Migrar da política de acesso ao cofre para um modelo de permissão de controle de acesso baseado em função do Azure

O Azure Key Vault oferece dois sistemas de autorização: o controle de acesso baseado em função do Azure (Azure RBAC) e um modelo de política de acesso. O RBAC do Azure é o sistema de autorização padrão e recomendado para o Azure Key Vault. Para obter uma comparação dos dois métodos de autorização, consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus políticas de acesso.

Este artigo fornece as informações necessárias para migrar um cofre de chaves de um modelo de política de acesso para um modelo RBAC do Azure.

Políticas de acesso ao mapeamento de funções do Azure

O RBAC do Azure tem várias funções internas do Azure que você pode atribuir a usuários, grupos, entidades de serviço e identidades gerenciadas. Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas do Azure.

Funções internas do Key Vault para gerenciamento de acesso de chaves, certificados e segredos:

  • Administrador do Cofre de Chaves
  • Leitor Key Vault
  • Operador de limpeza do cofre de chaves
  • Oficial de Certificados do Cofre de Chaves
  • Usuário do certificado do Key Vault
  • Responsável pela criptografia do Key Vault
  • Key Vault Crypto Usuário
  • Usuário de criptografia do Key Vault Crypto Service
  • Usuário do Key Vault Crypto Service Release
  • Oficial de Segredos do Cofre de Chaves
  • Usuário do Key Vault Secrets

Para obter mais informações sobre funções internas existentes, consulte Funções internas do Azure

As políticas de acesso ao Vault podem ser atribuídas com permissões selecionadas individualmente ou com modelos de permissão predefinidos.

Modelos de permissão predefinidos da política de acesso:

  • Chave, Segredo, Gestão de Certificados
  • Key & Gestão Secreta
  • Gestão de Certificados Secretos
  • Gestão de Chaves
  • Gestão Secreta
  • Certificate Management (Gestão de Certificados)
  • Conector do SQL Server
  • Armazenamento Azure Data Lake ou Armazenamento do Azure
  • Azure Backup
  • Chave de Cliente do Exchange Online
  • Chave de Cliente do SharePoint Online
  • Azure Information BYOK

Acessar modelos de política para mapeamento de funções do Azure

Modelo de política de acesso Operações Função do Azure
Chave, Segredo, Gestão de Certificados Chaves: todas as operações
Certificados: todas as operações
Segredos: todas as operações
Administrador do Cofre de Chaves
Key & Gestão Secreta Chaves: todas as operações
Segredos: todas as operações
Responsável pela criptografia do Key Vault
Oficial de Segredos do Cofre de Chaves
Gestão de Certificados Secretos Certificados: todas as operações
Segredos: todas as operações
Oficial de Certificados do Cofre de Chaves
Oficial de Segredos do Cofre de Chaves
Gestão de Chaves Chaves: todas as operações Responsável pela criptografia do Key Vault
Gestão Secreta Segredos: todas as operações Oficial de Segredos do Cofre de Chaves
Certificate Management (Gestão de Certificados) Certificados: todas as operações Oficial de Certificados do Cofre de Chaves
Conector do SQL Server Chaves: get, list, wrap key, unwrap key Usuário de criptografia do Key Vault Crypto Service
Armazenamento Azure Data Lake ou Armazenamento do Azure Chaves: get, list, unwrap key N/A
Função personalizada necessária
Azure Backup Chaves: get, list, backup
Segredos: obter, listar, fazer backup
N/A
Função personalizada necessária
Chave de Cliente do Exchange Online Chaves: get, list, wrap key, unwrap key Usuário de criptografia do Key Vault Crypto Service
Chave de Cliente do Exchange Online Chaves: get, list, wrap key, unwrap key Usuário de criptografia do Key Vault Crypto Service
Azure Information BYOK Chaves: obter, desencriptar, assinar N/A
Função personalizada necessária

Nota

A configuração de certificado do Serviço de Aplicativo do Azure por meio do Portal do Azure não oferece suporte ao modelo de permissão RBAC do Cofre da Chave. Você pode usar implantações de modelo do Azure PowerShell, CLI do Azure e ARM com atribuição de função de usuário de certificado do Cofre de Chaves para identidade global do Serviço de Aplicativo, por exemplo, Serviço de Aplicativo do Microsoft Azure na nuvem pública.

Mapeamento de escopos de atribuição

O RBAC do Azure para Key Vault permite a atribuição de funções nos seguintes escopos:

  • Grupo de gestão
  • Subscrição
  • Grupo de recursos
  • Recurso Key Vault
  • Chave, segredo e certificado individuais

O modelo de permissão da política de acesso ao cofre está limitado à atribuição de políticas apenas no nível de recursos do Cofre da Chave.

Em geral, é uma prática recomendada ter um cofre de chaves por aplicativo e gerenciar o acesso no nível do cofre de chaves. Há cenários em que o gerenciamento de acesso em outros escopos pode simplificar o gerenciamento de acesso.

  • Infraestrutura, administradores e operadores de segurança: gerenciar grupos de cofres de chaves no nível de grupo de gerenciamento, assinatura ou grupo de recursos com políticas de acesso ao cofre requer a manutenção de políticas para cada cofre de chaves. O RBAC do Azure permite criar uma atribuição de função no grupo de gerenciamento, assinatura ou grupo de recursos. Essa atribuição será aplicada a quaisquer novos cofres de chaves criados sob o mesmo escopo. Nesse cenário, é recomendável usar o Privileged Identity Management com acesso just-in time em vez de fornecer acesso permanente.

  • Aplicativos: há cenários em que o aplicativo precisaria compartilhar segredo com outro aplicativo. Usando políticas de acesso ao cofre, o cofre de chaves separado teve que ser criado para evitar dar acesso a todos os segredos. O RBAC do Azure permite atribuir função com escopo para segredo individual, em vez disso, usando o cofre de chave única.

Política de acesso do cofre às etapas de migração do Azure RBAC

Há muitas diferenças entre o RBAC do Azure e o modelo de permissão da política de acesso ao cofre. Para evitar interrupções durante a migração, recomendam-se as etapas abaixo.

  1. Identificar e atribuir funções: identifique funções internas com base na tabela de mapeamento acima e crie funções personalizadas quando necessário. Atribua funções em escopos, com base nas diretrizes de mapeamento de escopos. Para obter mais informações sobre como atribuir funções ao cofre de chaves, consulte Fornecer acesso ao Cofre de Chaves com um controle de acesso baseado em função do Azure
  2. Validar atribuição de funções: as atribuições de função no RBAC do Azure podem levar vários minutos para se propagar. Para obter um guia sobre como verificar atribuições de função, consulte Listar atribuições de funções no escopo
  3. Configurar monitoramento e alertas no cofre de chaves: é importante habilitar o registro em log e configurar alertas para exceções de acesso negado. Para obter mais informações, consulte Monitoramento e alertas para o Azure Key Vault
  4. Definir o modelo de permissão de controle de acesso baseado em função do Azure no Cofre da Chave: habilitar o modelo de permissão RBAC do Azure invalidará todas as políticas de acesso existentes. Em caso de erro, o modelo de permissão pode ser alternado novamente com todas as políticas de acesso existentes permanecendo inalteradas.

Pré-requisitos

Alterar o modelo de permissão de um cofre de chaves requer duas permissões:

Não há suporte para funções clássicas de administrador de assinatura, como "Administrador de serviço" e "Coadministrador".

Nota

Quando o modelo de permissão do RBAC do Azure está habilitado, todos os scripts que tentam atualizar as políticas de acesso falharão. É importante atualizar esses scripts para usar o Azure RBAC.

Governação da migração

Usando o serviço de Política do Azure, você pode controlar a migração do modelo de permissão RBAC em seus cofres. Você pode criar uma definição de política personalizada para auditar cofres de chaves existentes e impor todos os novos cofres de chaves para usar o modelo de permissão RBAC do Azure.

Criar e atribuir definição de política para o modelo de permissão RBAC do Azure do Cofre da Chave

  1. Navegue até Recurso de política
  2. Selecione Atribuições em Criação no lado esquerdo da página Política do Azure.
  3. Selecione Atribuir política na parte superior da página. Este botão é aberto na página Atribuição de políticas.
  4. Insira as seguintes informações:
    • Defina o escopo da política escolhendo a assinatura e o grupo de recursos sobre o qual a política será imposta. Selecione clicando no botão de três pontos no campo Escopo .
    • Selecione o nome da definição de política: "[Preview]: Azure Key Vault should use RBAC permission model"
    • Vá para a guia Parâmetros na parte superior da página e defina o efeito desejado da política (Auditoria, Negar ou Desabilitado).
  5. Preencha todos os campos adicionais. Navegue pelos separadores clicando nos botões Anterior e Seguinte na parte inferior da página.
  6. Selecione Rever + criar
  7. Selecione Criar

Depois que a política interna é atribuída, pode levar até 24 horas para concluir a verificação. Depois que a verificação for concluída, você poderá ver os resultados de conformidade como abaixo.

Conformidade com a política RBAC

Para obter mais informações, consulte,

Política de Acesso à Ferramenta de Comparação do RBAC do Azure

Importante

Esta ferramenta é criada e mantida por membros da Comunidade Microsoft e sem suporte formal dos Serviços de Atendimento ao Cliente. A ferramenta é fornecida no estado em que se encontra sem qualquer tipo de garantia.

Ferramenta PowerShell para comparar as políticas de acesso do Cofre da Chave com as funções RBAC atribuídas para ajudar com a Política de Acesso para a migração do Modelo de Permissão RBAC. A intenção da ferramenta é fornecer verificação de sanidade ao migrar o Cofre de Chaves existente para o modelo de permissão RBAC para garantir que as funções atribuídas com ações de dados subjacentes abranjam as Políticas de Acesso existentes.

Resolução de Problemas

  • A atribuição de funções não funciona após vários minutos - há situações em que as atribuições de função podem demorar mais tempo. É importante escrever lógica de repetição no código para cobrir esses casos.
  • As atribuições de função desapareceram quando o Cofre da Chave foi excluído (exclusão suave) e recuperado - atualmente é uma limitação do recurso de exclusão suave em todos os serviços do Azure. É necessário recriar todas as atribuições de função após a recuperação.

Mais informações