Migrálás Azure RBAC-be hozzáférési szabályzatokból

Azure Key Vault két hozzáférés-vezérlési modellt kínál: Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC- és hozzáférési szabályzatmodellt). Azure RBAC a Azure Key Vault alapértelmezett és ajánlott hozzáférés-vezérlési modellje. Az API 2026-02-01-es verziójától kezdve Azure RBAC az új tárolók alapértelmezett hozzáférés-vezérlési modellje. A két engedélyezési módszer összehasonlítása: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és hozzáférési szabályzatok.

A meglévő telepítések előkészítésének részleteiről a Key Vault API 2026-02-01-es és újabb verziójára való felkészülés című dokumentumban olvashat.

Ez a cikk a kulcstár hozzáférési szabályzat modellen alapuló modellből egy Azure RBAC-modellbe való migrálásához szükséges információkat tartalmazza.

Azure szerepkörök elérési szabályzatainak leképezése

Azure RBAC számos beépített Azure szerepkört tartalmaz, amelyeket felhasználókhoz, csoportokhoz, szolgáltatási főnevekhez és felügyelt identitásokhoz rendelhet. Ha a beépített szerepkörök nem felelnek meg a szervezet igényeinek, létrehozhat saját Azure egyéni szerepköröket.

Key Vault beépített szerepkörök kulcsok, tanúsítványok és titkos kódok hozzáférés-kezeléséhez:

• Key Vault rendszergazda
• Key Vault Olvasó
• Key Vault purge operátor
• Key Vault tanúsítványkezelő
• Key Vault tanúsítványfelhasználó
• Key Vault kriptográfiai tisztviselő
• Key Vault titkosítási felhasználó
• Key Vault titkosítási szolgáltatás titkosítási felhasználója
• Key Vault Crypto Service kiadási felhasználója
• Key Vault titkos kulcsok tisztviselője
• Key Vault titkos kulcsok felhasználója

További információ a meglévő beépített szerepkörökről: Azure beépített szerepkörök

A tárolóra vonatkozó hozzáférési szabályzatok egyedileg kiválasztott engedélyekkel vagy előre definiált engedélysablonokkal rendelhetők hozzá.

Hozzáférési szabályzat előre definiált engedélysablonjai:

• Kulcs, titkos kód, tanúsítványkezelés
• Kulcs > Titkos kódok kezelése
• Titkos & tanúsítványkezelés
• Kulcskezelés
• Titkos kódok kezelése
• Tanúsítványkezelés
• SQL Server összekötő
• Azure Data Lake Storage vagy Azure Storage
• Azure Backup
• Exchange Online ügyfélkulcs
• SharePoint online ügyfélkulcs
• Azure Information BYOK

Szabályzatsablonok elérése Azure szerepkörök leképezéséhez

Hozzáférési szabályzatsablon	Üzemeltetés	Azure szerepkör
Kulcs, titkos kód, tanúsítványkezelés	Kulcsok: minden művelet Tanúsítványok: minden művelet Titkos kódok: minden művelet	Key Vault rendszergazda
Kulcs > Titkos kódok kezelése	Kulcsok: minden művelet Titkos kódok: minden művelet	Key Vault kriptográfiai tisztviselő Key Vault titkos kulcsok tisztviselője
Titkos & tanúsítványkezelés	Tanúsítványok: minden művelet Titkos kódok: minden művelet	Key Vault tanúsítványkezelő Key Vault titkos kulcsok tisztviselője
Kulcskezelés	Kulcsok: minden művelet	Key Vault kriptográfiai tisztviselő
Titkos kódok kezelése	Titkos kódok: minden művelet	Key Vault titkos kulcsok tisztviselője
Tanúsítványkezelés	Tanúsítványok: minden művelet	Key Vault tanúsítványkezelő
SQL Server összekötő	Kulcsok: lekérdezés, lista, kulcs becsomagolása, kulcs kibontása	Key Vault titkosítási szolgáltatás titkosítási felhasználója
Azure Data Lake Storage vagy Azure Storage	Kulcsok: megszerez, lista, kibontás kulcs	n/a Egyéni szerepkör szükséges
Azure Backup	Kulcsok: lekérés, lista, biztonsági mentés Titkos kódok: lekérés, lista, biztonsági mentés	n/a Egyéni szerepkör szükséges
Exchange Online ügyfélkulcs	Kulcsok: lekérdezés, lista, kulcs becsomagolása, kulcs kibontása	Key Vault titkosítási szolgáltatás titkosítási felhasználója
Exchange Online ügyfélkulcs	Kulcsok: lekérdezés, lista, kulcs becsomagolása, kulcs kibontása	Key Vault titkosítási szolgáltatás titkosítási felhasználója
Azure Information BYOK	Kulcsok: lekérés, visszafejtés, aláírás	n/a Egyéni szerepkör szükséges

Hozzárendelési hatókörök leképezése

Azure RBAC a Key Vault számára lehetővé teszi a szerepkörök hozzárendelését az alábbi hatókörökön.

• Felügyeleti csoport
• Előfizetés
• Erőforráscsoport
• Key Vault szolgáltatás
• Egyedi kulcs, titkos kód és tanúsítvány

A hozzáférési szabályzatok csak a Key Vault erőforrásszinten rendelhetők hozzá.

Általában ajánlott alkalmazásonként egy kulcstartóval rendelkezni, és kezelni a hozzáférést a key vault szintjén. Vannak olyan esetek, amikor a hozzáférés más hatókörökben való kezelése leegyszerűsíti a hozzáférés-kezelést.

• Infrastruktúra, biztonsági rendszergazdák és operátorok: A kulcstartók csoportjának kezelése felügyeleti csoport, előfizetés vagy erőforráscsoport szintjén tárolóelérési szabályzatokkal megköveteli az egyes kulcstartók házirendjeinek fenntartását. Azure RBAC lehetővé teszi egy szerepkör-hozzárendelés létrehozását felügyeleti csoportban, előfizetésben vagy erőforráscsoportban. Ez a hozzárendelés az ugyanazon hatókör alatt létrehozott új kulcstartókhoz fog vonatkozni. Ebben a forgatókönyvben javasolt a Privileged Identity Management használata időben történő hozzáféréssel az állandó hozzáférés biztosítása helyett.

• Alkalmazások: vannak olyan esetek, amikor az alkalmazásnak titkos kulcsokat kell megosztania más alkalmazásokkal. A tárolóelérési szabályzatok használatával külön kulcstokot kellett létrehozni annak érdekében, hogy ne legyen hozzáférés az összes titokhoz. Azure RBAC lehetővé teszi a szerepkör hozzárendelését az egyes titkos kulcsok hatókörével, és nem egyetlen kulcstartót használ.

Migrálási eljárás

Az alábbi lépéseket követve migrálhatja a kulcstárat Azure RBAC-be a hozzáférési szabályzatokról:

• Előkészítés: Győződjön meg arról, hogy rendelkezik a megfelelő engedélyekkel és az alkalmazások leltárával.
• Leltár: Az összes meglévő hozzáférési szabályzat és engedély dokumentálása.
• A Azure RBAC-szerepkörök létrehozása: Rendeljen hozzá megfelelő Azure RBAC-szerepköröket az egyes biztonsági tagokhoz.
• Enable Azure RBAC: A kulcstartót a Azure RBAC hozzáférés-vezérlési modell használatára válthatja.
• Ellenőrzés: A hozzáférés tesztelése annak biztosítása érdekében, hogy az összes alkalmazás és felhasználó megőrizze a megfelelő hozzáférést.
• Monitorozás: A hozzáféréssel kapcsolatos problémák figyelésének és riasztásának beállítása.

Előfeltételek

A migrálás megkezdése előtt győződjön meg arról, hogy:

1. Szükséges engedélyek: A kulcstartóhoz a következő engedélyekkel kell rendelkeznie:

   • Microsoft.Authorization/roleAssignments/write engedély, amely tulajdonosi és felhasználói hozzáférés-rendszergazdai szerepkörökben szerepel
   • Microsoft.KeyVault/vaults/write engedély, amely része a Key Vault Contributor szerepkörnek

   Feljegyzés

   A klasszikus előfizetés-rendszergazdai szerepkörök (szolgáltatásadminisztrátor és Co-Administrator) nem támogatottak.

2. Alkalmazások és identitások leltára: Listázzon minden olyan alkalmazást, szolgáltatást és felhasználót, amely hozzáfér a kulcstartóhoz, és dokumentálja az összes aktuális hozzáférési szabályzatot és az általuk megadott engedélyeket.

Aktuális hozzáférési szabályzatok leltározása

Dokumentálja az összes meglévő hozzáférési szabályzatot, megjegyezve a biztonsági szereplőket (felhasználókat, csoportokat, szolgáltatási felhatalmazottakat) és azok engedélyeit.

Azure CLI

A hozzáférési szabályzatok lekéréséhez használja a Azure CLI az keyvault show parancsot:

# List all current access policies
az keyvault show --name <vault-name> --resource-group <resource-group> --query properties.accessPolicies

Azure PowerShell

A Get-AzKeyVault parancsmaggal kérje le a hozzáférési szabályzatokat:

# List all current access policies
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group>"
$vault.AccessPolicies

Azure portál

A Azure portálon:

1. Navigáljon a kulcstárához
2. Hozzáférési szabályzatok kiválasztása a Beállítások területen
3. Dokumentálja az összes meglévő hozzáférési szabályzatot, és a következőket kell megjegyeznie:
   • Identitás (felhasználó, csoport vagy szolgáltatásnév)
   • Kulcs-, titkos kód- és tanúsítványengedélyek

Egyenértékű Azure RBAC-szerepkör-hozzárendelések létrehozása

Minden hozzáférési szabályzattal rendelkező biztonsági taghoz hozzon létre egy vagy több Azure RBAC-szerepkör-hozzárendelést a fenti leképezési táblázat alapján.

Azure CLI

A megfelelő szerepkörök megadásához használja az az szerepkör-hozzárendelés létrehozási parancsát:

# Example for Key Vault Administrator role:
az role assignment create --role "Key Vault Administrator" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
az role assignment create --role "Key Vault Secrets Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
az role assignment create --role "Key Vault Crypto Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
az role assignment create --role "Key Vault Certificates Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Azure PowerShell

A New-AzRoleAssignment parancsmaggal adjon meg megfelelő szerepköröket:

# Example for Key Vault Administrator role:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Administrator" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Certificates Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Azure portál

A Azure portálon:

1. Navigáljon a kulcstárához
2. Hozzáférés-vezérlés (IAM) kiválasztása
3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget>
4. Válassza ki a megfelelő szerepkört a hozzáférési szabályzat leképezése alapján
5. Felhasználó, csoport vagy szolgáltatásnév keresése és kiválasztása
6. Válassza a Véleményezés + hozzárendelés lehetőséget a szerepkör-hozzárendelés létrehozásához
7. Ismételje meg az ismétlést minden olyan identitás esetében, amelyhez hozzáférés szükséges

Azure RBAC engedélyezése

Az összes szükséges szerepkör-hozzárendelés létrehozása után állítsa át a tárolót az Azure RBAC-engedélymodell használatára.

Azure CLI

A az keyvault update paranccsal engedélyezze Azure RBAC-t:

# Switch the vault to Azure RBAC
az keyvault update --name <vault-name> --resource-group <resource-group> --enable-rbac-authorization true

Azure PowerShell

A Update-AzKeyVault parancsmaggal engedélyezze Azure RBAC-t:

# Switch the vault to Azure RBAC permission model
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group>"
Update-AzKeyVault -VaultName $vault.VaultName -ResourceGroupName $vault.ResourceGroupName -EnableRbacAuthorization $true

Azure portál

A Azure portálon:

1. Navigáljon a kulcstárához
2. Tulajdonságok kiválasztása a Beállítások csoportban
3. Permission modell módosítása Azure szerepköralapú hozzáférés-vezérlésre
4. Válassza a Mentés opciót

Hozzáférés ellenőrzése

Tesztelje a páncélteremhez való hozzáférést annak biztosítására, hogy az összes alkalmazás és felhasználó továbbra is végrehajtsa a szükséges műveleteket.

Azure CLI

A következő parancsokkal tesztelheti a hozzáférést:

# Try to list secrets to verify access
az keyvault secret list --vault-name <vault-name>

# Try to get a secret to verify access
az keyvault secret show --vault-name <vault-name> --name <secret-name>

Azure PowerShell

A következő parancsmagokkal tesztelheti a hozzáférést:

# Try to list secrets to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>"

# Try to get a secret to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>" -Name "<secret-name>"

Azure portál

A Azure portálon:

1. Próbálja meg elérni a titkokat, a kulcsokat vagy a tanúsítványokat a hozzárendelt szerepkörök alapján
2. Ellenőrizze, hogy a tárolót használó alkalmazások továbbra is megfelelően működnek-e

Figyelés és riasztás beállítása

A migrálás után állítsa be a megfelelő monitorozást a hozzáférési problémák észleléséhez:

Azure CLI

Használja az az monitor diagnosztikai beállítások létrehozási parancsát:

# Enable diagnostics logging for Key Vault
az monitor diagnostic-settings create --resource <vault-id> --name KeyVaultLogs --logs "[{\"category\":\"AuditEvent\",\"enabled\":true}]" --workspace <log-analytics-workspace-id>

Azure PowerShell

Használja a Set-AzDiagnosticSetting parancsmagot:

# Get the vault resource ID
$vaultResourceId = (Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group>").ResourceId

# Enable diagnostics logging for Key Vault
$logs = @()
$logs += New-AzDiagnosticSettingLogSettingsObject -Category "AuditEvent" -Enabled $true
Set-AzDiagnosticSetting -ResourceId $vaultResourceId -Name "KeyVaultLogs" -WorkspaceId "<log-analytics-workspace-id>" -Log $logs

Azure portál

A Azure portálon:

1. Navigáljon a kulcstárához
2. Diagnosztikai beállítások kiválasztása a Figyelés csoportban
3. Válassza a Diagnosztikai beállítás hozzáadása lehetőséget
4. Adja meg a beállítás nevét (például "KeyVaultLogs")
5. A "Naplók" csoportban ellenőrizze az AuditEvent kategóriát
6. Válassza a Küldés a Log Analytics munkaterületre célként
7. A Log Analytics munkaterület kiválasztása
8. Válassza a Mentés opciót

Azure Policy szerinti migráció irányítása

Az Azure Policy szolgáltatással szabályozhatja az Azure RBAC migrációt a tárolóhelyek között. Létrehozhat egy egyéni szabályzatdefiníciót a meglévő kulcstartók naplózásához, és kényszerítheti az összes új kulcstartót Azure RBAC használatára.

Szabályzatdefiníció létrehozása és hozzárendelése Key Vault Azure RBAC-hez

1. Ugrás a Szabályzat erőforrásra
2. Válassza a Assignments lehetőséget a Authoring alatt a Azure Policy lap bal oldalán
3. Válassza a Szabályzat hozzárendelése lehetőséget a lap tetején
4. Adja meg a következő adatokat:
   • A szabályzat hatókörének meghatározása az előfizetés és az erőforráscsoport kiválasztásával
   • Válassza ki a következő szabályzatdefiníciót: "[Előzetes verzió]: Azure Key Vault Azure RBAC-t kell használnia"
   • A szabályzat kívánt hatásának meghatározása (ellenőrzés, tiltás vagy kikapcsolva)
5. A feladat elvégzése a feladat áttekintésével és létrehozásával

A szabályzat hozzárendelése után a vizsgálat befejezése akár 24 órát is igénybe vehet. A vizsgálat befejezése után a megfelelőségi eredményeket az Azure Policy irányítópulton tekintheti meg.

Azure RBAC-összehasonlító eszköz hozzáférési szabályzata

Fontos

Ezt az eszközt Microsoft közösség tagjai építik ki és tartják karban, hivatalos ügyfélszolgálati támogatás nélkül. Az eszközt az AS IS bármilyen garancia nélkül biztosítja.

PowerShell eszköz a Key Vault hozzáférési szabályzatok és az Azure RBAC szerepkörökhöz rendelt jogosultságok összehasonlítására, hogy segítse a hozzáférési szabályzat Azure RBAC-re történő migrációját. Az eszköz célja, hogy a meglévő Key Vault Azure RBAC-be való migrálásakor biztosítsa a józan ész ellenőrzését annak érdekében, hogy az alapul szolgáló adatműveletekkel rendelkező hozzárendelt szerepkörök lefedhessék a meglévő hozzáférési szabályzatokat.

Gyakori problémák megoldása

• Szerepkör-hozzárendelés késleltetése: A szerepkör-hozzárendelések propagálása több percet is igénybe vehet. Újrapróbálkozásos logika implementálása az alkalmazásokban.
• Elveszett szerepkör-hozzárendelések a helyreállítás után: A szerepkör-hozzárendelések nem maradnak meg, ha helyreállítják a tárolót a helyreállítható törlés után. A helyreállítás után újra létre kell hoznia az összes szerepkör-hozzárendelést.
• Hozzáférés-megtagadási hibák: Ellenőrizze, hogy:
  • A megfelelő szerepkörök a megfelelő hatókörben vannak hozzárendelve
  • A szolgáltatásazonosító vagy a kezelt identitás pontosan rendelkezik a szükséges engedélyekkel.
  • A hálózati hozzáférési szabályok nem blokkolják a kapcsolatot
• A szkriptek a migráció után sikertelenek lesznek: Frissítse azokat a szkripteket, amelyek hozzáférési szabályzatokat használtak, hogy a szerepkör-hozzárendeléseket használják helyette.

További információ

• Azure RBAC áttekintése
• Egyéni szerepkörök oktatóanyaga
• Privileged Identity Management