Felkészülés Key Vault API 2026-02-01-es és újabb verziójára: Azure RBAC alapértelmezett hozzáférés-vezérlésként

Azure Key Vault API 2026-02-01-es és újabb verziójában módosítja az új tárolók alapértelmezett hozzáférés-vezérlési modelljét az Azure RBAC-ra, összhangban az Azure portál élményével. Az RBAC-Azure és a hozzáférési szabályzatok is teljes mértékben támogatottak maradnak. Az API 2026-02-01-es verziója elérhető a nyilvános Azure régiókban, a 21Vianet által üzemeltetett Azure-ben és az Azure Governmentben.

• A kulcstartó létrehozásának viselkedése: Amikor új tárolót hoz létre 2026-02-01 vagy újabb API-verzióval, az alapértelmezett hozzáférés-vezérlési modell Azure RBAC (enableRbacAuthorization = true). Ez az alapértelmezett beállítás csak a létrehozási műveletekre vonatkozik. Ha hozzáférési szabályzatokat szeretne használni az új tárolókhoz, állítsa be enableRbacAuthorization a létrehozási időpontra false .
• Meglévő kulcstartó-viselkedés: A meglévő tárolók csak akkor tartják meg az aktuális hozzáférés-vezérlési modellt, ha ön nem módosítja enableRbacAuthorizationexplicit módon. Az 2026-02-01 vagy újabb API-verziót használva egy tároló frissítéséhez, az nem módosítja automatikusan a hozzáférés-vezérlést. A tárolók, amelyekben enableRbacAuthorization és null vannak (régebbi API-verziókból), továbbra is hozzáférési szabályzatokat használnak.

Fontos

A 2026.02.01. előtti Key Vault vezérlősík API-verziói 2027. február 27-én megszűnnek. A kulcstartók továbbra is léteznek, és csak a vezérlősík API 2026-02-01-es vagy újabb verzióival lesznek elérhetők. Az adatsík API-jait nem érintik.

Az előzetes verziójú API-verziók (a 2026-04-01 előzetes verzió kivételével) 90 napos értesítési időszakkal elavultak. Azure Cloud Shell mindig a legújabb API-verziót használja. Ha Cloud Shell futó szkriptjei vannak, győződjön meg arról, hogy kompatibilisek az API 2026-02-01-es vagy újabb verziójával. A támogatott API-verziók listájáért tekintse meg a támogatott vezérlősík API-verzióit. Az SDK-csomag részleteiért lásd Az Azure Key Vault újdonságai.

Javasoljuk, hogy migrálja azokat a kulcstárakat, amelyek jelenleg örökölt hozzáférési szabályzatokat használnak, az Azure RBAC-ra a biztonság javítása érdekében. A Azure RBAC ajánlottságáról további információt a Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és a hozzáférési szabályzatok című témakörben talál.

Mit kell tenned

Ha már ismeri a tároló hozzáférés-vezérlési modelljét, ugorjon a Következő lépések meghatározása részhez. Ellenkező esetben először ellenőrizze az aktuális konfigurációt .

Fontos

A kulcstartó enableRbacAuthorization tulajdonságának módosításához rendelkeznie kell a Microsoft.KeyVault/vaults/write engedéllyel (például Hozzájáruló és tulajdonos szerepkörben). A Azure portálhoz emellett Microsoft.Authorization/roleAssignments/write (például tulajdonosi és felhasználói hozzáférés-rendszergazdai szerepkörök) szükséges, hogy a módosítás után Key Vault RBAC-szerepköröket rendelhessen hozzá, és elkerülje a zárolást. További információért lásd: Azure RBAC-engedélyek engedélyezése a Key Vault-ban.

Az aktuális konfiguráció ellenőrzése

Ellenőrizze, hogy a tároló hozzáférési konfigurációja Azure RBAC-re vagy hozzáférési szabályzatra van-e beállítva. Ellenőrizze ezt a konfigurációt a Azure CLI vagy a PowerShell-parancsokkal.

A konfiguráció ellenőrzése után:

• Ha a tárolók Azure RBAC (enableRbacAuthorization = true) elemet használnak, lépjen a Vaults Azure RBAC használatával.
• Ha a tárolók hozzáférési szabályzatokat (örökölt) (enableRbacAuthorization = false vagy null) használnak, menjen a hozzáférési szabályzatokat használó tárolókhoz.

Egyetlen tároló ellenőrzése

Azure CLI

1. A tároló részleteinek lekéréséhez használja az az keyvault show parancsot:

   az keyvault show --name <vault-name> --resource-group <resource-group>
   

2. Ellenőrizze a kulcstartó RBAC-engedélyezési tulajdonságának (enableRbacAuthorization) engedélyezett tulajdonságát.

PowerShell

1. A Get-AzKeyVault parancsmaggal lekérheti a tároló részleteit:

   Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   

2. Ellenőrizze a kulcstartó RBAC-engedélyezési tulajdonságának (enableRbacAuthorization) engedélyezett tulajdonságát.

Több tároló ellenőrzése erőforráscsoport szerint

Azure CLI

Az az keyvault list paranccsal listázhatja egy erőforráscsoport összes tárolóját, és ellenőrizheti az RBAC engedélyezési állapotát:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Hozza létre a következő függvényt a PowerShellben:

   function Get-KeyVaultsFromResourceGroup {
       # Get all key vaults in the specified resource group (basic information)
       $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Adja meg a függvény futtatásához használni kívánt erőforráscsoportot:

   $resourceGroupName = "<resource-group>"
   

3. Hívja meg a Get-KeyVaultsFromResourceGroup függvényt annak megtekintéséhez, hogy a 2. lépésben az erőforráscsoport mely trezorjai rendelkeznek vagy hozzáférési szabályzatokkal, vagy Azure RBAC-kel.

Több tárolóhely ellenőrzése az előfizetés keretében

Azure CLI

Az az keyvault list paranccsal listázhatja az előfizetés összes tárolóját, és ellenőrizheti az RBAC engedélyezési állapotát:

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Hozza létre a következő függvényt a PowerShellben:

   function Get-KeyVaultsFromSubscription {
       # Get all key vaults in the subscription (basic information)
       $keyVaults = Get-AzKeyVault
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
           $resourceGroupName = $keyVault.ResourceGroupName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Hívja meg a Get-KeyVaultsFromSubscription függvényt annak megtekintéséhez, hogy az előfizetés mely tárolói rendelkeznek hozzáférési szabályzatokkal, szemben Azure engedélyezett RBAC-vel. Az előfizetésben lévő tárolók számától függően a függvény futtatása több mint 10 percet vehet igénybe.

A következő lépések meghatározása

Az aktuális hozzáférés-vezérlési modell alapján kövesse az alábbi útmutatást.

Tárolók Azure RBAC használatával

Ha a kulcstartók már használják Azure RBAC-t, nincs szükség hozzáférés-vezérlési módosításokra. Azonban 2027. február 27. előtt frissítenie kell az összes Key Vault vezérlősík-felügyeleti SDK-t, ARM-et, Bicep-et, Terraform-sablont és REST API-hívást az API 2026-02-01-es vagy újabb verziójának használatához, mivel az idősebb vezérlősík-API-verziók megszűnnek.

Hozzáférési szabályzatokat használó tárolók

Ha a kulcstárak hozzáférési szabályzatokat (örökölt) (enableRbacAuthorization = false vagy null) használnak, döntse el, hogy szerepköralapú hozzáférésre szeretne-e migrálni (ajánlott), vagy folytatja a hozzáférési szabályzatok használatát. A hozzáférés-vezérlési modellekről további információt a Az Azure RBAC használata Key Vault és Azure Key Vault ajánlott eljárások című témakörben talál.

Válassza ki az elérési utat:

• Azure RBAC (ajánlott): Migrate to Azure RBAC továbbfejlesztett biztonság érdekében.
• Hozzáférési szabályzatok (örökölt): A hozzáférési szabályzatok használatának folytatásához új tárolók létrehozásakor a enableRbacAuthorizationfalse értékre történő beállításával.

Migrálás Azure RBAC-be (ajánlott)

Ezzel a lehetőséggel növelheti a biztonsági pozícióját a tárolóhozzáférési szabályzatok Azure RBAC-re történő áthelyezésével. Részletes migrálási útmutatásért lásd: A tárhozzáférési irányelvről áttérés az Azure szerepkör alapú hozzáférés-vezérlési jogosultsági modellre.

A migrálás után frissítse az összes Key Vault vezérlősík-felügyeleti SDK-t, ARM-et, Bicep, Terraform-sablont és REST API-hívást a 2026-02-01-es vagy újabb API-verzió használatára.

Hozzáférési szabályzatok használatának folytatása

A hozzáférési szabályzatok továbbra is teljes mértékben támogatott hozzáférés-vezérlési modellként jelennek meg.

• Meglévő tárolók: A hozzáférési szabályzatokat már használó tárolók továbbra is módosítások nélkül működnek. Csak győződjön meg arról, hogy a vezérlősík felügyeleti SDK-jai, ARM-, Bicep-, Terraform-sablonjai és REST API-hívásai 2026-02-01-es vagy újabb API-verziót használnak 2027. február 27-e előtt.
• Új tárolók: Amikor API 2026-02-01-es vagy újabb verziójával hoz létre új tárolókat, kifejezetten be kell állítania enableRbacAuthorization, hogy false engedélyezze a hozzáférési szabályzatok használatát, az alábbiakban leírtak szerint.

Válasszon az alábbi módszerek közül a forgatókönyve alapján:

• Arm, Bicep, Terraform-sablonok használata
• A Key Vault létrehozásához szükséges parancsok használata
• Erőforrás-létrehozási parancsok használata

ARM, Bicep, Terraform-sablonok használata

Ha az API 2026-02-01-es vagy újabb verziójával hoz létre új kulcstartókat, állítsa a enableRbacAuthorization értékét false-re az összes Key Vault ARM-, Bicep-, Terraform-sablonban és REST API-hívásokban a hozzáférési szabályzatok használatára (örökölt).

A "Create Key Vault" parancsok használata

Ha az API 2026-02-01-es vagy újabb verziójával hoz létre új kulcstartóktárakat, meg kell adnia a hozzáférési szabályzatok konfigurációját, hogy ne az Azure RBAC legyen az alapértelmezett.

Győződjön meg arról, hogy a Azure CLI vagy PowerShell-modulok legújabb verziójával rendelkezik.

Azure CLI

Frissítse Azure CLI a legújabb verzióra. További információ: Az Azure CLI frissítése.

PowerShell

Frissítse a PowerShell-modulokat a legújabb verzióra:

• Update-Module (PowerShellGet)
• Update-AzModule (Az.Tools.Installer)

A megfelelő paranccsal hozzon létre egy kulcstartót hozzáférési szabályzatokkal:

Azure CLI

Használja az az keyvault create parancsot, és állítsa be --enable-rbac-authorization falsea következőt:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

PowerShell

Használja a New-AzKeyVault parancsmagot , és állítsa be a következőt -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Erőforrás-létrehozási parancsok használata

Ha az API 2026-02-01-es vagy újabb verziójával hoz létre új kulcstartókat, állítsa be a enableRbacAuthorizationfalse értékét a hozzáférési szabályzatok (örökölt) használatára. Ha nem adja meg ezt a tulajdonságot, az alapértelmezés szerint true (Azure RBAC).

Azure CLI

Használja az az resource create parancsot, és állítsa be a "enableRbacAuthorization": false és --api-version "2026-02-01" értékeit.

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

PowerShell

Használja a New-AzResource parancsmagot, és állítsa be enableRbacAuthorization = $false-ApiVersion "2026-02-01".

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Következő lépések

• Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és hozzáférési szabályzatok
• Váltás a trezor hozzáférési szabályzatáról az Azure szerepkör alapú hozzáférés-vezérlési jogosultságmodellre
• Használja az Azure RBAC-ot a Key Vault hozzáférés kezeléséhez
• A kulcstár védelme
• Azure Key Vault REST API-referencia