Controllo degli accessi in base al ruolo di Azure a confronto con i criteri di accesso (legacy)
Azure Key Vault offre due sistemi di autorizzazione: il controllo degli accessi in base al ruolo di Azure, che opera sul piano di controllo e sul piano dati di Azure e il modello dei criteri di accesso, che opera solo sul piano dati.
Il controllo degli accessi in base al ruolo di Azure si basa su Azure Resource Manager e offre una gestione centralizzata degli accessi delle risorse di Azure. Con il controllo degli accessi in base al ruolo di Azure si controlla l'accesso alle risorse creando assegnazioni di ruolo, costituite da tre elementi: un'entità di sicurezza, una definizione del ruolo (set predefinito di autorizzazioni) e un ambito (gruppo di risorse o singola risorsa).
Il modello dei criteri di accesso è un sistema di autorizzazione legacy, nativo di Key Vault, che fornisce l'accesso a chiavi, segreti e certificati. È possibile controllare l'accesso assegnando singole autorizzazioni alle entità di sicurezza (utenti, gruppi, entità servizio e identità gestite) nell'ambito di Key Vault.
Raccomandazione per il controllo degli accessi per il piano dati
Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione consigliato per il piano dati di Azure Key Vault. Offre diversi vantaggi rispetto ai criteri di accesso di Key Vault:
- Il controllo degli accessi in base al ruolo di Azure fornisce un modello di controllo degli accessi unificato per le risorse di Azure, ovvero le stesse API vengono usate in tutti i servizi di Azure.
- La gestione degli accessi è centralizzata, offrendo agli amministratori un quadro coerente dell'accesso concesso alle risorse di Azure.
- Il diritto di concedere l'accesso a chiavi, segreti e certificati è controllato meglio, essendo richiesta l'appartenenza al ruolo Proprietario o Amministratore Accesso utenti.
- Il controllo degli accessi in base al ruolo di Azure è integrato con Privileged Identity Management, assicurando che i diritti di accesso con privilegi siano limitati nel tempo e scadano automaticamente.
- L'accesso delle entità di sicurezza può essere escluso in determinati ambiti tramite l'uso di assegnazioni di rifiuto.
Per eseguire la transizione del controllo di accesso del piano dati di Key Vault dai criteri di accesso al controllo degli accessi in base al ruolo, vedere Eseguire la migrazione dai criteri di accesso dell'insieme di credenziali a un modello di autorizzazione di controllo degli accessi in base al ruolo di Azure.