Azure 角色型存取控制 (Azure RBAC) 與存取原則 (舊版)
Azure Key Vault 提供兩種授權系統:Azure 角色型存取控制 (Azure RBAC),執行於 Azure 的控制和資料平面,以及存取原則模型,僅執行於資料平面。
Azure RBAC 建置在 Azure Resource Manager 上,並提供 Azure 資源的集中式存取管理。 Azure RBAC 可讓您建立角色指派來控制對資源的存取,角色指派包含三個元素:安全性主體、角色定義 (一組預先定義的權限) 及範圍 (資源群組或個別資源)。
存取原則模型是 Key Vault 原生的舊版授權系統,提供金鑰、祕密和憑證的存取權。 您可以在 Key Vault 範圍內將個別權限指派給安全性主體 (使用者、群組、服務主體和受控識別),以控制存取。
資料平面存取控制建議
Azure RBAC 是 Azure Key Vault 資料平面的建議授權系統。 其提供數個優於 Key Vault 存取原則的優點:
- Azure RBAC 為 Azure 資源提供統一的存取控制模型 - 在所有 Azure 服務之間使用的相同 API。
- 存取管理是集中式的,為系統管理員提供授與 Azure 資源的一致存取權檢視。
- 授與金鑰、祕密和憑證存取權的權限會得到更好的控制,需要擁有者或使用者存取系統管理員角色成員資格。
- Azure RBAC 會與 Privileged Identity Management 整合,確保特殊權限存取權有時間限制並自動到期。
- 透過使用否定性指派,安全性主體的存取權可以在指定範圍排除。
若要將 Key Vault 資料平面存取原則轉換至 RBAC,請參閱從保存庫存取原則移轉至 Azure 角色型存取控制權限模型。