Contrôle d’accès en fonction du rôle Azure (Azure RBAC) contre stratégies d’accès (héritée)
Azure Key Vault propose deux systèmes d'autorisation : le contrôle d’accès en fonction du rôle (Azure RBAC), qui fonctionne sur les plans de contrôle et de données d'Azure, et le modèle de politique d'accès, qui fonctionne uniquement sur le plan de données.
Azure RBAC est basé sur Azure Resource Manager et offre une gestion centralisée des accès des ressources Azure. Avec Azure RBAC, vous contrôlez l’accès aux ressources en créant des attributions de rôles, qui se composent de trois éléments : un principal de sécurité, une définition de rôle (jeu d’autorisations prédéfini) et une étendue (groupe de ressources ou ressource individuelle).
Le modèle de stratégie d’accès est un système d’autorisation hérité, natif à Azure Key Vault, qui fournit l’accès aux clés, aux secrets et aux certificats. Vous pouvez contrôler l'accès en attribuant des autorisations individuelles aux principaux de sécurité (utilisateurs, groupes, principal de service et identités gérées) au niveau de l'étendue d’Azure Key Vault.
Suggestion concernant le contrôle d’accès du plan de données
Azure RBAC est le système d’autorisation recommandé pour le plan de données Azure Key Vault. Ceci offre plusieurs avantages par rapport aux politiques d'accès d’Azure Key Vault :
- Azure RBAC fournit un modèle de contrôle d’accès unifié pour les ressources Azure : les mêmes API sont utilisées dans tous les services Azure.
- La gestion des accès est centralisée, offrant aux administrateurs une vue cohérente de l’accès accordé aux ressources Azure.
- Le droit d’accorder l’accès aux clés, aux secrets et aux certificats est mieux contrôlé, ce qui nécessite l’appartenance au rôle Propriétaire ou Administrateur de l’accès utilisateur.
- Azure RBAC est intégré à Privileged Identity Management, ce qui garantit que les droits d’accès privilégié sont limités dans le temps et expirent automatiquement.
- L’accès des principaux de sécurité peut être exclu à une ou plusieurs étendues données par le biais de l’utilisation d’affectations de refus.
Pour faire passer le contrôle d’accès du plan de données Key Vault des stratégies d’accès vers RBAC, consultez Migrer d’une stratégie d’accès de coffre vers un modèle d’autorisation de type contrôle d’accès en fonction du rôle Azure.