Vorbereiten der Key Vault-API, Version 2026-02-01 und höher: Azure RBAC als Standardzugriffskontrolle

Die Azure Key Vault API Version 2026-02-01 und höher ändert das Standardzugriffssteuerungsmodell für neue Tresore in Azure RBAC, entsprechend der Erfahrung im Azure-Portal. Sowohl Azure RBAC als auch Zugriffsrichtlinien bleiben vollständig unterstützt. API Version 2026-02-01 ist in öffentlichen Azure-Regionen, Mooncake und Fairfax verfügbar.

• Neues Verhalten bei der Erstellung von Schlüsseltresorn: Wenn Sie einen neuen Tresor mit API-Version 2026-02-01 oder höher erstellen, ist das Standardzugriffssteuerungsmodell Azure RBAC (enableRbacAuthorization = true). Diese Standardeinstellung gilt nur für Erstellungsvorgänge . Um Zugriffsrichtlinien für neue Tresore zu verwenden, setzen Sie enableRbacAuthorization bei der Erstellung auf false.
• Vorhandenes Schlüsseltresorverhalten: Vorhandene Tresore behalten ihr aktuelles Zugriffssteuerungsmodell bei, es sei denn, Sie ändern enableRbacAuthorizationexplizit. Die Verwendung der API-Version 2026-02-01 oder höher zum Aktualisieren eines Tresors ändert nicht automatisch die Zugriffssteuerung. Tresore, in denen enableRbacAuthorizationnull ist (aus älteren API-Versionen), verwenden weiterhin Zugriffsrichtlinien.

Von Bedeutung

Alle Versionen der Key Vault Control Plane API vor 2026-02-01 werden am 27. Februar 2027 eingestellt. Adopt API Version 2026-02-01 oder höher vor diesem Datum. Datenebenen-APIs sind nicht betroffen.

Vorschau-API-Versionen (außer 2026-04-01-Preview) werden mit einer 90-tägigen Benachrichtigungsfrist abgekündigt.

Beachten Sie, dass Azure Cloud Shell immer die neueste API-Version verwendet. Wenn Sie Skripts haben, die in Cloud Shell ausgeführt werden, stellen Sie sicher, dass sie mit API Version 2026-02-01 oder höher kompatibel sind.

Steuerungsebenenverwaltungs-SDKs, die API Version 2026-02-01 unterstützen, sind für alle Sprachen verfügbar. Paketdetails finden Sie unter Neuigkeiten für Azure Key Vault.

Wir empfehlen Ihnen, Schlüsseltresore, die derzeit Legacy-Zugriffsrichtlinien verwenden, zu Azure RBAC zu migrieren, um die Sicherheit zu verbessern. Weitere Informationen dazu, warum Azure RBAC empfohlen wird, finden Sie unter Azure role-based access control (Azure RBAC) vs. Zugriffsrichtlinien.

Was Sie jetzt tun müssen

Wenn Sie das Zugriffskontrollmodell Ihres Tresors bereits kennen, fahren Sie mit Bestimmen Sie Ihre nächsten Schritte fort. Überprüfen Sie andernfalls zuerst Ihre aktuelle Konfiguration .

Von Bedeutung

Um die enableRbacAuthorization-Eigenschaft für einen Key Vault zu ändern, benötigen Sie die Microsoft.Authorization/roleAssignments/write-Berechtigung. Diese Berechtigung ist in Rollen wie Besitzer und Benutzerzugriffsadministrator enthalten. Weitere Informationen finden Sie unter Aktivieren von Azure RBAC-Berechtigungen für den Schlüsseltresor.

Überprüfen Der aktuellen Konfiguration

Prüfen Sie, ob die Zugriffskonfiguration Ihres Vault auf Azure RBAC oder Zugriffsrichtlinien festgelegt ist. Überprüfen Sie diese Konfiguration über die Azure CLI- oder PowerShell-Befehle.

Nach überprüfung der Konfiguration:

• Wenn Ihre Tresore Azure RBAC (enableRbacAuthorization = true) verwenden, gehen Sie zu Tresore mit Azure RBAC.
• Wenn Ihre Tresore Zugriffsrichtlinien (Legacy) (enableRbacAuthorization = false oder null) verwenden, gehen Sie zu Tresore, die Zugriffsrichtlinien verwenden.

Überprüfen eines einzelnen Vaults

Azure CLI

1. Verwenden Sie den Befehl "az keyvault show" zum Abrufen von Tresordetails:

   az keyvault show --name <vault-name> --resource-group <resource-group>
   

2. Überprüfen Sie die Eigenschaft „Enabled for RBAC Authorization“ (enableRbacAuthorization) für das Key Vault.

PowerShell

1. Verwenden Sie das Cmdlet "Get-AzKeyVault ", um Tresordetails abzurufen:

   Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   

2. Überprüfen Sie die Eigenschaft „Enabled for RBAC Authorization“ (enableRbacAuthorization) für das Key Vault.

Mehrere Vaults nach Ressourcengruppe prüfen

Azure CLI

Verwenden Sie den Befehl "az keyvault list ", um alle Tresore in einer Ressourcengruppe auflisten und deren RBAC-Autorisierungsstatus zu überprüfen:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Erstellen Sie die folgende Funktion in PowerShell:

   function Get-KeyVaultsFromResourceGroup {
       # Get all key vaults in the specified resource group (basic information)
       $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Benennen Sie die Ressourcengruppe, für die Sie Ihre Funktion ausführen möchten:

   $resourceGroupName = "<resource-group>"
   

3. Rufen Sie die Funktion Get-KeyVaultsFromResourceGroup auf, um zu sehen, für welche Vaults in der Ressourcengruppe aus Schritt 2 die Zugriffsrichtlinien und Azure RBAC aktiviert sind.

Mehrere Vaults nach Abonnement-ID prüfen

Azure CLI

Verwenden Sie den Befehl az keyvault list, um alle Tresore in Ihrem Abonnement aufzulisten und deren RBAC-Autorisierungsstatus zu überprüfen.

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Erstellen Sie die folgende Funktion in PowerShell:

   function Get-KeyVaultsFromSubscription {
       # Get all key vaults in the subscription (basic information)
       $keyVaults = Get-AzKeyVault
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
           $resourceGroupName = $keyVault.ResourceGroupName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Rufen Sie die Funktion Get-KeyVaultsFromSubscription auf, um zu sehen, für welche Vaults im Abonnement die Zugriffsrichtlinien gegenüber Azure RBAC aktiviert sind. Je nach Anzahl der Tresore in Ihrem Abonnement dauert die Ausführung der Funktion möglicherweise mehr als 10 Minuten.

Bestimmen Sie die nächsten Schritte

Befolgen Sie auf der Grundlage Ihres aktuellen Zugriffssteuerungsmodells die unten aufgeführten Anleitungen.

Tresore mit Azure RBAC

Wenn Ihre Schlüsseltresor bereits Azure RBAC verwenden, sind keine Zugriffssteuerungsänderungen erforderlich. Sie müssen jedoch alle Key Vault ARM-, BICEP-, Terraform-Vorlagen und REST-API-Aufrufe aktualisieren, um API-Version 2026-02-01 oder höher vor dem 27. Februar 2027 zu verwenden, wenn ältere API-Versionen eingestellt werden.

Tresore mit Zugriffsrichtlinien

Wenn Ihre Schlüsselbund-Zugriffsrichtlinien (Legacy) (enableRbacAuthorization = false oder null) verwenden, entscheiden Sie, ob Sie zum rollenbasierten Zugriff (empfohlen) migrieren oder weiterhin Zugriffsrichtlinien verwenden möchten. Weitere Informationen zu Zugriffssteuerungsmodellen finden Sie unter So verwenden Sie Azure-RBAC für die Verwaltung des Zugriffs auf Key Vault und Azure Key Vault Best Practices Anleitungen.

Wählen Sie Ihren Pfad aus:

• Azure RBAC (empfohlen):Migrieren Sie zu Azure RBAC, um die Sicherheit zu verbessern.
• Zugriffsrichtlinien (Legacy):Fahren Sie fort, Zugriffsrichtlinien zu verwenden, indem Sie beim Erstellen neuer Tresore enableRbacAuthorization auf false festlegen.

Migrieren zu Azure RBAC (empfohlen)

Verwenden Sie diese Gelegenheit, um Ihren Sicherheitsstatus zu erhöhen, indem Sie von Tresorzugriffsrichtlinien zu Azure RBAC migrieren. Ausführliche Anleitungen zur Migration finden Sie unter Migrieren von der Tresorzugriffsrichtlinie zu einem rollenbasierten Zugriffssteuerungsberechtigungsmodell in Azure.

Aktualisieren Sie nach der Migration alle Key Vault ARM-, BICEP-, Terraform-, und REST-API-Aufrufe, um API-Version 2026-02-01 oder höher zu verwenden.

Weiterhin Zugriffsrichtlinien verwenden

Zugriffsrichtlinien bleiben ein vollständig unterstütztes Zugriffssteuerungsmodell.

• Vorhandene Tresore: Tresore, die bereits Zugriffsrichtlinien verwenden, funktionieren weiterhin ohne Änderungen. Stellen Sie einfach sicher, dass Ihre ARM-, BICEP-, Terraform-Vorlagen und REST-API-Aufrufe API-Version 2026-02-01 oder höher vor dem 27. Februar 2027 verwenden.
• Neue Tresore: Beim Erstellen neuer Tresore mit der API-Version 2026-02-01 oder höher müssen Sie explizit enableRbacAuthorization auf false festlegen, um Zugriffsrichtlinien zu verwenden, wie unten beschrieben.

Wählen Sie eine der folgenden Methoden basierend auf Ihrem Szenario aus:

• Verwenden von ARM-, BICEP-, Terraform-Vorlagen
• Verwenden von Befehlen "Key Vault erstellen"
• Verwenden von Befehlen "Ressource erstellen"

Verwenden von ARM-, BICEP-, Terraform-Vorlagen

Beim Erstellen neuer Schlüsseltresore mit API-Version 2026-02-01 oder höher, stellen Sie in allen Key Vault ARM-, BICEP- und Terraform-Vorlagen sowie bei enableRbacAuthorization sicher, dass Sie false auf setzen, um Zugriffsrichtlinien (Legacy) zu verwenden.

Verwenden von Befehlen "Key Vault erstellen"

Wenn Sie neue Schlüsseltresore mithilfe der API-Version 2026-02-01 oder höher erstellen, müssen Sie die Zugriffsrichtlinienkonfiguration angeben, um die Standardeinstellung auf Azure RBAC zu vermeiden.

Stellen Sie sicher, dass Sie über die neueste Version der Azure CLI- oder PowerShell-Module verfügen.

Azure CLI

Aktualisieren Sie Azure CLI auf die neueste Version. Weitere Informationen finden Sie unter Aktualisieren von Azure CLI.

PowerShell

Aktualisieren Sie Ihre PowerShell-Module auf die neueste Version:

• Update-Module (PowerShellGet)
• Update-AzModule (Az.Tools.Installer)

Verwenden Sie den entsprechenden Befehl, um einen Schlüsseltresor mit Zugriffsrichtlinien zu erstellen:

Azure CLI

Verwenden Sie den Befehl "az keyvault erstellen " und legen Sie folgendes fest --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

PowerShell

Verwenden Sie das Cmdlet New-AzKeyVault und legen Sie wie folgt fest -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Verwenden von Befehlen "Ressource erstellen"

Wenn Sie neue Key Vaults mithilfe der API-Version 2026-02-01 oder höher erstellen, setzen Sie enableRbacAuthorization auf false, um Zugriffsrichtlinien (Legacy) zu verwenden. Wenn Sie diese Eigenschaft nicht angeben, wird standardmäßig true (Azure RBAC) verwendet.

Azure CLI

Verwenden Sie den Befehl az resource create und setzen Sie "enableRbacAuthorization": false und --api-version "2026-02-01":

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

PowerShell

Verwenden Sie das Cmdlet "New-AzResource" und legen Sie enableRbacAuthorization = $false und -ApiVersion "2026-02-01" fest:

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Nächste Schritte

• Azure-rollenbasierte Zugriffssteuerung (Azure RBAC) im Vergleich zu Zugriffsrichtlinien
• Migrieren von Tresorzugriffsrichtlinien zu einem rollenbasierten Zugriffssteuerungsmodell für Azure
• Verwenden von Azure RBAC zum Verwalten des Zugriffs auf Key Vault
• Sichern des Key Vaults
• Azure Key Vault-REST-API-Referenz