Assegnare una policy di accesso per il Key Vault (legacy)

Warning

Per una maggiore sicurezza, usare il modello di autorizzazione Role-Based Controllo di accesso (RBAC anziché i criteri di accesso quando si gestiscono Azure Key Vault. RBAC limita la gestione delle autorizzazioni solo ai ruoli di "Proprietario" e "Amministratore dell'accesso utente", garantendo una netta separazione tra le attività di sicurezza e amministrative. Per altre informazioni vedere Che cos'è RBAC di Azure? e Guida a RBAC di Key Vault.

Con il modello di autorizzazione Access Policy, gli utenti con autorizzazioni Contributor, Key Vault Contributor, o qualsiasi ruolo che includa autorizzazioni Microsoft.KeyVault/vaults/write possono concedersi l'accesso al piano dati configurando un criterio di accesso di Key Vault. Ciò può comportare l'accesso e la gestione non autorizzati degli insiemi di credenziali delle chiavi, dei segreti e dei certificati. Per ridurre questo rischio, limitare l'accesso del ruolo Collaboratore all'insieme di credenziali delle chiavi quando si usa il modello del criterio di accesso.

Importante

I criteri di accesso sono un modello di autorizzazione legacy per Azure Key Vault. Per le nuove distribuzioni, usare invece Azure controllo degli accessi in base al ruolo. Vedi Fornire l'accesso a chiavi, certificati e segreti di Key Vault con il controllo degli accessi in base al ruolo di Azure e Proteggi il tuo Azure Key Vault.

Un criterio di accesso Key Vault determina se una determinata entità di sicurezza, ovvero un utente, un'applicazione o un gruppo di utenti, può eseguire operazioni diverse su Key Vault secrets, keys e certificates. È possibile assegnare criteri di accesso usando il portale di Azure, il interfaccia della riga di comando di Azure o Azure PowerShell.

Key Vault supporta fino a 1024 voci di criteri di accesso, con ogni voce che concede un set di autorizzazioni distinte a una particolare entità di sicurezza. A causa di questa limitazione, è consigliabile assegnare criteri di accesso a gruppi di utenti, laddove possibile, piuttosto che a singoli utenti. L'uso dei gruppi semplifica notevolmente la gestione delle autorizzazioni per più persone nell'organizzazione. Per altre informazioni, vedere Gestire l'accesso alle app e alle risorse usando i gruppi di Microsoft Entra.

Azure

Assegnare un criterio di accesso

1. Nel portale Azure passare alla risorsa Key Vault.

2. Selezionare Criteri di accesso e quindi selezionare Crea:

   

3. Selezionare le autorizzazioni desiderate in Autorizzazioni delle chiavi, Autorizzazioni dei segreti e Autorizzazioni del certificato.

   

4. Nel riquadro di selezione Principale, immettere il nome dell'utente, dell'app o del principale del servizio nel campo di ricerca e selezionare il risultato appropriato.

   

   Se si usa un'identità gestita per l'app, cercare e selezionare il nome dell'app stessa. Per altre informazioni sulle entità di sicurezza vedere Autenticazione tramite Key Vault.

5. Esaminare le modifiche al criterio di accesso e selezionare Crea per salvarlo.

   

6. Tornando alla pagina Criteri di accesso, verificare che il criterio di accesso sia elencato.

   

interfaccia della riga di comando di Azure

Per altre informazioni sulla creazione di gruppi in Microsoft Entra ID usando il interfaccia della riga di comando di Azure, vedere az ad group create and az ad group member add.

Configurare il interfaccia della riga di comando di Azure e accedere

1. Per eseguire i comandi interfaccia della riga di comando di Azure in locale, installare il interfaccia della riga di comando di Azure.

   Per eseguire i comandi direttamente nel cloud, usare il Azure Cloud Shell.

2. Solo CLI locale: accedere ad Azure usando az login:

   az login
   

   Il comando az login apre una finestra del browser per raccogliere le credenziali, se necessario.

Acquisire l'ID dell'oggetto

Determinare l'ID oggetto dell'applicazione, del gruppo o dell'utente a cui assegnare il criterio di accesso:

• Applicazioni e altre entità servizio: usare il comando az ad sp list per recuperare le entità servizio. Esaminare l'output del comando per determinare l'ID oggetto dell'entità di sicurezza a cui assegnare la politica di accesso.

  az ad sp list --show-mine
  

• Gruppi: usare il comando az ad group list, filtrando i risultati con il parametro --display-name:

  az ad group list --display-name <search-string>
  

• Utenti: usare il comando az ad user show, passando l'indirizzo e-mail dell'utente nel parametro --id:

  az ad user show --id <email-address-of-user>
  

Assegnare il criterio di accesso

Usare il comando az keyvault set-policy per assegnare le autorizzazioni desiderate:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Sostituire <object-id> con l'ID oggetto dell'entità di sicurezza.

Quando si assegnano autorizzazioni a questi tipi specifici, è necessario includere solo --secret-permissions, --key-permissions e --certificate-permissions. I valori consentiti per <secret-permissions>, <key-permissions>e <certificate-permissions> sono indicati nella documentazione di az keyvault set-policy.

Azure PowerShell

Per altre informazioni sulla creazione di gruppi in Microsoft Entra ID tramite Azure PowerShell, vedere New-AzADGroup e Add-AzADGroupMember.

Configurare PowerShell e accedere

1. Per eseguire i comandi in locale, installare Azure PowerShell se non è già stato fatto.

   Per eseguire i comandi direttamente nel cloud, usare il Azure Cloud Shell.

2. PowerShell locale soltanto:

   1. Installare il modulo Microsoft Entra ID PowerShell.

   2. Accedere a Azure:

      Connect-AzAccount
      

Acquisire l'ID dell'oggetto

Determinare l'ID oggetto dell'applicazione, del gruppo o dell'utente a cui assegnare il criterio di accesso:

• Applicazioni e altre entità servizio: usare il cmdlet Get-AzADServicePrincipal con il parametro -SearchString per filtrare i risultati in base al nome dell'entità servizio desiderata:

  Get-AzADServicePrincipal -SearchString "<search-string>"
  

• Gruppi: usare il cmdlet Get-AzADGroup con il parametro -SearchString per filtrare i risultati in base al nome del gruppo desiderato:

  Get-AzADGroup -SearchString "<search-string>"
  

  Nell'output, l'oggetto ID è elencato come Id.

• Utenti: usare il cmdlet Get-AzADUser, passando l'indirizzo e-mail dell'utente al parametro -UserPrincipalName.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  Nell'output, l'oggetto ID è elencato come Id.

Assegnare il criterio di accesso

Usare il cmdlet Set-AzKeyVaultAccessPolicy per assegnare il criterio di accesso:

Set-AzKeyVaultAccessPolicy -VaultName "<vault-name>" -ObjectId "<object-id>" -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions>    

Quando si assegnano autorizzazioni a questi tipi specifici, è necessario includere solo -PermissionsToSecrets, -PermissionsToKeys e -PermissionsToCertificates. I valori consentiti per <secret-permissions>, <key-permissions>e <certificate-permissions> sono indicati nella documentazione di Set-AzKeyVaultAccessPolicy in Parametri.

Passaggi successivi

• sicurezza di Azure Key Vault
• guida per sviluppatori Azure Key Vault