Vault, che fornisce l'accesso a chiavi, segreti e certificati. È possibile controllare l'accesso assegnando singole autorizzazioni alle entità di sicurezza (utenti, gruppi, entità servizio e identità gestite) nell'ambito di Key Vault.
Raccomandazione per il controllo degli accessi per il piano dati
Il sistema di autorizzazione consigliato per il piano dati di Azure Key Vault è Azure RBAC (controllo degli accessi in base al ruolo). Offre diversi vantaggi rispetto ai criteri di accesso di Key Vault:
- Il controllo degli accessi in base al ruolo di Azure fornisce un modello di controllo degli accessi unificato per le risorse di Azure, ovvero le stesse API vengono usate in tutti i servizi di Azure.
- La gestione degli accessi è centralizzata, offrendo agli amministratori un quadro coerente dell'accesso concesso alle risorse di Azure.
- Il diritto di concedere l'accesso a chiavi, segreti e certificati è controllato meglio, essendo richiesta l'appartenenza al ruolo Proprietario o Amministratore Accesso utenti.
- Il controllo degli accessi in base al ruolo (RBAC) di Azure è integrato con Privileged Identity Management, garantendo che i diritti di accesso privilegiato siano limitati nel tempo e scadano automaticamente.
- L'accesso delle entità di sicurezza può essere escluso in determinati ambiti tramite l'uso di assegnazioni di rifiuto.
Per eseguire la transizione del controllo di accesso del piano dati di Key Vault dai criteri di accesso al controllo degli accessi in base al ruolo, vedere Eseguire la migrazione dai criteri di accesso dell'insieme di credenziali a un modello di autorizzazione di controllo degli accessi in base al ruolo di Azure.