Kontrola dostępu oparta na rolach (RBAC) platformy Azure a zasady dostępu (starsza wersja)
Usługa Azure Key Vault oferuje dwa systemy autoryzacji: kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która działa na płaszczyźnie kontroli i danych platformy Azure oraz model zasad dostępu, który działa samodzielnie na płaszczyźnie danych.
Kontrola dostępu oparta na rolach platformy Azure jest oparta na usłudze Azure Resource Manager i zapewnia scentralizowane zarządzanie dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure umożliwia kontrolowanie dostępu do zasobów przez tworzenie przypisań ról, które składają się z trzech elementów: podmiotu zabezpieczeń, definicji roli (wstępnie zdefiniowanego zestawu uprawnień) i zakresu (grupa zasobów lub pojedynczy zasób).
Model zasad dostępu to starszy system autoryzacji natywny dla usługi Key Vault, który zapewnia dostęp do kluczy, wpisów tajnych i certyfikatów. Dostęp można kontrolować, przypisując poszczególne uprawnienia podmiotom zabezpieczeń (użytkownikom, grupom, jednostkom usługi i tożsamościom zarządzanym) w zakresie usługi Key Vault.
Zalecenie dotyczące kontroli dostępu do płaszczyzny danych
Kontrola dostępu oparta na rolach platformy Azure to zalecany system autoryzacji dla płaszczyzny danych usługi Azure Key Vault. Oferuje ona kilka zalet dotyczących zasad dostępu usługi Key Vault:
- Kontrola dostępu oparta na rolach platformy Azure zapewnia ujednolicony model kontroli dostępu dla zasobów platformy Azure — te same interfejsy API są używane we wszystkich usługach platformy Azure.
- Zarządzanie dostępem jest scentralizowane, zapewniając administratorom spójny widok dostępu udzielony zasobom platformy Azure.
- Prawo do udzielania dostępu do kluczy, wpisów tajnych i certyfikatów jest lepiej kontrolowane, wymagając członkostwa w roli Właściciel lub Dostęp użytkowników Administracja istrator.
- Kontrola dostępu oparta na rolach platformy Azure jest zintegrowana z usługą Privileged Identity Management, zapewniając, że uprzywilejowane prawa dostępu są ograniczone czasowo i wygasają automatycznie.
- Dostęp podmiotów zabezpieczeń można wykluczyć w określonych zakresach za pomocą przypisań Odmowy.
Aby przenieść kontrolę dostępu płaszczyzny danych usługi Key Vault z zasad dostępu do kontroli dostępu na podstawie ról, zobacz Migrowanie z zasad dostępu magazynu do modelu uprawnień kontroli dostępu opartej na rolach platformy Azure.