Hozzáférés biztosítása Key Vault kulcsokhoz, tanúsítványokhoz és titkos kódokhoz azure-beli szerepköralapú hozzáférés-vezérléssel
Megjegyzés
Key Vault erőforrás-szolgáltató két erőforrástípust támogat: tárolókat és felügyelt HSM-eket. A cikkben ismertetett hozzáférés-vezérlés csak a tárolókra vonatkozik. További információ a felügyelt HSM hozzáférés-vezérléséről: Felügyelt HSM-hozzáférés-vezérlés.
Megjegyzés
Azure App Service azure portalon keresztüli tanúsítványkonfiguráció nem támogatja Key Vault RBAC-engedélymodellt. Olyan ügyfélkódtárak használatával támogatott, mint a Azure PowerShell, az Azure CLI, az ARM-sablonok üzembe helyezése Key Vault Titkos kódok felhasználója és Key Vault Olvasó szerepkör-hozzárendelői.
Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) az Azure Resource Manager alapuló engedélyezési rendszer, amely részletes hozzáférés-kezelést biztosít az Azure-erőforrásokhoz.
Az Azure RBAC lehetővé teszi a felhasználók számára a kulcs-, titkos kódok és tanúsítványok engedélyeinek kezelését. Ez egy helyet biztosít az összes kulcstartó összes engedélyének kezeléséhez.
Az Azure RBAC-modell lehetővé teszi az engedélyek beállítását különböző hatókörszinteken: felügyeleti csoport, előfizetés, erőforráscsoport vagy egyéni erőforrások. A Key Vaulthoz készült Azure RBAC emellett külön engedélyekkel is rendelkezik az egyes kulcsokhoz, titkos kódokhoz és tanúsítványokhoz
További információ: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).
Ajánlott eljárások az egyes kulcsok, titkos kódok és tanúsítványok szerepkör-hozzárendeléséhez
Azt javasoljuk, hogy minden környezetben (fejlesztés, üzem előtti és éles környezet) használjon tárolót alkalmazásonként.
Az egyes kulcsokra, titkos kódokra és tanúsítványokra vonatkozó engedélyeket csak adott forgatókönyvekhez szabad használni:
- Az egyes titkos kulcsok megosztása több alkalmazás között, például az egyik alkalmazásnak hozzá kell férnie a másik alkalmazás adataihoz
- Bérlők közötti titkosítás ügyfélkulccsal, például az isv egy ügyfélkulcs-tároló kulcsának használatával az adatok titkosításához
További információ az Azure Key Vault felügyeleti irányelveiről:
Beépített Azure-szerepkörök Key Vault adatsík műveleteihez
Megjegyzés
A Key Vault Contributor szerepkör a felügyeleti síkon végzett műveletekhez használható a kulcstartók kezeléséhez. Nem engedélyezi a kulcsokhoz, titkos kódokhoz és tanúsítványokhoz való hozzáférést.
| Beépített szerepkör | Leírás | ID (Azonosító) |
|---|---|---|
| Key Vault rendszergazda | A kulcstartón és a benne lévő összes objektumon végrehajthatja az adatsík összes műveletét, beleértve a tanúsítványokat, kulcsokat és titkos kulcsokat is. A Key Vault-erőforrások és a szerepkör-hozzárendelések nem kezelhetők. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault tanúsítványkezelő | A kulcstartó tanúsítványán bármilyen műveletet végrehajthat, kivéve az engedélyek kezelését. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault crypto officer | A kulcstartó kulcsán bármilyen műveletet végrehajthat, kivéve az engedélyek kezelését. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| titkosítási szolgáltatás titkosítási felhasználója Key Vault | Beolvassa a kulcsok metaadatait, és sortörési/kicsomagolási műveleteket hajt végre. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| titkosítási felhasználó Key Vault | Titkosítási műveletek végrehajtása kulcsokkal. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault Olvasó | A kulcstartók és a hozzájuk tartozó tanúsítványok, kulcsok és titkos kódok metaadatainak olvasása. Nem olvashatók olyan bizalmas értékek, mint a titkos kód tartalma vagy a kulcsanyag. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault titkoskód-felelős | A kulcstartó titkos kulcsait bármilyen műveletet végrehajthat, kivéve az engedélyek kezelését. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Titkos kódok felhasználó Key Vault | Titkos kód tartalmának olvasása. Csak olyan kulcstartók esetében működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | 4633458b-17de-408a-b874-0445c86b69e6 |
További információ az Azure beépített szerepkör-definícióiról: Azure beépített szerepkörök.
Titkos Azure RBAC-, kulcs- és tanúsítványengedélyek használata Key Vault
A Key Vault új Azure RBAC-engedélymodellje alternatívát kínál a tároló-hozzáférési szabályzat engedélymodellje helyett.
Előfeltételek
Rendelkeznie kell egy Azure-előfizetéssel. Ha nem, a kezdés előtt létrehozhat egy ingyenes fiókot .
Szerepkör-hozzárendelések hozzáadásához rendelkeznie kell és Microsoft.Authorization/roleAssignments/delete engedélyekkel kell rendelkeznieMicrosoft.Authorization/roleAssignments/write, például a felhasználói hozzáférés rendszergazdájának vagy tulajdonosának.
Azure RBAC-engedélyek engedélyezése a Key Vault
Megjegyzés
Az engedélymodell módosításához "Microsoft.Authorization/roleAssignments/write" engedély szükséges, amely a tulajdonosi és felhasználói hozzáférés-rendszergazdai szerepkörök része. A klasszikus előfizetés-rendszergazdai szerepkörök, például a "Szolgáltatásadminisztrátor" és a "Társadminisztrátor" nem támogatottak.
Azure RBAC-engedélyek engedélyezése új kulcstartón:
Azure RBAC-engedélyek engedélyezése meglévő kulcstartón:
Fontos
Az Azure RBAC-engedélymodell beállítása érvényteleníti az összes hozzáférési szabályzat engedélyét. Szolgáltatáskimaradást okozhat, ha nincs hozzárendelve egyenértékű Azure-szerepkör.
Szerepkör hozzárendelése
Megjegyzés
Javasoljuk, hogy a szkriptekben a szerepkör neve helyett az egyedi szerepkör-azonosítót használja. Ezért ha egy szerepkört átneveznek, a szkriptek továbbra is működnek. Ebben a dokumentumban a szerepkör neve csak olvashatóságra szolgál.
Szerepkör-hozzárendelés létrehozásához futtassa a következő parancsot:
az role assignment create --role <role_name_or_id> --assignee <assignee> --scope <scope>
További részletekért lásd: Azure-szerepkörök hozzárendelése az Azure CLI használatával.
A szerepkörök Azure Portal való hozzárendelésével kapcsolatban lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával. A Azure Portal az Azure-beli szerepkör-hozzárendelések képernyője a Hozzáférés-vezérlés (IAM) lap összes erőforrásához elérhető.
Erőforráscsoport hatókörének szerepkör-hozzárendelése
Nyissa meg a kulcstartót tartalmazó erőforráscsoportot.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza aSzerepkör-hozzárendelés hozzáadása> lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.
Rendelje hozzá a következő szerepkört. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.
Beállítás Érték Szerepkör "Key Vault Olvasó" Hozzáférés hozzárendelése ehhez Aktuális felhasználó Tagok Keresés e-mail-cím alapján 
az role assignment create --role "Key Vault Reader" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}
További részletekért lásd: Azure-szerepkörök hozzárendelése az Azure CLI használatával.
A fenti szerepkör-hozzárendeléssel listázhatja a key vault objektumait a key vaultban.
Key Vault hatókör szerepkör-hozzárendelése
Ugrás Key Vault > Hozzáférés-vezérlés (IAM) lapra
Válassza aSzerepkör-hozzárendelés hozzáadása> lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.
Rendelje hozzá a következő szerepkört. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.
Beállítás Érték Szerepkör "Key Vault titkos tiszt" Hozzáférés hozzárendelése ehhez Aktuális felhasználó Tagok Keresés e-mail-cím alapján
az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e jalichwa@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}
További részletekért lásd: Azure-szerepkörök hozzárendelése az Azure CLI használatával.
Titkos kulcs hatókörének szerepkör-hozzárendelése
Nyisson meg egy korábban létrehozott titkos kódot.
Kattintson a Hozzáférés-vezérlés (IAM) fülre
Válassza aSzerepkör-hozzárendelés hozzáadása> lehetőséget a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.
Rendelje hozzá a következő szerepkört. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.
Beállítás Érték Szerepkör "Key Vault titkos tiszt" Hozzáférés hozzárendelése ehhez Aktuális felhasználó Tagok Keresés e-mail-cím alapján
az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret
További részletekért lásd: Azure-szerepkörök hozzárendelése az Azure CLI használatával.
Tesztelés és ellenőrzés
Megjegyzés
A böngészők gyorsítótárazást használnak, és a szerepkör-hozzárendelések eltávolítása után oldalfrissítésre van szükség.
A szerepkör-hozzárendelések frissítésének engedélyezése néhány percig
Ellenőrizze, hogy új titkos kulcsokat ad-e hozzá a kulcstartó szintjén a "Key Vault Titkoskód-felelős" szerepkör nélkül.
Lépjen a Key Vault Hozzáférés-vezérlés (IAM) lapjára, és távolítsa el a "Key Vault Titkoskód-felelős" szerepkör-hozzárendelést ehhez az erőforráshoz.
Lépjen a korábban létrehozott titkos kódhoz. Az összes titkos kódtulajdonság megjelenik.
Az új titkos kód (titkos kódok > +létrehozás/importálás) létrehozásának az alábbi hibaüzenetnek kell megjelennie:
Titkos kulcsok szerkesztésének ellenőrzése "Key Vault Titkos tisztviselő" szerepkör nélkül a titkos kód szintjén.
Lépjen a korábban létrehozott titkos Access Control (IAM) lapra, és távolítsa el a "Key Vault Titkoskód-felelős" szerepkör-hozzárendelést ehhez az erőforráshoz.
Lépjen a korábban létrehozott titkos kódhoz. A titkos kódok tulajdonságai láthatók.
Titkos kódok olvasásának ellenőrzése olvasói szerepkör nélkül a Key Vault szintjén.
Lépjen a Key Vault erőforráscsoport Hozzáférés-vezérlés (IAM) lapjára, és távolítsa el a "Key Vault Olvasó" szerepkör-hozzárendelést.
A Key Vault Titkos kulcsok lapjára való navigálásnak az alábbi hibaüzenetnek kell megjelennie:
Egyéni szerepkörök létrehozása
az role definition create command
az role definition create --role-definition '{ \
"Name": "Backup Keys Operator", \
"Description": "Perform key backup/restore operations", \
"Actions": [
], \
"DataActions": [ \
"Microsoft.KeyVault/vaults/keys/read ", \
"Microsoft.KeyVault/vaults/keys/backup/action", \
"Microsoft.KeyVault/vaults/keys/restore/action" \
], \
"NotDataActions": [
], \
"AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'
További információ az egyéni szerepkörök létrehozásáról:
Ismert korlátok és teljesítmény
- Key Vault RBAC nem támogatott több-bérlős forgatókönyvekben, például az Azure Lighthouse-ban
- 2000 Azure-beli szerepkör-hozzárendelés előfizetésenként
- Szerepkör-hozzárendelések késése: az aktuálisan várt teljesítmény esetén a szerepkör-hozzárendelések módosítása után akár 10 percet (600 másodpercet) is igénybe vehet a szerepkör-hozzárendelések alkalmazása