Mengonfigurasi akses ke Key Vault, termasuk kebijakan akses vault dan kontrol akses berbasis peran Azure
Kontrol akses berbasis peran Azure (Azure RBAC) adalah sistem otorisasi yang dibangun di Azure Resource Manager yang menyediakan manajemen akses terperinci sumber daya Azure.
Azure RBAC memungkinkan pengguna mengelola izin Kunci, Rahasia, dan Sertifikat. Ini menyediakan satu tempat untuk mengelola semua izin di semua key vault.
Model Azure RBAC memungkinkan penggunaan untuk mengatur izin pada tingkat cakupan yang berbeda: grup manajemen, langganan, grup sumber daya, atau sumber daya individual. Azure RBAC untuk brankas kunci juga memungkinkan pengguna untuk memiliki izin terpisah pada masing-masing kunci, rahasia, dan sertifikat.
Praktik terbaik untuk penetapan peran kunci, rahasia, dan sertifikat individual
Rekomendasi kami adalah menggunakan vault untuk setiap aplikasi dan setiap lingkungan (Pengembangan, Pra-Produksi, dan Produksi).
Izin kunci, rahasia, dan sertifikat individual harus digunakan hanya untuk skenario tertentu:
- Berbagi rahasia individual antara beberapa aplikasi, misalnya, satu aplikasi perlu mengakses data dari aplikasi lain
Peran bawaan Azure untuk operasi sarana data Key Vault
Nota
Peran Kontributor Key Vault hanya untuk operasi pada lapisan manajemen guna mengelola Key Vault. Ini tidak mengizinkan akses ke kunci, rahasia, dan sertifikat.
| Peran bawaan | Deskripsi | ID |
|---|---|---|
| Administrator Gudang Kunci | Lakukan semua operasi bidang data pada brankas kunci dan semua objek di dalamnya, termasuk sertifikat, kunci, dan rahasia. Tidak dapat mengelola sumber daya Key Vault atau penetapan peran. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Pengelola Sertifikat Key Vault | Lakukan tindakan apa pun pada sertifikat brankas kunci, kecuali mengelola izin. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Petugas Kripto Key Vault | Lakukan tindakan apa pun pada kunci penyimpanan kunci, kecuali mengelola izin. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Pengguna Enkripsi Layanan Kripto Key Vault | Baca metadata kunci dan lakukan operasi pembungkusan/pembongkaran. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Pengguna Kripto Key Vault | Lakukan operasi kriptografi menggunakan kunci. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Pembaca Key Vault | Baca metadata dari brankas kunci serta sertifikat, kunci, dan rahasia di dalamnya. Tidak dapat membaca nilai sensitif seperti konten rahasia atau materi kunci. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Petugas Pengelola Rahasia Key Vault | Lakukan tindakan apa pun pada data rahasia dalam brankas kunci, kecuali mengelola izin. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Pengguna Rahasia Key Vault | Membaca konten rahasia termasuk bagian rahasia sertifikat dengan kunci privat. Hanya berfungsi untuk brankas kunci yang menggunakan model izin 'kontrol akses berdasarkan peran Azure'. | 4633458b-17de-408a-b874-0445c86b69e6 |
Nota
Tidak ada Pengguna Sertifikat Key Vault karena aplikasi memerlukan bagian rahasia sertifikat dengan kunci privat. Peran Pengguna Rahasia Key Vault harus digunakan untuk aplikasi untuk mengambil sertifikat.
Mengelola penetapan peran lapisan data Key Vault bawaan (pratinjau)
| Peran bawaan | Deskripsi | ID |
|---|---|---|
| Administrator Akses Data Key Vault (pratinjau) | Kelola akses ke Azure Key Vault dengan menambahkan atau menghapus penetapan peran untuk Administrator Key Vault, Petugas Sertifikat Key Vault, Petugas Kripto Key Vault, Pengguna Enkripsi Layanan Kripto Key Vault, Pengguna Kripto Key Vault, Pembaca Key Vault, Petugas Rahasia Key Vault, atau Peran Pengguna Rahasia Key Vault. Menggunakan kondisi ABAC untuk membatasi penetapan peran. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Menggunakan izin rahasia, kunci, dan sertifikat Azure RBAC dengan Key Vault
Model izin Azure RBAC yang baru untuk brankas rahasia menyediakan alternatif untuk model izin kebijakan akses brankas.
Prasyarat
Anda harus memiliki langganan Azure. Jika tidak, Anda dapat membuat akun gratis sebelum memulai.
Untuk menambahkan penetapan peran, Anda harus memiliki izin Microsoft.Authorization/roleAssignments/write dan Microsoft.Authorization/roleAssignments/delete, seperti Administrator Akses Data Key Vault (pratinjau), Administrator Akses Pengguna, atau Pemilik.