Řízení přístupu na základě role v Azure (Azure RBAC) vs. zásady přístupu (starší verze)
Důležité
Při použití modelu oprávnění zásad přístupu může uživatel s Contributorrolí , Key Vault Contributornebo jakoukoli jinou roli, která zahrnuje Microsoft.KeyVault/vaults/write oprávnění pro rovinu správy trezoru klíčů, udělit přístup k rovině dat nastavením zásad přístupu ke službě Key Vault. Pokud chcete zabránit neoprávněnému přístupu a správě trezorů klíčů, klíčů, tajných kódů a certifikátů, je nezbytné omezit přístup role přispěvatele k trezorům klíčů v rámci modelu oprávnění zásad přístupu. Pokud chcete toto riziko zmírnit, doporučujeme použít model oprávnění řízení přístupu na základě role (RBAC), který omezuje správu oprávnění na role Vlastník a Správce uživatelských přístupů, což umožňuje jasné oddělení mezi operacemi zabezpečení a administrativními povinnostmi. Další informace najdete v průvodci RBAC služby Key Vault a co je Azure RBAC?
Azure Key Vault nabízí dva systémy autorizace: řízení přístupu na základě role v Azure (Azure RBAC), které funguje na řídicích rovinách Azure a rovinách dat, a model zásad přístupu, který funguje samostatně v rovině dat.
Azure RBAC je založený na Azure Resource Manageru a poskytuje centralizovanou správu přístupu k prostředkům Azure. Pomocí Azure RBAC řídíte přístup k prostředkům vytvořením přiřazení rolí, které se skládá ze tří prvků: objekt zabezpečení, definice role (předdefinovaná sada oprávnění) a rozsah (skupina prostředků, nebo jednotlivé prostředky).
Model zásad přístupu je starší systém autorizace nativní pro službu Key Vault, který poskytuje přístup ke klíčům, tajným kódům a certifikátům. Přístup můžete řídit přiřazením jednotlivých oprávnění k objektům zabezpečení (uživatelům, skupinám, instančním objektům a spravovaným identitám) v oboru služby Key Vault.
Doporučení řízení přístupu roviny dat
Azure RBAC je doporučený autorizační systém pro rovinu dat služby Azure Key Vault. Nabízí několik výhod oproti zásadám přístupu ke službě Key Vault:
- Azure RBAC poskytuje jednotný model řízení přístupu pro prostředky Azure – stejná rozhraní API se používají ve všech službách Azure.
- Správa přístupu je centralizovaná a poskytuje správcům konzistentní zobrazení přístupu uděleného prostředkům Azure.
- Právo udělit přístup ke klíčům, tajným kódům a certifikátům je lépe řízeno, což vyžaduje členství v roli Vlastník nebo Správce uživatelských přístupů.
- Azure RBAC je integrovaný s Privileged Identity Management a zajišťuje, aby privilegovaná přístupová práva byla časově omezená a platnost vyprší automaticky.
- Přístup k objektům zabezpečení je možné vyloučit v daných oborech prostřednictvím přiřazení zamítnutí.
Pokud chcete převést řízení přístupu roviny dat služby Key Vault ze zásad přístupu na RBAC, přečtěte si téma Migrace ze zásad přístupu trezoru do modelu oprávnění řízení přístupu na základě role Azure.