Azure ロールベースのアクセス制御 (Azure RBAC) とアクセス ポリシーの比較 (レガシ)
Azure Key Vault には 2 つの認可システムが用意されています。Azure の管理およびデータ プレーンで動作する Azure ロールベースのアクセス制御 (Azure RBAC) と、データ プレーンでのみ動作するアクセス ポリシー モデルです。
Azure RBAC は Azure Resource Manager の上に構築されており、Azure リソースのアクセスを一元的に管理できます。 Azure RBAC では、ロールの割り当てを作成することによって、リソースへのアクセスを制御します。これには、セキュリティ プリンシパル、ロールの定義 (定義済みの一連のアクセス許可)、スコープ (リソースのグループまたは個々のリソース) の 3 つの要素が含まれます。
アクセス ポリシー モデルは、キー、シークレット、証明書へのアクセスを提供する、Key Vault ネイティブのレガシ認可システムです。 Key Vault スコープで、セキュリティ プリンシパル (ユーザー、グループ、サービス プリンシパル、マネージド ID) に個々のアクセス許可を割り当てることにより、アクセスを制御できます。
データ プレーン アクセス制御のレコメンデーション
Azure Key Vault データ プレーンにお勧めの認可システムは、Azure RBAC です。 Key Vault アクセス ポリシーと比べていくつかの長所があります。
- Azure RBAC には、Azure リソースの統合アクセス制御モデルが用意されており、すべての Azure サービスで同じ API が使われます。
- アクセス管理は一元化され、管理者は Azure リソースに付与されたアクセスの一貫したビューが用意されています。
- キー、シークレット、証明書へのアクセス権を付与する権限は、より適切に制御されており、所有者またはユーザー アクセス管理者ロールのメンバーシップが必要です。
- Azure RBAC は Privileged Identity Management と統合されているため、特権付きアクセス権には時間制限があり、自動的に期限切れになります。
- [拒否の割り当て] を使うことで、指定したスコープでセキュリティ プリンシパルのアクセスを除外できます。
Key Vault データ プレーン アクセス制御を、アクセス ポリシーから RBAC に移行するには、「コンテナー アクセス ポリシーから Azure ロールベースのアクセス制御のアクセス許可モデルへの移行」をご覧ください。