Prepararsi per la versione 2026-02-01 e successive delle API di Key Vault: Azure RBAC come metodo predefinito di controllo degli accessi

L'API Azure Key Vault versione 2026-02-01 e successive modifica il modello di controllo di accesso predefinito per i nuovi insiemi di credenziali in Controllo degli accessi in base al ruolo di Azure RBAC, in modo coerente con l'esperienza del portale di Azure. Sia il Controllo degli accessi in base al ruolo di Azure che i criteri di accesso restano completamente supportati. L'API versione 2026-02-01 è disponibile nelle aree di Azure pubbliche, Mooncake e Fairfax.

• Nuovo comportamento di creazione del Key Vault: quando si crea un nuovo Key Vault con la versione API 2026-02-01 o successiva, il modello di controllo di accesso predefinito è Azure RBAC (enableRbacAuthorization = true). Questa impostazione predefinita si applica solo alle operazioni di creazione . Per usare i criteri di accesso per i nuovi vani, impostare enableRbacAuthorization su false in fase di creazione.
• Comportamento degli insiemi di chiavi esistenti: Gli insiemi di chiavi esistenti mantengono il modello di controllo di accesso corrente, a meno che non si modifichi enableRbacAuthorization in modo esplicito. L'uso della versione 2026-02-01 dell'API o versione successiva per aggiornare un vault non modifica automaticamente il controllo di accesso. Gli archivi in cui enableRbacAuthorization è null (da versioni precedenti dell'API) continuano a utilizzare le politiche di accesso.

Importante

Tutte le versioni delle API del piano di controllo di Key Vault prima del 2026-02-01 saranno ritirate il 27 febbraio 2027. Adottare l'API versione 2026-02-01 o successiva prima di questa data. Le API del piano dati non sono interessate.

Le versioni dell'API di anteprima (ad eccezione della versione 2026-04-01-preview) sono deprecate con un periodo di preavviso di 90 giorni.

Si noti che Azure Cloud Shell usa sempre la versione più recente dell'API. Se sono presenti script eseguiti in Cloud Shell, assicurarsi che siano compatibili con l'API versione 2026-02-01 o successiva.

Gli SDK di gestione del piano di controllo che supportano l'API versione 2026-02-01 sono disponibili per tutte le lingue. Per informazioni dettagliate sul pacchetto, vedere Novità di Azure Key Vault.

È consigliabile eseguire la migrazione degli insiemi di credenziali che attualmente usano i criteri di accesso (legacy) al Controllo degli accessi in base al ruolo di Azure per migliorare la sicurezza. Per ulteriori informazioni sui motivi per cui si consiglia Azure controllo degli accessi in base al ruolo (Azure RBAC), vedere Azure controllo degli accessi in base al ruolo (Azure RBAC) rispetto ai criteri di accesso.

Cosa devi fare

Se si conosce già il modello di controllo di accesso del vault, passare a determinare i passaggi successivi. In caso contrario, controllare prima la configurazione corrente .

Importante

Per modificare la proprietà enableRbacAuthorization per un archivio chiavi, è necessario disporre del permesso Microsoft.Authorization/roleAssignments/write. Questa autorizzazione è inclusa nei ruoli come Proprietario e Amministratore accesso utenti. Per ulteriori informazioni, vedere Abilitare le autorizzazioni RBAC di Azure su Key Vault.

Controllare la configurazione corrente

Controllare se la configurazione di accesso all'insieme di credenziali delle chiavi è impostata sul controllo degli accessi in base al ruolo di Azure o su criteri di accesso. Controllare questa configurazione tramite i comandi di Azure CLI o PowerShell.

Dopo aver controllato la configurazione:

• Se gli insiemi di credenziali usano il Controllo degli accessi in base al ruolo di Azure (enableRbacAuthorization = true), andare a Insiemi di credenziali che usano il Controllo degli accessi in base al ruolo.
• Se gli archivi usano criteri di accesso (legacy) (enableRbacAuthorization = false o null), passare a Archivi usando i criteri di accesso.

Controllare un singolo insieme di credenziali

Interfaccia della riga di comando di Azure

1. Usare il comando az keyvault show per recuperare i dettagli del key vault:

   az keyvault show --name <KeyVaultName> --resource-group <ResourceGroupName>
   

2. Controllare la proprietà Enabled for RBAC Authorization (enableRbacAuthorization) per il Key Vault.

PowerShell

1. Usare il cmdlet Get-AzKeyVault per ottenere dettagli del vault:

   Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   

2. Controllare la proprietà Enabled for RBAC Authorization (enableRbacAuthorization) per il Key Vault.

Controllare più insiemi di credenziali per gruppo di risorse

Interfaccia della riga di comando di Azure

Usare il comando az keyvault list per elencare tutti i Key Vault in un gruppo di risorse e controllare lo stato di autorizzazione RBAC:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <ResourceGroupName> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Creare la funzione seguente in PowerShell:

   function Get-KeyVaultsFromResourceGroup {
       # Get all key vaults in the specified resource group (basic information)
       $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Assegnare al gruppo di risorse il nome per cui si vuole eseguire la funzione:

   $resourceGroupName = "<ResourceGroupName>"
   

3. Chiamare la funzione Get-KeyVaultsFromResourceGroup per vedere per quali insiemi di credenziali nel gruppo di risorse del passaggio 2 sono abilitati i criteri di accesso e per quali è abilitato il controllo degli accessi in base al ruolo di Azure.

Controllare più insiemi di credenziali per ID sottoscrizione

Interfaccia della riga di comando di Azure

Usare il comando az keyvault list per elencare tutti i vault nella sottoscrizione e controllare il loro stato di autorizzazione RBAC:

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Creare la funzione seguente in PowerShell:

   function Get-KeyVaultsFromSubscription {
       # Get all key vaults in the subscription (basic information)
       $keyVaults = Get-AzKeyVault
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
           $resourceGroupName = $keyVault.ResourceGroupName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Chiamare la funzione Get-KeyVaultsFromSubscription per vedere per quali insiemi di credenziali nella sottoscrizione sono abilitati i criteri di accesso rispetto al controllo degli accessi in base al ruolo di Azure. A seconda del numero di insiemi di credenziali nella sottoscrizione, l'esecuzione della funzione potrebbe richiedere più di 10 minuti.

Determinare i passaggi successivi

In base al modello di controllo di accesso corrente, seguire le indicazioni appropriate riportate di seguito.

Insiemi di credenziali che usano il Controllo degli accessi in base al ruolo di Azure

Se gli insiemi di credenziali di chiavi usano già Azure RBAC, non sono necessarie modifiche al controllo di accesso. Tuttavia, è necessario aggiornare tutti i modelli Key Vault ARM, BICEP, Terraform e le chiamate REST API per usare la versione API 2026-02-01 o successiva prima del 27 febbraio 2027, quando le versioni precedenti dell'API saranno ritirate.

Insiemi di credenziali che usano i criteri di accesso

Se i Key Vault usano criteri di accesso (legacy) (enableRbacAuthorization = false o null), decidere se si desidera migrare all'accesso basato sui ruoli (scelta consigliata) o continuare a usare i criteri di accesso. Per altre informazioni sui modelli di controllo di accesso, vedere Use Azure RBAC for managing access to Key Vault and Azure Key Vault best practices.

Scegliere il percorso:

• Controllo degli accessi in base al ruolo di Azure (scelta consigliata): Migra a Azure Role-Based Access Control per aumentare la sicurezza.
• Criteri di accesso (legacy):continuare a usare i criteri di accesso impostando su enableRbacAuthorizationfalse quando si creano nuovi insiemi di credenziali.

Eseguire la migrazione al controllo degli accessi basato sui ruoli di Azure (scelta consigliata)

Usare questa opportunità per migliorare la postura di sicurezza eseguendo la migrazione dai criteri di accesso dell'insieme di credenziali al Controllo degli accessi in base al ruolo di Azure. Per indicazioni dettagliate sulla migrazione, vedere Migrare dalla policy di accesso del vault a un modello di controllo degli accessi basato su ruoli di Azure.

Dopo la migrazione, aggiornare tutte le chiamate a Key Vault ARM, BICEP, Terraform e API REST per usare la versione dell'API 2026-02-01 o successiva.

Continuare a usare i criteri di accesso

I criteri di accesso rimangono un modello di controllo di accesso completamente supportato.

• Cassaforti esistenti: le cassaforti che già utilizzano i criteri di accesso continuano a funzionare senza modifiche. Assicurati di usare la versione API 2026-02-01 o successiva per le chiamate ARM, BICEP, Terraform e API REST, prima del 27 febbraio 2027.
• Nuovi insiemi di credenziali: quando si creano nuovi insiemi di credenziali con l'API versione 2026-02-01 o successiva, è necessario impostare enableRbacAuthorization in modo esplicito su false per usare i criteri di accesso, come descritto di seguito.

Scegliere uno dei metodi seguenti in base allo scenario:

• Uso di ARM, BICEP, modelli Terraform
• Utilizzo dei comandi Crea Key Vault
• Uso dei comandi Crea risorsa

Uso di ARM, BICEP, modelli Terraform

Quando si creano nuovi insiemi di credenziali della chiavi utilizzando l'API versione 2026-02-01 o successiva, impostare enableRbacAuthorization su false in tutti i modelli di Azure Resource Manager per Key Vault, BICEP e Terraform e chiamare l'API REST per utilizzare i criteri di accesso (legacy).

Utilizzo dei comandi Create Key Vault

Quando si creano nuovi insiemi di credenziali delle chiavi con l'API versione 2026-02-01 o successiva, è necessario specificare la configurazione dei criteri di accesso per evitare di usare automaticamente il Controllo degli accessi in base al ruolo di Azure.

Assicurarsi di avere la versione più recente dei moduli Azure CLI o PowerShell.

Interfaccia della riga di comando di Azure

Aggiornare Azure CLI alla versione più recente. Per altre informazioni, vedere Come aggiornare il Azure CLI.

PowerShell

Aggiornare i moduli di PowerShell alla versione più recente:

• Update-Module (PowerShellGet)
• Update-AzModule (Az.Tools.Installer)

Usare il comando appropriato per creare un Key Vault con criteri di controllo degli accessi:

Interfaccia della riga di comando di Azure

Usare il comando az keyvault create e impostare --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

PowerShell

Usare il cmdlet New-AzKeyVault e impostare -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Uso dei comandi Crea risorsa

Quando si creano nuovi insiemi di chiavi usando l'API versione 2026-02-01 o successiva, impostare enableRbacAuthorization su false per usare i criteri di accesso (legacy). Se non si specifica questa proprietà, l'impostazione predefinita è true (Controllo degli accessi in base al ruolo di Azure).

Interfaccia della riga di comando di Azure

Usare il comando az resource create e impostare "enableRbacAuthorization": false e --api-version "2026-02-01":

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

PowerShell

Usare il cmdlet New-AzResource e impostare enableRbacAuthorization = $false e -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Passaggi successivi

• Confronto tra il controllo degli accessi basato sui ruoli di Azure (Azure RBAC) e le politiche di accesso
• Eseguire la migrazione dai criteri di accesso dell'insieme di credenziali a un modello di autorizzazione di controllo degli accessi in base al ruolo di Azure
• Usare il Controllo degli accessi in base al ruolo di Azure per la gestione dell'accesso a Key Vault
• Proteggi il tuo archivio delle chiavi
• Informazioni di riferimento API REST di Azure Key Vault