Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Feljegyzés
Key Vault erőforrás-szolgáltató két erőforrástípust támogat: vaults és managed HSMs. A cikkben ismertetett Access control csak a vaults vonatkozik. További információért a felügyelt HSM hozzáférés-vezérlésről, lásd: Managed HSM access control.
Azure szerepköralapú access control (Azure RBAC) egy Azure Resource Manager alapuló engedélyezési rendszer, amely Azure erőforrások központi access kezelését biztosítja.
Azure RBAC lehetővé teszi a felhasználók számára a kulcsok, titkos kódok és tanúsítványok engedélyeinek kezelését, és egy helyet biztosít az összes kulcstartó összes engedélyének kezeléséhez.
A Azure RBAC-modell lehetővé teszi a felhasználók számára, hogy különböző hatókörszinteken állítsa be az engedélyeket: felügyeleti csoport, előfizetés, erőforráscsoport vagy egyéni erőforrások. Azure key vault RBAC lehetővé teszi, hogy a felhasználók külön engedélyekkel rendelkezzenek az egyes kulcsokhoz, titkos kódokhoz és tanúsítványokhoz.
További információért lásd: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC).
Key Vault access modell áttekintése
Egy kulcstartóhoz való hozzáférés két interfészen keresztül történik: a vezérlősík és az adatsík.
A vezérlősík az, ahol a Key Vault kezelését végezheti. A sík műveletei közé tartoznak a kulcstárak létrehozása és törlése, a kulcstár tulajdonságainak lekérése, valamint a hozzáférési szabályzatok frissítése.
A data sík az, ahol a key vaultban tárolt adatokkal dolgozunk. Kulcsokat, titkos kulcsokat és tanúsítványokat adhat hozzá, törölhet és módosíthat.
Mindkét repülőgép Microsoft Entra ID-t használ hitelesítéshez. Az engedélyezéshez a vezérlősík Azure szerepköralapú hozzáférés-szabályozást (Azure RBAC) használ, és az adatsík egy Key Vault hozzáférési szabályzatot (örökölt) vagy Key Vault adatsík-műveletekhez Azure RBAC-t használ.
Ahhoz, hogy hozzáférjen egy kulcstárhoz mindkét síkon, minden hívónak (legyen az felhasználó vagy alkalmazás) rendelkeznie kell megfelelő hitelesítéssel és engedélyezéssel. A hitelesítés létrehozza a hívó identitását. Az engedélyezés határozza meg, hogy a hívó milyen műveleteket hajthat végre.
Az alkalmazások végpontokon keresztül férnek hozzá a síkokhoz. A két sík hozzáférés-vezérlői egymástól függetlenül működnek. Ahhoz, hogy egy alkalmazás hozzáférést kapjon a kulcsok használatához egy kulcstárban, adatsíkháttér-beli hozzáférést kell adnia az Azure RBAC-kal vagy egy Kulcstár hozzáférési házirenddel. Ha olvasási hozzáférést szeretne adni a felhasználónak a Key Vault tulajdonságaihoz és címkéihez, de nem fér hozzá az adatokhoz (kulcsokhoz, titkos kódokhoz vagy tanúsítványokhoz), akkor az Azure RBAC használatával ad hozzáférést a vezérlősíkhoz.
Hozzáférési sík végpontok
Az alábbi táblázat a vezérlő- és adatsíkok végpontjait mutatja be.
| Hozzáférési sík | Hozzáférési végpontok | Operations | hozzáférés-vezérlő mechanizmus |
|---|---|---|---|
| Irányítósík | Globális: management.azure.com:443 Microsoft Azure által üzemeltetett 21Vianet: management.chinacloudapi.cn:443 Azure USA Government: management.usgovcloudapi.net:443 |
Kulcstárolók létrehozása, olvasása, frissítése és törlése Key Vault access-szabályzatok beállítása Key Vault címkék beállítása |
Azure RBAC |
| Adat sík | Globális: <vault-name>.vault.azure.net:443 Microsoft Azure által üzemeltetett 21Vianet: <vault-name>.vault.azure.cn:443 Azure US Government: <vault-name>.vault.usgovcloudapi.net:443 |
Kulcsok: titkosítás, visszafejtés, kulcsbecsomagolás, kicsomagolás, aláírás, hitelesítés, lekérés, lista, létrehozás, frissítés, importálás, törlés, helyreállítás, biztonsági mentés, visszaállítás, ürítés, forgatás, rotációs politika lekérése, rotációs politika beállítása, kibocsátás Tanúsítványok: managecontacts, getissuers, listissuers, setissuers, deleteissuers, manageissuers, get, list, create, import, update, delete, recover, backup, restore, purge Titkos kódok: lekérés, listázás, beállítás, törlés, helyreállítás, biztonsági mentés, visszaállítás, törlés |
Key Vault hozzáférési szabályzat ("örökölt") vagy Azure RBAC |
Az adminisztratív hozzáférés kezelése a Key Vault esetében
Amikor kulcstartót hoz létre egy erőforráscsoportban, a hozzáférést a Microsoft Entra ID használatával kezelheti. Lehetővé teszi a felhasználóknak vagy csoportoknak az erőforráscsoport kulcstartó tárolóinak kezelését. Különböző hatókörszinteken adhat hozzáférést a megfelelő Azure szerepkörök kijelölésével. Ahhoz, hogy egy felhasználónak hozzáférést biztosítson a kulcstárolók kezeléséhez, egy előre meghatározott Key Vault Contributor szerepkört rendel az adott hatókörhöz. A következő hatókörszintek rendelhetők hozzá egy Azure szerepkörhöz:
- Subscription: Az előfizetés szintjén hozzárendelt Azure szerepkör az előfizetésen belüli összes erőforráscsoportra és erőforrásra vonatkozik.
- Forráscsoport: Az erőforráscsoport szintjén hozzárendelt Azure szerepkör az adott erőforráscsoport összes erőforrására vonatkozik.
- Specific resource: Az adott erőforráshoz hozzárendelt Azure szerepkör az adott erőforrásra vonatkozik. Ebben az esetben az erőforrás egy adott key vault.
Számos előre definiált szerepkör létezik. Ha egy előre definiált szerepkör nem felel meg az igényeinek, saját szerepkört is meghatározhat. További információ: Azure RBAC: Beépített szerepkörök.
Fontos
Ha egy felhasználó Contributor engedélyekkel rendelkezik egy key vault vezérlősíkhoz, a felhasználó egy Key Vault access szabályzat beállításával access adhat az adatsíknak. Szigorúan szabályoznia kell, hogy ki férhet hozzá a szerepkörhöz a kulcstárakhoz. Győződjön meg arról, hogy csak a jogosult személyek férhetnek hozzá, és kezelhetik a kulcstárakat, kulcsokat, titkokat és tanúsítványokat.
Ajánlott eljárások az egyes kulcsok, titkos kódok és tanúsítványok szerepkör-hozzárendeléseihez
Javasoljuk, hogy egy tárolót használjon alkalmazásonként (fejlesztés, éles üzem előtti és éles környezet) a key vault hatókörben hozzárendelt szerepkörökkel.
Nem ajánlott szerepköröket hozzárendelni az egyes kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz. A kivételek közé tartoznak azok a forgatókönyvek, ahol:
- Az egyes titkos kódokhoz egyéni felhasználói access szükséges, például ahol a felhasználóknak be kell olvasniuk az SSH titkos kulcsukat a virtuális gép hitelesítéséhez Azure Bastion használatával.
- Az egyes titkos kulcsokat több alkalmazás között kell megosztani; például ahol az egyik alkalmazásnak egy másik alkalmazásból származó adatokat kell access.
További információ a Azure Key Vault felügyeleti irányelveiről:
Azure beépített szerepkörök Key Vault adatsík-műveletekhez
Feljegyzés
A Key Vault Contributor szerepkör csak a vezérlősík műveletek végrehajtásához használható a kulcstartók kezelésére. Nem engedélyezi a hozzáférést a kulcsokhoz, titkokhoz és tanúsítványokhoz.
| Beépített szerepkör | Leírás | azonosító |
|---|---|---|
| Key Vault rendszergazda | Végezze el az összes adatútvonal műveletet egy kulcstáron és a benne lévő összes objektumon, beleértve a tanúsítványokat, kulcsokat és titkokat. Nem kezelhetők key vault erőforrások, és nem kezelhetők szerepkör-hozzárendelések. Csak olyan kulcstárak esetén működik, amelyek az "Azure szerepkör-alapú hozzáférés-vezérlés" engedélymodellt használják. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault Olvasó | Olvassa el a kulcstartók metaadatait, valamint azok tanúsítványait, kulcsait és titkosait. Nem olvashatók olyan bizalmas értékek, mint a titkos tartalom vagy a kulcsanyag. Csak olyan kulcstartószéfek esetén működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault purge operátor | Lehetővé teszi a helyreállíthatóan törölt tárolók végleges törlését. | a68e7c17-0ab2-4c09-9a58-125dae29748c |
| Key Vault tanúsítványkezelő | A key vault tanúsítványán bármilyen műveletet végrehajthat, kivéve az engedélyek kezelését. Csak olyan kulcstartók esetén működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault tanúsítványfelhasználó | Olvassa el a teljes tanúsítványtartalmat, beleértve a titkos kulcsot és a kulcsrészt. Csak olyan kulcstartók esetén működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| Key Vault kripto tisztviselő | Bármilyen műveletet végrehajthat egy kulcsokon a key vaultban, kivéve az engedélyek kezelését. Csak olyan kulcstartók esetén működik, amelyek az "Azure szerepköralapú hozzáférés-vezérlés" engedélymodellt használják. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Key Vault titkosítási szolgáltatás titkosítási felhasználója | Olvassa el a kulcsok metaadatait, és végezzen wrap/unwrap műveleteket. Csak olyan kulcstartók esetén működik, amelyek a „Azure szerepköralapú hozzáférés-vezérlés” engedélymodellt használják. | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault titkosítási felhasználó | Titkosítási műveletek végrehajtása kulcsokkal. Csak olyan kulcstartók esetén működik, amelyek az "Azure szerepköralapú hozzáférés-szabályozás" engedélymodellt használják. | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault Crypto Service kiadási felhasználója | Kiadási kulcsok Azure bizalmas számítástechnikához és ezzel egyenértékű környezetekhez. Csak olyan kulcstárak esetén működik, amelyek az „Azure szerepköralapú hozzáférés-vezérlés” engedélymodellt használják. | |
| Key Vault Titkok Tisztviselője | Bármilyen művelet végrehajtható egy kulcstár titkos adatai kapcsán, kivéve az engedélyek kezelését. Csak olyan kulcstartók esetén működik, amelyek az „Azure szerepköralapú hozzáférés-vezérlés” engedélymodellt használják. | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault titkos kulcsok felhasználója | Titkos kódtartalmak olvasása, beleértve a tanúsítvány titkos részét titkos kulccsal. Csak azoknál a kulcstartóknál működik, amelyek az Azure szerepköralapú hozzáférés-vezérlés engedélymodellt használják. | 4633458b-17de-408a-b874-0445c86b69e6 |
A Azure beépített szerepkör-definíciókkal kapcsolatos további információkért lásd: Azure beépített szerepkörök.
Beépített szerepkör-hozzárendelések kezelése a Key Vault adatsík számára
| Beépített szerepkör | Leírás | azonosító |
|---|---|---|
| Key Vault Adat-hozzáférési rendszergazda | Az Azure Key Vault elérésének kezelése a Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer vagy Key Vault Secrets User szerepkör-hozzárendeléseinek hozzáadásával vagy eltávolításával. Tartalmaz egy ABAC-feltételt a szerepkör-hozzárendelések korlátozásához. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Azure RBAC titok-, kulcs- és tanúsítványengedélyek használata a Key Vaultban
Az új Azure RBAC-engedélymodell a kulcstár számára alternatívát nyújt a kulcstár hozzáférési szabályzat engedélymodell helyett.
Előfeltételek
Azure előfizetéssel kell rendelkeznie. Ha még nincs, a kezdés előtt létrehozhat egy ingyenes fiókot.
A szerepkör-hozzárendelések kezeléséhez Microsoft.Authorization/roleAssignments/write és Microsoft.Authorization/roleAssignments/delete engedélyekkel kell rendelkeznie, például Key Vault Adat Access rendszergazda (korlátozott engedélyekkel csak adott Key Vault szerepkörök hozzárendeléséhez vagy eltávolításához), Felhasználó Access rendszergazda vagy Tulajdonos.
Azure RBAC engedélyek engedélyezése a Key Vaulton
Feljegyzés
Az engedélymodell módosításához korlátlan "Microsoft.Authorization/roleAssignments/write" engedély szükséges, amely a Owner és Felhasználó Access Rendszergazda szerepkörök része. A klasszikus előfizetéskezelői szerepkörök, mint a "Szolgáltatásadminisztrátor" és a "Társadminisztrátor", valamint a korlátozott "Key Vault adathozzáférési rendszergazda" nem használhatók az engedélymodell módosítására.
Engedélyezze az új Azure RBAC-engedélyeket a kulcstárban.
Engedélyezze az Azure RBAC-engedélyeket a meglévő kulcstárban.
Fontos
A Azure RBAC-engedélymodell beállítása érvényteleníti az összes access szabályzatengedélyt. Kimaradásokat okozhat, ha nincs hozzárendelve egyenértékű Azure szerepkör.
Szerepkör hozzárendelése
Feljegyzés
A szkriptek szerepkörneve helyett ajánlott az egyedi szerepkör-azonosítót használni. Ezért ha egy szerepkört átneveznek, a szkriptek továbbra is működni fognak. Ebben a dokumentumszerepkörben a rendszer az olvashatóság érdekében használja a nevet.
Az Azure CLI használatával történő szerepkör hozzárendelés létrehozásához használja az az role assignment parancsot.
az role assignment create --role {role-name-or-id} --assignee {assignee-upn}> --scope {scope}
További részletekért lásd: Azure szerepkörök hozzárendelése az Azure CLI használatával.
Erőforráscsoport hatókörének szerepkör-hozzárendelése
az role assignment create --role "Key Vault Reader" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}
További részletekért lásd: Azure szerepkörök hozzárendelése az Azure CLI használatával.
A fenti szerepkör-hozzárendelés lehetővé teszi a key vault objektumok listázását a kulcstartóban.
Key Vault hatókör szerepkör-hozzárendelése
az role assignment create --role "Key Vault Secrets Officer" --assignee {assignee-upn} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}
További részletekért lásd: Azure szerepkörök hozzárendelése az Azure CLI használatával.
Titkos hatókör szerepkör-hozzárendelése
Feljegyzés
Key Vault titkos kulcsok, tanúsítványok és kulcs hatókör szerepkör-hozzárendelések csak a Az egyedi kulcsok, titkos kulcsok és tanúsítványok szerepkör-hozzárendeléseinek legjobb gyakorlatai által leírt korlátozott forgatókönyvekhez használhatók, hogy megfeleljenek a biztonsági ajánlott eljárásoknak.
az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret
További részletekért lásd: Azure szerepkörök kiosztása az Azure CLI használatával.
Tesztelés és ellenőrzés
Feljegyzés
A böngészők gyorsítótárazást használnak, és a szerepkör-hozzárendelések eltávolítása után lapfrissítésre van szükség. A szerepkör-hozzárendelések frissítésének engedélyezése néhány percig
Ellenőrizze, hogy új titkot ad-e hozzá Key Vault Titokfelelős szerepkör nélkül a Key Vault szintjén.
Lépjen a key vault Access control (IAM) lapra, és távolítsa el a "Key Vault Titkos kulcsok tisztviselője" szerepkör-hozzárendelést ehhez az erőforráshoz.
Lépjen a korábban létrehozott titkos kódra. Az összes titkos tulajdonság látható.
Új titkos kód létrehozása (Titkos kódok +Létrehozás/Importálás) esetén a következő hiba jelenik meg:
Új titkos kód létrehozása
Titkos kódszerkesztés ellenőrzése "Key Vault Titkos tisztviselő" szerepkör nélkül titkos szinten.
Lépjen a korábban létrehozott titkos Access Control (IAM) lapra, és távolítsa el az erőforráshoz tartozó "Key Vault Titkos kulcsok tisztviselője" szerepkör-hozzárendelést.
Lépjen a korábban létrehozott titkos kódra. Láthatja a titkos tulajdonságokat.
A titkos kódok olvasásának ellenőrzése olvasói szerepkör nélkül key vault szinten.
Lépjen a Key Vault erőforrás-csoport Access Control (IAM) fülre, és távolítsa el a "Key Vault Olvasó" szerepkör-hozzárendelést.
A key vault Titkos kódok lapjára lépve a következő hibaüzenet jelenik meg:
Titkos kód lap – hiba
Egyéni szerepkörök létrehozása
az szerepkördefiníció létrehozási parancsa
az role definition create --role-definition '{ \
"Name": "Backup Keys Operator", \
"Description": "Perform key backup/restore operations", \
"Actions": [], \
"DataActions": [ \
"Microsoft.KeyVault/vaults/keys/read ", \
"Microsoft.KeyVault/vaults/keys/backup/action", \
"Microsoft.KeyVault/vaults/keys/restore/action" \
], \
"NotDataActions": [], \
"AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'
További információ az egyéni szerepkörök létrehozásáról:
AI használata Key Vault szerepkör-hozzárendelések létrehozásához
GitHub A Copilot segíthet a megfelelő Azure CLI vagy PowerShell-parancsok összeállításában Key Vault szerepkör-hozzárendelésekhez az adott követelmények alapján.
I need to set up Azure RBAC for my Key Vault. Help me create the role assignment commands for the following scenario:
- Key vault name: my-app-keyvault
- Resource group: my-app-rg
- Subscription ID: <my-subscription-id>
- I need to grant a managed identity (client ID: <managed-identity-client-id>) the ability to read and write secrets, but not manage keys or certificates.
Provide both Azure CLI and PowerShell commands, and explain which built-in role is most appropriate for this least-privilege scenario.
GitHub A Copilot mesterséges intelligenciával működik, így meglepetések és hibák lehetségesek. További információkért lásd a Copilot gyakori kérdéseket.
Gyakori kérdések
Használhatok Azure RBAC objektumhatókör-hozzárendeléseket az alkalmazáscsapatok elkülönítéséhez a Key Vault?
Nem Az Azure RBAC-engedélymodell lehetővé teszi, hogy hozzáférést rendeljen a Key Vault egyes objektumaihoz a felhasználóknak vagy alkalmazásnak, de az olyan felügyeleti műveletek, mint a hálózati hozzáférés-vezérlés, a monitorozás és az objektumkezelés, tároló szintű engedélyeket igényelnek, amelyek így biztonságos információkat tesznek elérhetővé az alkalmazási csapatok üzemeltetői számára.