Configurare i criteri di controllo degli accessi in base al ruolo di Azure Key Vault

  • 3 minuti

È possibile concedere l'accesso ad Azure Key Vault usando il controllo degli accessi in base al ruolo o usando i criteri di accesso di Key Vault. Entrambi i metodi funzionano per proteggere segreti, certificati e chiavi. I criteri di accesso supportano un controllo leggermente più granulare, ma possono essere più difficili da gestire. Scegliere l'opzione migliore in base alle esigenze della postura di sicurezza.

Assegnare criteri di accesso a Key Vault

Un criterio di accesso di Key Vault determina se un utente, un'applicazione o un gruppo può eseguire operazioni su segreti, chiavi e certificati di Key Vault. È possibile assegnare i criteri di accesso usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell. Key Vault supporta fino a 1024 voci di criteri di accesso, con ogni voce che concede un set di autorizzazioni distinte a una particolare entità di sicurezza. A causa di questa limitazione, è consigliabile assegnare criteri di accesso a gruppi di utenti, laddove possibile, piuttosto che a singoli utenti. L'uso dei gruppi semplifica notevolmente la gestione delle autorizzazioni per più persone nell'organizzazione.

Screenshot of Key Vault access policy options that can be enabled and assigned.

  1. Aprire Key Vault nel portale di Azure.

  2. Selezionare l'insieme di credenziali delle chiavi o crearne uno nuovo.

  3. Selezionare Criteri di accesso dal menu e quindi selezionare + Aggiungi criterio di accesso.

  4. Usare la finestra di dialogo per assegnare l'autorizzazione specifica desiderata per l'entità servizio.

    Nota

    L'entità servizio rappresenta l'utente, il gruppo o l'applicazione a cui si sta assegnando il criterio.

  5. Selezionare Aggiungi per salvare e applicare i criteri di accesso.

È possibile completare questa attività usando un modello salvato, PowerShell, l'interfaccia della riga di comando e il portale di Azure.

Assegnare un accesso di Key Vault usando il controllo degli accessi in base al ruolo

Il controllo degli accessi in base al ruolo di Azure consente agli utenti di gestire le autorizzazioni per chiavi, segreti e certificati. Consente di gestire da un'unica posizione tutte le autorizzazioni in tutti gli insiemi di credenziali delle chiavi. Il modello di controllo degli accessi in base al ruolo di Azure consente di impostare le autorizzazioni su livelli di ambito diversi: gruppo di gestione, sottoscrizione, gruppo di risorse o singole risorse. Il controllo degli accessi in base al ruolo di Azure per l'insieme di credenziali delle chiavi consente anche di avere autorizzazioni separate per chiavi, segreti e certificati singoli. È consigliabile usare un insieme di credenziali per ogni applicazione per ogni ambiente (sviluppo, pre-produzione e produzione).

Sono necessarie due azioni per usare i ruoli per accedere ai dati all'interno di Key Vault.

  1. Abilitare il controllo degli accessi in base al ruolo nell'insieme di credenziali delle chiavi.

    Screenshot of the key vault access policies screen, with the allow role-based access control selected.

  2. Aprire Identità e accesso (IAM) dell'insieme di credenziali delle chiavi dal menu. Assegnare quindi il ruolo come è stato fatto in altri scenari, come l'identità gestita.

    Screenshot of the key vault management screen with the Identity and Access (IAM) screen open. Ready to assign a role.

Ruolo predefinito Descrizione
Amministratore di Key Vault Eseguire tutte le operazioni del piano dati su un insieme di credenziali delle chiavi e su tutti gli oggetti in esso contenuti, inclusi certificati, chiavi e segreti. Non può gestire le risorse dell'insieme di credenziali delle chiavi o gestire le assegnazioni di ruolo.
Responsabile dei certificati di Key Vault Eseguire qualsiasi azione sui certificati di un insieme di credenziali delle chiavi, ad eccezione della gestione delle autorizzazioni.
Responsabile della crittografia di Key Vault Eseguire qualsiasi azione sulle chiavi di un insieme di credenziali delle chiavi, ad eccezione della gestione delle autorizzazioni.
Utente di crittografia del servizio di crittografia di Key Vault Leggere i metadati delle chiavi ed eseguire operazioni di wrapping/annullamento del wrapping.
Utente della crittografia di Key Vault Eseguire operazioni crittografiche usando le chiavi.
Ruolo con autorizzazioni di lettura per Key Vault Leggere i metadati degli insiemi di credenziali delle chiavi e dei relativi certificati, chiavi e segreti. Non può leggere valori sensibili, ad esempio il contenuto dei segreti o il materiale delle chiavi.
Responsabile dei segreti di Key Vault Eseguire qualsiasi azione sui segreti di un insieme di credenziali delle chiavi, ad eccezione della gestione delle autorizzazioni.
Utente dei segreti di Key Vault Leggere il contenuto dei segreti.