Eseguire la migrazione dai criteri di accesso dell'insieme di credenziali a un modello di autorizzazione di controllo degli accessi in base al ruolo di Azure

Azure Key Vault offre due sistemi di autorizzazione: controllo degli accessi in base al ruolo di Azure e un modello di criteri di accesso. Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione predefinito e consigliato per Azure Key Vault. Per un confronto tra i due metodi di autorizzazione, vedere Controllo degli accessi in base al ruolo di Azure e criteri di accesso.

Questo articolo fornisce le informazioni necessarie per eseguire la migrazione di un insieme di credenziali delle chiavi da un modello di criteri di accesso a un modello di controllo degli accessi in base al ruolo (RBAC) di Azure.

Criteri di accesso al mapping dei ruoli di Azure

Il controllo degli accessi in base al ruolo di Azure include diversi ruoli predefiniti di Azure che è possibile assegnare a utenti, gruppi, entità servizio e identità gestite. Se i ruoli predefiniti non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati di Azure.

Ruoli predefiniti di Key Vault per chiavi, certificati e gestione degli accessi ai segreti:

• Amministratore di Key Vault
• Ruolo con autorizzazioni di lettura per Key Vault
• Operatore di eliminazione di Key Vault
• Responsabile dei certificati di Key Vault
• Utente di certificati di Key Vault
• Responsabile della crittografia di Key Vault
• Utente della crittografia di Key Vault
• Utente di crittografia del servizio di crittografia di Key Vault
• Utente del rilascio del servizio di crittografia di Key Vault
• Responsabile segreti Key Vault
• Utente dei segreti di Key Vault

Per altre informazioni sui ruoli predefiniti esistenti, vedere Ruoli predefiniti di Azure

I criteri di accesso all'insieme di credenziali possono essere assegnati con autorizzazioni selezionate singolarmente o con modelli di autorizzazione predefiniti.

Modelli di autorizzazione predefiniti dei criteri di accesso:

• Gestione di chiavi, segreti e certificati
• Gestione delle chiavi e dei segreti
• Gestione di segreti e certificati
• Gestione chiavi
• Gestione dei segreti
• Gestione dei certificati
• Connettore SQL Server
• Azure Data Lake Storage o Archiviazione di Azure
• Backup di Azure
• Chiave cliente di Exchange Online
• Chiave cliente di SharePoint Online
• Azure Information BYOK

Modelli dei criteri di accesso per il mapping dei ruoli di Azure

Modello dei criteri di accesso	Operazioni	Ruolo di Azure
Gestione di chiavi, segreti e certificati	Chiavi: tutte le operazioni Certificati: tutte le operazioni Segreti: tutte le operazioni	Amministratore di Key Vault
Gestione delle chiavi e dei segreti	Chiavi: tutte le operazioni Segreti: tutte le operazioni	Responsabile della crittografia di Key Vault Responsabile segreti Key Vault
Gestione di segreti e certificati	Certificati: tutte le operazioni Segreti: tutte le operazioni	Responsabile dei certificati di Key Vault Responsabile segreti Key Vault
Gestione chiavi	Chiavi: tutte le operazioni	Responsabile della crittografia di Key Vault
Gestione dei segreti	Segreti: tutte le operazioni	Responsabile segreti Key Vault
Gestione dei certificati	Certificati: tutte le operazioni	Responsabile dei certificati di Key Vault
Connettore SQL Server	Chiavi: get, list, wrap key, unwrap key	Utente di crittografia del servizio di crittografia di Key Vault
Azure Data Lake Storage o Archiviazione di Azure	Chiavi: get, list, unwrap key	N/D Ruolo personalizzato obbligatorio
Backup di Azure	Chiavi: get, list, backup Segreti: get, list, backup	N/D Ruolo personalizzato obbligatorio
Chiave cliente di Exchange Online	Chiavi: get, list, wrap key, unwrap key	Utente di crittografia del servizio di crittografia di Key Vault
Chiave cliente di Exchange Online	Chiavi: get, list, wrap key, unwrap key	Utente di crittografia del servizio di crittografia di Key Vault
Azure Information BYOK	Chiavi: get, decrypt, sign	N/D Ruolo personalizzato obbligatorio

Mapping degli ambiti delle assegnazioni

Il controllo degli accessi in base al ruolo di Azure per Key Vault consente l'assegnazione dei ruoli agli ambiti seguenti:

• Gruppo di gestione
• Abbonamento
• Gruppo di risorse
• Risorsa Key Vault
• Singole chiavi, segreti e certificati

Il modello di autorizzazione dei criteri di accesso all'insieme di credenziali è limitato all'assegnazione di criteri solo a livello di risorsa di Key Vault.

In generale, è consigliabile avere un insieme di credenziali delle chiavi per ogni applicazione e gestire l'accesso a livello di insieme di credenziali delle chiavi. Esistono scenari in cui la gestione dell'accesso in altri ambiti può semplificare la gestione degli accessi.

• Infrastruttura, amministratori della sicurezza e operatori: la gestione di gruppi di insiemi di chiavi a livello di gruppo di gestione, sottoscrizione o gruppo di risorse con criteri di accesso richiede la manutenzione delle politiche per ogni insieme di chiavi. Il controllo degli accessi in base al ruolo di Azure consente di creare un'assegnazione di ruolo nel gruppo di gestione, nella sottoscrizione o nel gruppo di risorse. Tale assegnazione verrà applicata a tutti i nuovi insiemi di credenziali delle chiavi creati nello stesso ambito. In questo scenario è consigliabile usare Privileged Identity Management con accesso JIT per fornire l'accesso permanente.

• Applicazioni: esistono scenari in cui l'applicazione deve condividere il segreto con altre applicazioni. Per evitare di concedere l'accesso a tutti i segreti, è necessario creare criteri di accesso all'insieme di credenziali delle chiavi separati. Il controllo degli accessi in base al ruolo di Azure consente di assegnare il ruolo con ambito per il singolo segreto usando invece un singolo insieme di credenziali delle chiavi.

Come eseguire la migrazione

Per eseguire la migrazione del tuo key vault a RBAC dai criteri di accesso, segui questi passaggi:

• Preparazione: assicurarsi di disporre delle autorizzazioni appropriate e di un inventario delle applicazioni.
• Inventario: documentare tutti i criteri di accesso e le autorizzazioni esistenti.
• Creare ruoli RBAC: assegnare ruoli RBAC appropriati a ogni entità di sicurezza.
• Abilitare RBAC: Passa al modello di autorizzazione RBAC per il key vault.
• Convalida: testare l'accesso per garantire che tutte le applicazioni e gli utenti mantengano l'accesso appropriato.
• Monitoraggio: configurare il monitoraggio e gli avvisi per i problemi di accesso.

Prerequisiti

Prima di avviare la migrazione, assicurarsi di disporre di:

1. Autorizzazioni necessarie: è necessario disporre delle seguenti autorizzazioni sul key vault:

   • Microsoft.Authorization/roleAssignments/write autorizzazione, inclusa nei ruoli Proprietario e Amministratore accesso utenti
   • Microsoft.KeyVault/vaults/write autorizzazione, inclusa nel ruolo di Collaboratore di Key Vault

   Nota

   I ruoli di amministratore della sottoscrizione classica (amministratore del servizio e Co-Administrator) non sono supportati.

2. Inventario di applicazioni e identità: elencare tutte le applicazioni, i servizi e gli utenti che accedono all'insieme di credenziali delle chiavi e documentare tutti i criteri di accesso correnti e le autorizzazioni concesse.

Inventario dei criteri di accesso correnti

Documentare tutti i criteri di accesso esistenti, notando le entità di sicurezza (utenti, gruppi, entità servizio) e le relative autorizzazioni.

Interfaccia della riga di comando di Azure

Usare il comando az keyvault show dell'interfaccia della riga di comando di Azure per recuperare i criteri di accesso:

# List all current access policies
az keyvault show --name <vault-name> --resource-group <resource-group-name> --query properties.accessPolicies

Azure PowerShell

Usare il cmdlet Get-AzKeyVault per recuperare i criteri di accesso:

# List all current access policies
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>"
$vault.AccessPolicies

Portale di Azure

Nel portale di Azure:

1. Passare a Key Vault
2. Selezionare Criteri di accesso in Impostazioni
3. Documentare tutti i criteri di accesso esistenti, notando:
   • Identità (utente, gruppo o entità servizio)
   • Autorizzazioni chiave, segreto e certificato concesse

Creare assegnazioni di ruolo RBAC equivalenti

Per ogni entità di sicurezza con un criterio di accesso, creare una o più assegnazioni di ruolo RBAC in base alla tabella di mapping sopra.

Interfaccia della riga di comando di Azure

Usare il comando az role assignment create per concedere i ruoli appropriati:

# Example for Key Vault Administrator role:
az role assignment create --role "Key Vault Administrator" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
az role assignment create --role "Key Vault Secrets Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
az role assignment create --role "Key Vault Crypto Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
az role assignment create --role "Key Vault Certificates Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Azure PowerShell

Usare il cmdlet New-AzRoleAssignment per concedere ruoli appropriati:

# Example for Key Vault Administrator role:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Administrator" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Certificates Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Portale di Azure

Nel portale di Azure:

1. Passare a Key Vault
2. Selezionare Controllo di accesso (IAM)
3. Fare clic su Aggiungi>Aggiungi assegnazione di ruolo
4. Selezionare il ruolo appropriato in base al mapping dei criteri di accesso
5. Cercare e selezionare l'utente, il gruppo o l'entità servizio
6. Fare clic su Rivedi e assegna per creare l'assegnazione di ruolo
7. Ripetere per ogni identità che necessita dell'accesso

Abilitare il modello di autorizzazione RBAC

Dopo aver creato tutte le assegnazioni di ruolo necessarie, passare la cassaforte per utilizzare il modello di autorizzazioni RBAC.

Interfaccia della riga di comando di Azure

Usare il comando az keyvault update per abilitare il controllo degli accessi in base al ruolo (RBAC):

# Switch the vault to RBAC permission model
az keyvault update --name <vault-name> --resource-group <resource-group-name> --enable-rbac-authorization true

Azure PowerShell

Usare il cmdlet Update-AzKeyVault per abilitare il controllo degli accessi in base al ruolo (RBAC):

# Switch the vault to RBAC permission model
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>"
Update-AzKeyVault -VaultName $vault.VaultName -ResourceGroupName $vault.ResourceGroupName -EnableRbacAuthorization $true

Portale di Azure

Nel portale di Azure:

1. Passare a Key Vault
2. Selezionare Proprietà in Impostazioni
3. Modificare il modello di autorizzazione in Controllo degli accessi in base al ruolo di Azure
4. Fare clic su Salva

Convalidare l'accesso

Testare l'accesso alla volta per assicurarsi che tutte le applicazioni e gli utenti possano continuare a eseguire le operazioni necessarie.

Interfaccia della riga di comando di Azure

Testare l'accesso con questi comandi:

# Try to list secrets to verify access
az keyvault secret list --vault-name <vault-name>

# Try to get a secret to verify access
az keyvault secret show --vault-name <vault-name> --name <secret-name>

Azure PowerShell

Testare l'accesso con questi cmdlet:

# Try to list secrets to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>"

# Try to get a secret to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>" -Name "<secret-name>"

Portale di Azure

Nel portale di Azure:

1. Provare ad accedere a segreti, chiavi o certificati in base ai ruoli assegnati
2. Verificare che le applicazioni che usano il caveau funzionino ancora correttamente

Configurare il monitoraggio e gli avvisi

Dopo la migrazione, configurare il monitoraggio appropriato per rilevare eventuali problemi di accesso:

Interfaccia della riga di comando di Azure

Utilizzare il comando az monitor diagnostic-settings create :

# Enable diagnostics logging for Key Vault
az monitor diagnostic-settings create --resource <vault-id> --name KeyVaultLogs --logs "[{\"category\":\"AuditEvent\",\"enabled\":true}]" --workspace <log-analytics-workspace-id>

Azure PowerShell

Usare il cmdlet Set-AzDiagnosticSetting :

# Get the vault resource ID
$vaultResourceId = (Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>").ResourceId

# Enable diagnostics logging for Key Vault
$logs = @()
$logs += New-AzDiagnosticSettingLogSettingsObject -Category "AuditEvent" -Enabled $true
Set-AzDiagnosticSetting -ResourceId $vaultResourceId -Name "KeyVaultLogs" -WorkspaceId "<log-analytics-workspace-id>" -Log $logs

Portale di Azure

Nel portale di Azure:

1. Passare a Key Vault
2. Selezionare Impostazioni di diagnostica in Monitoraggio
3. Fare clic su Aggiungi impostazione di diagnostica
4. Immettere un nome per l'impostazione , ad esempio "KeyVaultLogs"
5. In "Logs" (Log) controllare la categoria AuditEvent
6. Selezionare Invia all'area di lavoro Log Analytics come destinazione
7. Scegliere l'area di lavoro Log Analytics
8. Fare clic su Salva

Governance della migrazione con Criteri di Azure

Usando il servizio Criteri di Azure, è possibile gestire la migrazione del modello di autorizzazione di controllo degli accessi in base al ruolo tra gli insiemi di credenziali. È possibile creare una definizione di criteri personalizzata per controllare gli insiemi di credenziali delle chiavi esistenti e applicare tutti i nuovi insiemi di credenziali delle chiavi per usare il modello di autorizzazione controllo degli accessi in base al ruolo di Azure.

Creare e assegnare la definizione dei criteri per il modello di autorizzazione Controllo degli accessi in base al ruolo di Azure per Key Vault

1. Passare alla risorsa Criteri
2. Selezionare Assegnazioni sotto Authoring sul lato sinistro della pagina Criteri di Azure
3. Seleziona Assegna politica nella parte superiore della pagina
4. Immettere le informazioni seguenti:
   • Definire l'ambito dei criteri scegliendo la sottoscrizione e il gruppo di risorse
   • Selezionare la definizione dei criteri: "[Anteprima]: Azure Key Vault deve usare il modello di autorizzazione RBAC"
   • Definire l'effetto desiderato del criterio (Verifica, Nega o Disabilitato)
5. Completare il compito esaminandolo e creandolo

Una volta assegnato il criterio, il completamento dell'analisi può richiedere fino a 24 ore. Al termine dell'analisi, è possibile visualizzare i risultati di conformità nel dashboard di Criteri di Azure.

Criterio di accesso allo strumento di comparazione del controllo degli accessi in base al ruolo di Azure

Importante

Questo strumento viene creato e gestito dai membri della community Microsoft e senza supporto formale del Servizio di supporto tecnico clienti. Lo strumento viene fornito "nello stato in cui si trova" senza garanzia di alcun tipo.

Strumento PowerShell per confrontare le politiche di accesso di Key Vault con i ruoli RBAC assegnati per facilitare la migrazione delle politiche di accesso al modello di autorizzazione RBAC. Lo strumento prevede la verifica della integrità durante la migrazione dell'insieme di credenziali delle chiavi esistente al modello di autorizzazione controllo degli accessi in base al ruolo per garantire che i ruoli assegnati con le azioni dati sottostanti coprono i criteri di accesso esistenti.

Risoluzione dei problemi comuni

• Ritardo dell'assegnazione di ruolo: la propagazione delle assegnazioni di ruolo può richiedere alcuni minuti. Implementare la logica di ripetizione dei tentativi nelle applicazioni.
• Assegnazioni di ruolo perse dopo il ripristino: le assegnazioni di ruolo non vengono mantenute quando un vault viene recuperato dopo l'eliminazione temporanea. È necessario ricreare tutte le assegnazioni di ruolo dopo il ripristino.
• Errori di accesso negato: verificare che:
  • I ruoli corretti vengono assegnati nell'ambito corretto
  • L'entità servizio o l'identità gestita dispone delle autorizzazioni esatte necessarie
  • Le regole di accesso alla rete non bloccano la connessione
• Gli script hanno esito negativo dopo la migrazione: aggiornare tutti gli script che hanno usato i criteri di accesso per usare invece le assegnazioni di ruolo.

Altre informazioni

• Panoramica del Controllo RBAC di Azure
• Esercitazione su ruoli personalizzati
• Privileged Identity Management