Azure rol tabanlı erişim denetimi (Azure RBAC) ile erişim ilkeleri (eski) karşılaştırması
Önemli
Erişim İlkesi izin modelini kullanırken, , Key Vault Contributorveya anahtar kasası yönetim düzlemi için izinler içeren Microsoft.KeyVault/vaults/write başka bir role sahip Contributorbir kullanıcı, bir Key Vault erişim ilkesi ayarlayarak kendilerine veri düzlemi erişimi verebilir. Anahtar kasalarınızın, anahtarlarınızın, gizli dizilerinizin ve sertifikalarınızın yetkisiz erişimini ve yönetimini önlemek için, Erişim İlkesi izin modeli altında anahtar kasalarına Katkıda Bulunan rolü erişimini sınırlamak önemlidir. Bu riski azaltmak için, izin yönetimini 'Sahip' ve 'Kullanıcı Erişimi Yöneticisi' rolleri ile kısıtlayarak güvenlik işlemleri ile yönetim görevleri arasında net bir ayrım sağlayan Rol Tabanlı Erişim Denetimi (RBAC) izin modelini kullanmanızı öneririz. Daha fazla bilgi için bkz. Key Vault RBAC Kılavuzu ve Azure RBAC nedir?
Azure Key Vault iki yetkilendirme sistemi sunar: Azure'ın denetimi ve veri düzlemleri üzerinde çalışan Azure rol tabanlı erişim denetimi (Azure RBAC) ve yalnızca veri düzleminde çalışan erişim ilkesi modeli.
Azure RBAC, Azure Resource Manager üzerinde oluşturulur ve Azure kaynaklarının merkezi erişim yönetimini sağlar. Azure RBAC ile üç öğeden oluşan rol atamaları oluşturarak kaynaklara erişimi denetleyebilirsiniz: güvenlik sorumlusu, rol tanımı (önceden tanımlanmış izin kümesi) ve kapsam (kaynak grubu veya bağımsız kaynak).
Erişim ilkesi modeli anahtarlara, gizli dizilere ve sertifikalara erişim sağlayan Key Vault'un yerel ve eski bir yetkilendirme sistemidir. Key Vault kapsamında güvenlik sorumlularına (kullanıcılar, gruplar, hizmet sorumluları ve yönetilen kimlikler) tek tek izinler atayarak erişimi denetleyebilirsiniz.
Veri düzlemi erişim denetimi önerisi
Azure RBAC, Azure Key Vault veri düzlemi için önerilen yetkilendirme sistemidir. Key Vault erişim ilkelerine göre çeşitli avantajlar sunar:
- Azure RBAC, Azure kaynakları için birleşik bir erişim denetimi modeli sağlar; tüm Azure hizmetlerinde aynı API'ler kullanılır.
- Erişim yönetimi merkezidir ve yöneticilere Azure kaynaklarına verilen erişimin tutarlı bir görünümünü sağlar.
- Anahtarlara, gizli dizilere ve sertifikalara erişim verme hakkı daha iyi denetlenir ve Sahip veya Kullanıcı Erişimi Yöneticisi rol üyeliği gerekir.
- Azure RBAC Privileged Identity Management ile tümleşiktir ve ayrıcalıklı erişim haklarının zaman sınırlı olduğundan ve otomatik olarak süresinin dolduğundan emin olur.
- Güvenlik sorumlularının erişimi, Reddetme atamaları aracılığıyla belirli kapsamlarda dışlanabilir.
Key Vault veri düzlemi erişim denetiminizi erişim ilkelerinden RBAC'ye geçirmek için bkz . Kasa erişim ilkesinden Azure rol tabanlı erişim denetimi izin modeline geçirme.