Controllo degli accessi in base al ruolo di Azure a confronto con i criteri di accesso (legacy)
Importante
Quando si usa il modello di autorizzazione Criteri di accesso, un utente con ContributorKey Vault Contributor, o qualsiasi altro ruolo che include Microsoft.KeyVault/vaults/write le autorizzazioni per il piano di gestione dell'insieme di credenziali delle chiavi può concedere l'accesso al piano dati impostando un criterio di accesso di Key Vault. Per impedire l'accesso non autorizzato e la gestione degli insiemi di credenziali delle chiavi, delle chiavi, dei segreti e dei certificati, è essenziale limitare l'accesso del ruolo Collaboratore agli insiemi di credenziali delle chiavi nel modello di autorizzazione criteri di accesso. Per ridurre questo rischio, è consigliabile usare il modello di autorizzazione RBAC (Role-Based-Based Controllo di accesso), che limita la gestione delle autorizzazioni ai ruoli "Proprietario" e "Amministratore accesso utenti", consentendo una netta separazione tra operazioni di sicurezza e compiti amministrativi. Per altre informazioni, vedere La Guida al controllo degli accessi in base al ruolo di Key Vault e Informazioni sul controllo degli accessi in base al ruolo di Azure.
Azure Key Vault offre due sistemi di autorizzazione: il controllo degli accessi in base al ruolo di Azure, che opera sul piano di controllo e sul piano dati di Azure e il modello dei criteri di accesso, che opera solo sul piano dati.
Il controllo degli accessi in base al ruolo di Azure si basa su Azure Resource Manager e offre una gestione centralizzata degli accessi delle risorse di Azure. Con il controllo degli accessi in base al ruolo di Azure si controlla l'accesso alle risorse creando assegnazioni di ruolo, costituite da tre elementi: un'entità di sicurezza, una definizione del ruolo (set predefinito di autorizzazioni) e un ambito (gruppo di risorse o singola risorsa).
Il modello dei criteri di accesso è un sistema di autorizzazione legacy, nativo di Key Vault, che fornisce l'accesso a chiavi, segreti e certificati. È possibile controllare l'accesso assegnando singole autorizzazioni alle entità di sicurezza (utenti, gruppi, entità servizio e identità gestite) nell'ambito di Key Vault.
Raccomandazione per il controllo degli accessi per il piano dati
Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione consigliato per il piano dati di Azure Key Vault. Offre diversi vantaggi rispetto ai criteri di accesso di Key Vault:
- Il controllo degli accessi in base al ruolo di Azure fornisce un modello di controllo degli accessi unificato per le risorse di Azure, ovvero le stesse API vengono usate in tutti i servizi di Azure.
- La gestione degli accessi è centralizzata, offrendo agli amministratori un quadro coerente dell'accesso concesso alle risorse di Azure.
- Il diritto di concedere l'accesso a chiavi, segreti e certificati è controllato meglio, essendo richiesta l'appartenenza al ruolo Proprietario o Amministratore Accesso utenti.
- Il controllo degli accessi in base al ruolo di Azure è integrato con Privileged Identity Management, assicurando che i diritti di accesso con privilegi siano limitati nel tempo e scadano automaticamente.
- L'accesso delle entità di sicurezza può essere escluso in determinati ambiti tramite l'uso di assegnazioni di rifiuto.
Per eseguire la transizione del controllo di accesso del piano dati di Key Vault dai criteri di accesso al controllo degli accessi in base al ruolo, vedere Eseguire la migrazione dai criteri di accesso dell'insieme di credenziali a un modello di autorizzazione di controllo degli accessi in base al ruolo di Azure.