Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és hozzáférési szabályzatok (örökölt)
Fontos
Az Access Policy engedélymodell használata esetén a kulcstartó felügyeleti síkjára vonatkozó engedélyeket tartalmazó Microsoft.KeyVault/vaults/write , Key Vault Contributorvagy bármely más szerepkörrel rendelkező felhasználó egy Key Vault hozzáférési szabályzat beállításával Contributorbiztosíthat magának adatsík-hozzáférést. A kulcstartók, kulcsok, titkos kulcsok és tanúsítványok jogosulatlan hozzáférésének és kezelésének megakadályozása érdekében elengedhetetlen, hogy a közreműködői szerepkör hozzáférése korlátozva legyen a kulcstartókhoz az Access Policy engedélymodellben. A kockázat csökkentése érdekében javasoljuk, hogy használja a szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodellt, amely a "Tulajdonos" és a "Felhasználói hozzáférés-rendszergazda" szerepkörökre korlátozza az engedélykezelést, lehetővé téve a biztonsági műveletek és a felügyeleti feladatok egyértelmű elkülönítését. További információt a Key Vault RBAC útmutatójában és az Azure RBAC-ben találhat.
Az Azure Key Vault két engedélyezési rendszert kínál: az Azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC), amely az Azure vezérlő- és adatsíkjain működik, valamint a hozzáférési szabályzat modelljét, amely egyedül az adatsíkon működik.
Az Azure RBAC az Azure Resource Managerre épül, és központi hozzáférés-kezelést biztosít az Azure-erőforrásokhoz. Az Azure RBAC-vel az erőforrásokhoz való hozzáférést szerepkör-hozzárendelések létrehozása útján szabályozhatja, amely három elemből áll: egy biztonsági résztvevőből, egy szerepkör-meghatározásból (előre meghatározott engedélykészletből) és egy hatókörből (erőforráscsoportból vagy egyéni erőforrásból).
A hozzáférési szabályzat modell egy örökölt engedélyezési rendszer, a kulcstartó natív rendszere, amely hozzáférést biztosít a kulcsokhoz, titkos kódokhoz és tanúsítványokhoz. A hozzáférést úgy szabályozhatja, hogy a Key Vault hatókörében egyéni engedélyeket rendel a biztonsági tagokhoz (felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz).
Adatsík hozzáférés-vezérlési javaslata
Az Azure RBAC az Azure Key Vault adatsíkjának ajánlott engedélyezési rendszere. Számos előnnyel rendelkezik a Key Vault hozzáférési szabályzatokkal szemben:
- Az Azure RBAC egységes hozzáférés-vezérlési modellt biztosít az Azure-erőforrásokhoz – ugyanazokat az API-kat használják az összes Azure-szolgáltatásban.
- A hozzáférés-kezelés központosított, így a rendszergazdák egységes képet kapnak az Azure-erőforrásokhoz való hozzáférésről.
- A kulcsokhoz, titkos kódokhoz és tanúsítványokhoz való hozzáféréshez való hozzáférés jobb szabályozást igényel, amelyhez tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkör-tagság szükséges.
- Az Azure RBAC integrálva van a Privileged Identity Management szolgáltatással, biztosítva, hogy a jogosultsági jogosultságok időkorlátosak legyenek, és automatikusan lejárnak.
- A biztonsági tagok hozzáférése a Megtagadási hozzárendelések használatával kizárható az adott hatókör(ek)ből.
A Key Vault adatsík-hozzáférés-vezérlését a hozzáférési szabályzatok közül az RBAC-re való áttérésről az Azure szerepköralapú hozzáférés-vezérlési engedélymodelljéről a tárolóelérési szabályzatból az Azure-beli szerepköralapú hozzáférés-vezérlési engedélymodellbe való migrálás című témakörben találhatja meg.