Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) im Vergleich zu Zugriffsrichtlinien (Legacy)

Azure Key Vault bietet zwei Autorisierungssysteme: die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), die auf der Steuerungs- und Datenebene von Azure agiert, und das Zugriffsrichtlinienmodell, das nur auf der Datenebene agiert.

Azure RBAC basiert auf Azure Resource Manager, und ermöglicht eine zentralisierte Verwaltung des Zugriffs auf Azure-Ressourcen. Mit Azure RBAC steuern Sie den Zugriff auf Ressourcen, indem Sie Rollenzuweisungen erstellen. Diese bestehen aus den folgenden drei Elementen: Sicherheitsprinzipal, Rollendefinition (mehrere vordefinierte Berechtigungen) und Bereich (Ressourcengruppe oder einzelne Ressource).

Das Zugriffsrichtlinienmodell ist ein älteres, Key Vault-natives Autorisierungssystem, das Zugriff auf Schlüssel, Geheimnisse und Zertifikate bietet. Der Zugriff kann durch Zuweisen einzelner Berechtigungen zu Sicherheitsprinzipalen (Benutzer*innen, Gruppen, Dienstprinzipale und verwaltete Identitäten) auf der Key Vault-Ebene gesteuert werden.

Empfehlung für die Zugriffssteuerung auf Datenebene

Azure RBAC ist das standardmäßige und empfohlene Autorisierungssystem für die Azure Key Vault-Datenebene. Es bietet mehrere Vorteile gegenüber Key Vault-Zugriffsrichtlinien:

• Azure RBAC bietet ein einheitliches Zugriffssteuerungsmodell für Azure-Ressourcen. Für alle Azure-Dienste werden also die gleichen APIs verwendet.
• Die Zugriffsverwaltung ist zentralisiert und bietet Administrator*innen eine konsistente Übersicht über den gewährten Zugriff auf Azure-Ressourcen.
• Das Recht, Zugriff auf Schlüssel, Geheimnisse und Zertifikate zu gewähren, wird besser kontrolliert und erfordert die Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“.
• Azure RBAC ist in Privileged Identity Management integriert, um sicherzustellen, dass privilegierte Zugriffsrechte zeitlich begrenzt sind und automatisch ablaufen.
• Der Zugriff von Sicherheitsprinzipalen kann in bestimmten Bereichen durch die Verwendung von Ablehnungszuweisungen ausgeschlossen werden.

Informationen zur Übertragung der Zugriffssteuerung Ihrer Key Vault-Datenebene von Zugriffsrichtlinien auf RBAC finden Sie unter Migrieren von einer Tresorzugriffsrichtlinie zu einem rollenbasierten Zugriffssteuerungsmodell in Azure.

Weitere Informationen

• RBAC in Azure – Übersicht
• Zuweisen von Azure-Rollen über das Azure-Portal
• Migrieren von einer Zugriffsrichtlinie zu RBAC
• Bewährte Methoden zum Verwenden von Key Vault