Contrôle d’accès en fonction du rôle Azure (Azure RBAC) contre stratégies d’accès (héritée)
Important
Lors de l’utilisation du modèle d’autorisation de stratégie d’accès, un utilisateur disposant du rôle Contributor
, Key Vault Contributor
ou de tout autre rôle qui inclut des autorisations Microsoft.KeyVault/vaults/write
pour le plan de gestion du coffre de clés peut s’attribuer à lui-même l’accès au plan de données en définissant une stratégie d’accès Key Vault. Pour empêcher l’accès et la gestion non autorisés de vos coffres de clés, de vos clés, de vos secrets et de vos certificats, il est essentiel de limiter l’accès du rôle Contributeur aux coffres de clés sous le modèle d’autorisation de stratégie d’accès. Pour atténuer ce risque, nous vous recommandons d’utiliser le modèle d’autorisation Contrôle d’accès en fonction du rôle (RBAC), qui limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui permet une séparation claire entre les opérations de sécurité et les tâches d’administration. Pour plus d’informations, consultez le Guide de RBAC pour Key Vault et Présentation d’Azure RBAC.
Azure Key Vault propose deux systèmes d'autorisation : le contrôle d’accès en fonction du rôle (Azure RBAC), qui fonctionne sur les plans de contrôle et de données d'Azure, et le modèle de politique d'accès, qui fonctionne uniquement sur le plan de données.
Azure RBAC est basé sur Azure Resource Manager et offre une gestion centralisée des accès des ressources Azure. Avec Azure RBAC, vous contrôlez l’accès aux ressources en créant des attributions de rôles, qui se composent de trois éléments : un principal de sécurité, une définition de rôle (jeu d’autorisations prédéfini) et une étendue (groupe de ressources ou ressource individuelle).
Le modèle de stratégie d’accès est un système d’autorisation hérité, natif à Azure Key Vault, qui fournit l’accès aux clés, aux secrets et aux certificats. Vous pouvez contrôler l'accès en attribuant des autorisations individuelles aux principaux de sécurité (utilisateurs, groupes, principal de service et identités gérées) au niveau de l'étendue d’Azure Key Vault.
Suggestion concernant le contrôle d’accès du plan de données
Azure RBAC est le système d’autorisation recommandé pour le plan de données Azure Key Vault. Ceci offre plusieurs avantages par rapport aux politiques d'accès d’Azure Key Vault :
- Azure RBAC fournit un modèle de contrôle d’accès unifié pour les ressources Azure : les mêmes API sont utilisées dans tous les services Azure.
- La gestion des accès est centralisée, offrant aux administrateurs une vue cohérente de l’accès accordé aux ressources Azure.
- Le droit d’accorder l’accès aux clés, aux secrets et aux certificats est mieux contrôlé, ce qui nécessite l’appartenance au rôle Propriétaire ou Administrateur de l’accès utilisateur.
- Azure RBAC est intégré à Privileged Identity Management, ce qui garantit que les droits d’accès privilégié sont limités dans le temps et expirent automatiquement.
- L’accès des principaux de sécurité peut être exclu à une ou plusieurs étendues données par le biais de l’utilisation d’affectations de refus.
Pour faire passer le contrôle d’accès du plan de données Key Vault des stratégies d’accès vers RBAC, consultez Migrer d’une stratégie d’accès de coffre vers un modèle d’autorisation de type contrôle d’accès en fonction du rôle Azure.