Kontrol akses berbasis peran Azure (Azure RBAC) vs. kebijakan akses (warisan)
Azure Key Vault menawarkan dua sistem otorisasi: Kontrol akses berbasis peran Azure (Azure RBAC), yang beroperasi pada sarana kontrol dan data Azure, dan model kebijakan akses, yang beroperasi pada bidang data saja.
Azure RBAC dibangun di Azure Resource Manager dan menyediakan manajemen akses terpusat sumber daya Azure. Dengan Azure RBAC, Anda mengontrol akses ke sumber daya dengan membuat penetapan peran, yang terdiri dari tiga elemen: prinsip keamanan, definisi peran (serangkaian izin yang ditetapkan sebelumnya), dan cakupan (grup sumber daya atau sumber daya individual).
Model kebijakan akses adalah sistem otorisasi lama, native dari Key Vault, yang menyediakan akses ke kunci, rahasia, dan sertifikat. Anda dapat mengontrol akses dengan menetapkan izin individual ke prinsip keamanan (pengguna, grup, perwakilan layanan, dan identitas terkelola) di cakupan Key Vault.
Rekomendasi kontrol akses sarana data
Azure RBAC adalah sistem otorisasi yang direkomendasikan untuk bidang data Azure Key Vault. Ini menawarkan beberapa keuntungan daripada kebijakan akses Key Vault:
- Azure RBAC menyediakan model kontrol akses terpadu untuk sumber daya Azure — API yang sama digunakan di semua layanan Azure.
- Manajemen akses terpusat, memberi administrator tampilan akses yang konsisten yang diberikan ke sumber daya Azure.
- Hak untuk memberikan akses ke kunci, rahasia, dan sertifikat dikontrol dengan lebih baik, membutuhkan keanggotaan peran Pemilik atau Administrator Akses Pengguna.
- Azure RBAC terintegrasi dengan Privileged Identity Management, memastikan bahwa hak akses istimewa terbatas waktu dan kedaluwarsa secara otomatis.
- Akses perwakilan keamanan dapat dikecualikan pada cakupan tertentu melalui penggunaan penugasan Tolak.
Untuk transisi kontrol akses sarana data Key Vault Anda dari kebijakan akses ke RBAC, lihat Migrasi dari kebijakan akses vault ke model izin kontrol akses berbasis peran Azure.