Управление доступом на основе ролей Azure (Azure RBAC) и политики доступа (устаревшие версии)
Внимание
При использовании модели разрешений политики доступа пользователь с ContributorKey Vault Contributorлюбой другой ролью, включающей Microsoft.KeyVault/vaults/write разрешения для плоскости управления хранилища ключей, может предоставить себе доступ к плоскости данных, задав политику доступа Key Vault. Чтобы предотвратить несанкционированный доступ и управление хранилищами ключей, ключами, секретами и сертификатами, необходимо ограничить доступ роли участника к хранилищам ключей в модели разрешений политики доступа. Чтобы устранить этот риск, рекомендуется использовать модель разрешений на основе ролей контроль доступа (RBAC), которая ограничивает управление разрешениями ролями "Владелец" и "Администратор доступа пользователей", что позволяет четко разделить операции безопасности и административные обязанности. Дополнительные сведения см. в руководстве по RBAC Key Vault и что такое Azure RBAC?
Azure Key Vault предлагает две системы авторизации: управление доступом на основе ролей Azure (Azure RBAC), которая работает на уровнях управления Azure и плоскостях данных, а также модель политики доступа, которая работает только на плоскости данных.
Azure RBAC основан на Azure Resource Manager и обеспечивает централизованное управление доступом к ресурсам Azure. С Azure RBAC вы управляете доступом к ресурсам, создавая назначения ролей, состоящие из трех элементов: субъекта безопасности, определения роли (предопределенного набора разрешений) и области (группы ресурсов или отдельного ресурса).
Модель политики доступа — это устаревшая система авторизации, встроенная в Key Vault, которая обеспечивает доступ к ключам, секретам и сертификатам. Вы можете управлять доступом, назначив отдельные разрешения субъектам безопасности (пользователям, группам, субъектам-службам и управляемым удостоверениям) в области Key Vault.
Рекомендация по управлению доступом на плоскости данных
Azure RBAC — это рекомендуемая система авторизации для плоскости данных Azure Key Vault. Он предлагает несколько преимуществ по сравнению с политиками доступа Key Vault:
- Azure RBAC предоставляет единую модель управления доступом для ресурсов Azure— одни и те же API используются во всех службах Azure.
- Управление доступом централизованно предоставляет администраторам согласованное представление о доступе к ресурсам Azure.
- Право предоставить доступ к ключам, секретам и сертификатам лучше контролироваться, требуя членства в роли "Владелец" или "Администратор доступа пользователей".
- Azure RBAC интегрирован с управление привилегированными пользователями, гарантируя, что права привилегированного доступа ограничены временем и истекают автоматически.
- Доступ субъектов безопасности можно исключить из заданных областей с помощью запрета назначений.
Чтобы перейти к управлению доступом уровня данных Key Vault из политик доступа к RBAC, см. статью "Миграция из политики доступа к хранилищу" в модель разрешений на основе ролей Azure.