重要
アクセス ポリシーの権限モデルを使用する場合、Contributor、Key Vault Contributor、または、キー コンテナー管理プレーンの Microsoft.KeyVault/vaults/write 権限を含むその他のロールを持つユーザーは、キー コンテナー アクセス ポリシーを設定することで、自分自身にデータ プレーン アクセスを付与できます。 キー コンテナー、キー、シークレット、証明書への不正なアクセスと管理を防ぐには、アクセス ポリシーの権限モデルで、投稿者ロールのアクセスをキー コンテナーに制限することが不可欠です。 このリスクを軽減するには、 Role-Based アクセス制御 (RBAC) アクセス許可モデルを使用することをお勧めします。これにより、アクセス許可の管理が "所有者" ロールと "ユーザー アクセス管理者" ロールに制限され、セキュリティ操作と管理業務が明確に分離されます。 詳細については、「 Key Vault RBAC ガイド 」と 「Azure RBAC とは」 を参照してください。
Azure Key Vault には、Azure の制御プレーンとデータ プレーンで動作する Azure ロールベースのアクセス制御 (Azure RBAC) と、データ プレーンのみで動作するアクセス ポリシー モデルの 2 つの承認システムが用意されています。
Azure RBAC は Azure Resource Manager 上に構築され、Azure リソースの一元的なアクセス管理を提供します。 Azure RBAC では、ロールの割り当てを作成することによって、リソースへのアクセスを制御します。これには、セキュリティ プリンシパル、ロールの定義 (定義済みの一連のアクセス許可)、スコープ (リソースのグループまたは個々のリソース) の 3 つの要素が含まれます。
アクセス ポリシー モデルは、キー、シークレット、証明書へのアクセスを提供する、Key Vault ネイティブのレガシ認可システムです。 Key Vault スコープで、セキュリティ プリンシパル (ユーザー、グループ、サービス プリンシパル、マネージド ID) に個々のアクセス許可を割り当てることにより、アクセスを制御できます。
データ プレーン アクセス制御のレコメンデーション
Azure Key Vault データ プレーンにお勧めの認可システムは、Azure RBAC です。 Key Vault アクセス ポリシーと比べていくつかの長所があります。
- Azure RBAC には、Azure リソースの統合アクセス制御モデルが用意されており、すべての Azure サービスで同じ API が使われます。
- アクセス管理は一元化され、管理者は Azure リソースに付与されたアクセスの一貫したビューが用意されています。
- キー、シークレット、証明書へのアクセス権を付与する権限は、より適切に制御されており、所有者またはユーザー アクセス管理者ロールのメンバーシップが必要です。
- Azure RBAC は Privileged Identity Management と統合され、特権アクセス権が制限され、自動的に期限切れになります。
- セキュリティ プリンシパルのアクセスは、 拒否割り当てを使用して、特定のスコープで除外できます。
Key Vault データ プレーンのアクセス制御をアクセス ポリシーから RBAC に移行するには、「 コンテナー アクセス ポリシーから Azure ロールベースのアクセス制御アクセス許可モデルへの移行」を参照してください。