Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és hozzáférési szabályzatok (örökölt)

Az Azure Key Vault két engedélyezési rendszert kínál: az Azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC), amely az Azure vezérlő- és adatsíkjain működik, valamint a hozzáférési szabályzat modelljét, amely egyedül az adatsíkon működik.

Az Azure RBAC az Azure Resource Managerre épül, és központi hozzáférés-kezelést biztosít az Azure-erőforrásokhoz. Az Azure RBAC-vel az erőforrásokhoz való hozzáférést szerepkör-hozzárendelések létrehozása útján szabályozhatja, amely három elemből áll: egy biztonsági résztvevőből, egy szerepkör-meghatározásból (előre meghatározott engedélykészletből) és egy hatókörből (erőforráscsoportból vagy egyéni erőforrásból).

A hozzáférési szabályzat modell egy örökölt engedélyezési rendszer, a kulcstartó natív rendszere, amely hozzáférést biztosít a kulcsokhoz, titkos kódokhoz és tanúsítványokhoz. A hozzáférést úgy szabályozhatja, hogy a Key Vault hatókörében egyéni engedélyeket rendel a biztonsági tagokhoz (felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz).

Adatsík hozzáférés-vezérlési javaslata

Az Azure RBAC az Azure Key Vault adatsíkjának ajánlott engedélyezési rendszere. Számos előnnyel rendelkezik a Key Vault hozzáférési szabályzatokkal szemben:

• Az Azure RBAC egységes hozzáférés-vezérlési modellt biztosít az Azure-erőforrásokhoz – ugyanazokat az API-kat használják az összes Azure-szolgáltatásban.
• A hozzáférés-kezelés központosított, így a rendszergazdák egységes képet kapnak az Azure-erőforrásokhoz való hozzáférésről.
• A kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz való hozzáféréshez való hozzáférés jobb szabályozást igényel, amelyhez tulajdonosi vagy felhasználói hozzáférés Rendszergazda istrator szerepkör-tagságra van szükség.
• Az Azure RBAC integrálva van a Privileged Identity Management szolgáltatással, biztosítva, hogy a jogosultsági jogosultságok időkorlátosak legyenek, és automatikusan lejárnak.
• A biztonsági tagok hozzáférése a Megtagadási hozzárendelések használatával kizárható az adott hatókör(ek)ből.

A Key Vault adatsík-hozzáférés-vezérlését a hozzáférési szabályzatok közül az RBAC-re való áttérésről az Azure szerepköralapú hozzáférés-vezérlési engedélymodelljéről a tárolóelérési szabályzatból az Azure-beli szerepköralapú hozzáférés-vezérlési engedélymodellbe való migrálás című témakörben találhatja meg.

További információ

• Azure RBAC áttekintése
• Azure-szerepkörök hozzárendelése az Azure Portalon
• Migrálás hozzáférési szabályzatból RBAC-be
• Az Azure Key Vault ajánlott eljárásai