Kasa erişim ilkesinden Azure rol tabanlı erişim denetimi izin modeline geçiş

Azure Key Vault iki yetkilendirme sistemi sunar: Azure rol tabanlı erişim denetimi (Azure RBAC) ve bir erişim ilkesi modeli. Azure RBAC, Azure Key Vault için varsayılan ve önerilen yetkilendirme sistemidir. İki yetkilendirme yönteminin karşılaştırması için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) ve erişim ilkeleri.

Bu makalede, bir anahtar kasasını erişim ilkesi modelinden Azure RBAC modeline geçirmek için gereken bilgiler sağlanır.

Azure rolleri eşlemesine erişim ilkeleri

Azure RBAC'de kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere atayabileceğiniz çeşitli Azure yerleşik rolleri vardır. Yerleşik roller kuruluşunuzun belirli gereksinimlerini karşılamıyorsa kendi Azure özel rollerinizi oluşturabilirsiniz.

Anahtarlar, sertifikalar ve gizli diziler erişim yönetimi için Key Vault yerleşik rolleri :

  • Key Vault Yöneticisi
  • Key Vault Okuyucusu
  • Key Vault Temizleme İşleci
  • Key Vault Sertifika Yetkilisi
  • Key Vault Sertifika Kullanıcısı
  • Key Vault Şifreleme Yetkilisi
  • Key Vault Şifreleme Kullanıcısı
  • Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı
  • Key Vault Şifreleme Hizmeti Yayın Kullanıcısı
  • Key Vault Gizli DiziLeri Yetkilisi
  • Key Vault Gizli Dizi Kullanıcısı

Mevcut yerleşik roller hakkında daha fazla bilgi için bkz. Azure yerleşik rolleri

Kasa erişim ilkeleri tek tek seçilen izinlerle veya önceden tanımlanmış izin şablonlarıyla atanabilir.

Erişim ilkesi önceden tanımlanmış izin şablonları:

  • Anahtar, Gizli Dizi, Sertifika Yönetimi
  • Anahtar ve Gizli Dizi Yönetimi
  • Gizli Dizi ve Sertifika Yönetimi
  • Anahtar Yönetimi
  • Gizli Dizi Yönetimi
  • Sertifika Yönetimi
  • SQL Server Bağlayıcısı
  • Azure Data Lake Storage veya Azure Depolama
  • Azure Backup
  • Exchange Online Müşteri Anahtarı
  • SharePoint Online Müşteri Anahtarı
  • Azure Information BYOK

İlke şablonlarına Azure rolleri eşlemesine erişme

Erişim ilkesi şablonu Operations Azure rolü
Anahtar, Gizli Dizi, Sertifika Yönetimi Anahtarlar: tüm işlemler
Sertifikalar: tüm işlemler
Gizli diziler: tüm işlemler
Key Vault Yöneticisi
Anahtar ve Gizli Dizi Yönetimi Anahtarlar: tüm işlemler
Gizli diziler: tüm işlemler
Key Vault Şifreleme Yetkilisi
Key Vault Gizli DiziLeri Yetkilisi
Gizli Dizi ve Sertifika Yönetimi Sertifikalar: tüm işlemler
Gizli diziler: tüm işlemler
Key Vault Sertifika Yetkilisi
Key Vault Gizli DiziLeri Yetkilisi
Anahtar Yönetimi Anahtarlar: tüm işlemler Key Vault Şifreleme Yetkilisi
Gizli Dizi Yönetimi Gizli diziler: tüm işlemler Key Vault Gizli DiziLeri Yetkilisi
Sertifika Yönetimi Sertifikalar: tüm işlemler Key Vault Sertifika Yetkilisi
SQL Server Bağlayıcısı Anahtarlar: get, list, wrap key, unwrap key Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı
Azure Data Lake Storage veya Azure Depolama Anahtarlar: get, list, unwrap key Yok
Özel rol gerekiyor
Azure Backup Anahtarlar: alma, listeleme, yedekleme
Gizli diziler: alma, listeleme, yedekleme
Yok
Özel rol gerekiyor
Exchange Online Müşteri Anahtarı Anahtarlar: get, list, wrap key, unwrap key Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı
Exchange Online Müşteri Anahtarı Anahtarlar: get, list, wrap key, unwrap key Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı
Azure Information BYOK Anahtarlar: alma, şifre çözme, imzalama Yok
Özel rol gerekiyor

Not

Azure Portal aracılığıyla hizmet sertifikası yapılandırması Azure Uygulaması Key Vault RBAC izin modelini desteklemez. Azure PowerShell, Azure CLI, ARM şablonu dağıtımlarını App Service genel kimliği için Key Vault Sertifikası Kullanıcı rolü ataması ile kullanabilirsiniz; örneğin, genel buluttaki Microsoft Azure Uygulaması Service' gibi.

Atama kapsamları eşlemesi

Key Vault için Azure RBAC, aşağıdaki kapsamlarda rol atamasına izin verir:

  • Yönetim grubu
  • Abonelik
  • Kaynak grubu
  • Key Vault kaynağı
  • Tek tek anahtar, gizli dizi ve sertifika

Kasa erişim ilkesi izin modeli yalnızca Key Vault kaynak düzeyinde ilke atamayla sınırlıdır.

Genel olarak, uygulama başına bir anahtar kasasına sahip olmak ve anahtar kasası düzeyinde erişimi yönetmek en iyi yöntemdir. Diğer kapsamlarda erişimi yönetmenin erişim yönetimini basitleştirebileceği senaryolar vardır.

  • Altyapı, güvenlik yöneticileri ve operatörler: Kasa erişim ilkeleriyle yönetim grubu, abonelik veya kaynak grubu düzeyinde anahtar kasaları grubunu yönetmek, her anahtar kasası için ilkelerin korunmasını gerektirir. Azure RBAC, yönetim grubunda, abonelikte veya kaynak grubunda tek bir rol ataması oluşturulmasına olanak tanır. Bu atama, aynı kapsam altında oluşturulan tüm yeni anahtar kasalarına uygulanır. Bu senaryoda, kalıcı erişim sağlama üzerinden tam zamanında erişimle Privileged Identity Management kullanılması önerilir.

  • Uygulamalar: Uygulamanın gizli diziyi diğer uygulamayla paylaşması gereken senaryolar vardır. Kasa erişim ilkeleri kullanılarak tüm gizli dizilere erişim verilmesini önlemek için ayrı anahtar kasası oluşturulması gerekiyordu. Azure RBAC, tek bir anahtar kasası kullanmak yerine tek gizli dizi kapsamına sahip rol atamaya olanak tanır.

Azure RBAC geçiş adımlarına kasa erişim ilkesi

Azure RBAC ile kasa erişim ilkesi izin modeli arasında birçok fark vardır. Geçiş sırasında kesintileri önlemek için aşağıdaki adımlar önerilir.

  1. Rolleri tanımlama ve atama: Yukarıdaki eşleme tablosuna göre yerleşik rolleri belirleyin ve gerektiğinde özel roller oluşturun. Kapsam eşleme kılavuzuna göre kapsamlarda roller atayın. Anahtar kasasına rol atama hakkında daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimiyle Key Vault'a erişim sağlama
  2. Rol atamasını doğrulama: Azure RBAC'deki rol atamalarının yayılması birkaç dakika sürebilir. Rol atamalarını denetleme kılavuzu için bkz . Kapsamda rol atamalarını listeleme
  3. Anahtar kasasında izlemeyi ve uyarıyı yapılandırın: Erişim reddedilen özel durumlar için günlüğe kaydetmeyi ve uyarı ayarlamayı etkinleştirmek önemlidir. Daha fazla bilgi için bkz. Azure Key Vault için izleme ve uyarı
  4. Key Vault'ta Azure rol tabanlı erişim denetimi izin modelini ayarlama: Azure RBAC izin modelinin etkinleştirilmesi tüm mevcut erişim ilkelerini geçersiz kılar. Hata oluşursa, izin modeli tüm mevcut erişim ilkelerine dokunulmadan geri döndürülebilir.

Önkoşullar

Anahtar kasasının izin modelini değiştirmek için iki izin gerekir:

  • Sahip rolüne ve Kullanıcı Erişimi Yöneticisi rolüne dahil edilen 'Microsoft.Authorization/roleAssignments/write' izni.
  • Key Vault Katılımcısı rolüne dahil edilen 'Microsoft.KeyVault/vaults/write' izni.

'Hizmet Yöneticisi' ve 'Ortak Yönetici' gibi klasik abonelik yöneticisi rolleri desteklenmez.

Not

Azure RBAC izin modeli etkinleştirildiğinde, erişim ilkelerini güncelleştirmeye çalışan tüm betikler başarısız olur. Bu betikleri Azure RBAC kullanacak şekilde güncelleştirmek önemlidir.

Geçiş idaresi

Azure İlkesi hizmetini kullanarak, kasalarınız arasında RBAC izin modeli geçişini yönetebilirsiniz. Mevcut anahtar kasalarını denetlemek ve tüm yeni anahtar kasalarını Azure RBAC izin modelini kullanmak üzere zorunlu kılmak için özel bir ilke tanımı oluşturabilirsiniz.

Key Vault Azure RBAC izin modeli için ilke tanımı oluşturma ve atama

  1. İlke kaynağına gidin
  2. Azure İlkesi sayfasının sol tarafındaki Yazma bölümünden Atamalar'ı seçin.
  3. Sayfanın üst kısmındaki İlke ata'yı seçin. Bu düğme İlke ataması sayfasında açılır.
  4. Aşağıdaki bilgileri girin:
    • İlkenin uygulanacağı aboneliği ve kaynak grubunu seçerek ilkenin kapsamını tanımlayın. Kapsam alanındaki üç nokta düğmesine tıklayarak seçin.
    • İlke tanımının adını seçin: "[Önizleme]: Azure Key Vault RBAC izin modelini kullanmalıdır"
    • Sayfanın üst kısmındaki Parametreler sekmesine gidin ve ilkenin istenen etkisini tanımlayın (Denetim, Reddetme veya Devre Dışı).
  5. Tüm ek alanları doldurun. Sayfanın en altındaki Önceki ve Sonraki düğmelerine tıklayarak sekmelerde gezinin.
  6. Gözden geçir + oluştur’u seçin
  7. Oluştur'u seçin

Yerleşik ilke atandıktan sonra taramanın tamamlanması 24 saate kadar sürebilir. Tarama tamamlandıktan sonra aşağıdaki gibi uyumluluk sonuçlarını görebilirsiniz.

RBAC ilkesi uyumluluğu

Daha fazla bilgi için bkz.

Azure RBAC'ye Erişim İlkesi Karşılaştırma Aracı

Önemli

Bu araç, Microsoft Topluluğu üyeleri tarafından ve resmi Müşteri Destek Hizmetleri desteği olmadan derlenip korunur. Araç, herhangi bir garanti olmadan OLDUĞU GIBI sağlanır.

Erişim İlkesi'ni RBAC İzin Modeli'ne geçirme konusunda yardımcı olmak üzere Key Vault erişim ilkelerini atanmış RBAC rolleriyle karşılaştırmak için PowerShell aracı . Araç amacı, temel alınan veri eylemleriyle atanan rollerin mevcut Erişim İlkelerini kapsadığından emin olmak için mevcut Key Vault'un RBAC izin modeline geçirilirken akıl sağlığı denetimi sağlamaktır.

Sorun giderme

  • Rol ataması birkaç dakika sonra çalışmıyor - rol atamalarının daha uzun sürebileceği durumlar vardır. Bu durumları ele almak için kodda yeniden deneme mantığı yazmak önemlidir.
  • Key Vault silindiğinde (geçici silme) ve kurtarıldığında rol atamaları kayboldu. Bu, şu anda tüm Azure hizmetlerinde geçici silme özelliğinin bir sınırlamasıdır. Kurtarma sonrasında tüm rol atamalarını yeniden oluşturmak gerekir.

Daha fazla bilgi edinin