Sdílet prostřednictvím

Řízení přístupu na základě role v Azure (Azure RBAC) vs. zásady přístupu (starší verze)

  • Článek

Azure Key Vault nabízí dva systémy autorizace: řízení přístupu na základě role v Azure (Azure RBAC), které funguje na řídicích rovinách Azure a rovinách dat, a model zásad přístupu, který funguje samostatně v rovině dat.

Azure RBAC je založený na Azure Resource Manageru a poskytuje centralizovanou správu přístupu k prostředkům Azure. Pomocí Azure RBAC řídíte přístup k prostředkům vytvořením přiřazení rolí, které se skládá ze tří prvků: objekt zabezpečení, definice role (předdefinovaná sada oprávnění) a rozsah (skupina prostředků, nebo jednotlivé prostředky).

Model zásad přístupu je starší systém autorizace nativní pro službu Key Vault, který poskytuje přístup ke klíčům, tajným kódům a certifikátům. Přístup můžete řídit přiřazením jednotlivých oprávnění k objektům zabezpečení (uživatelům, skupinám, instančním objektům a spravovaným identitám) v oboru služby Key Vault.

Doporučení řízení přístupu roviny dat

Azure RBAC je doporučený autorizační systém pro rovinu dat služby Azure Key Vault. Nabízí několik výhod oproti zásadám přístupu ke službě Key Vault:

  • Azure RBAC poskytuje jednotný model řízení přístupu pro prostředky Azure – stejná rozhraní API se používají ve všech službách Azure.
  • Správa přístupu je centralizovaná a poskytuje správcům konzistentní zobrazení přístupu uděleného prostředkům Azure.
  • Právo udělit přístup ke klíčům, tajným kódům a certifikátům je lépe řízeno, což vyžaduje členství v roli Vlastník nebo Uživatelský přístup Správa istrator.
  • Azure RBAC je integrovaný s Privileged Identity Management a zajišťuje, aby privilegovaná přístupová práva byla časově omezená a platnost vyprší automaticky.
  • Přístup k objektům zabezpečení je možné vyloučit v daných oborech prostřednictvím přiřazení zamítnutí.

Pokud chcete převést řízení přístupu roviny dat služby Key Vault ze zásad přístupu na RBAC, přečtěte si téma Migrace ze zásad přístupu trezoru do modelu oprávnění řízení přístupu na základě role Azure.

Další informace