Voorbereiden op Key Vault API-versie 2026-02-01 en hoger: Azure RBAC als standaardtoegangsbeheer

Azure Key Vault API-versie 2026-02-01 en later verandert het standaardmodel voor toegangsbeheer voor nieuwe kluizen naar Azure RBAC, in overeenstemming met de ervaring in de Azure-portal. Zowel Azure RBAC- als toegangsbeleid blijft volledig ondersteund. API-versie 2026-02-01 is beschikbaar in openbare Azure-regio's, Mooncake en Fairfax.

Nieuw gedrag voor het maken van een sleutelkluis: wanneer u een nieuwe kluis maakt met API-versie 2026-02-01 of hoger, wordt het standaardmodel voor toegangsbeheer Azure RBAC (enableRbacAuthorization = true). Deze standaardwaarde geldt alleen voor het maken van bewerkingen. Als u toegangsbeleid wilt gebruiken voor nieuwe kluizen, stelt u het enableRbacAuthorization in op false bij aanmaaktijd.
Bestaand gedrag van de sleutelkluis: bestaande kluizen behouden hun huidige model voor toegangsbeheer, tenzij u expliciet wijzigt enableRbacAuthorization. Als u een API-versie 2026-02-01 of hoger gebruikt om een kluis bij te werken, wordt het toegangsbeheer niet automatisch gewijzigd. Kluizen waar enableRbacAuthorizationnull zich bevinden (van oudere API-versies) blijven een toegangsbeleid gebruiken.

Belangrijk

Alle Key Vault Api-versies van Control Plane vóór 2026-02-01 worden buiten gebruik gesteld op 27 februari 2027. Pas vóór deze datum API-versie 2026-02-01 of hoger aan. Gegevensvlak-API's worden niet beïnvloed.

Preview-API-versies (met uitzondering van 2026-04-01-preview) worden afgeschaft met een kennisgevingsperiode van 90 dagen.

Houd er rekening mee dat Azure Cloud Shell altijd de nieuwste API-versie gebruikt. Als u scripts hebt die worden uitgevoerd in Cloud Shell, controleert u of deze compatibel zijn met API-versie 2026-02-01 of hoger.

Beheer-SDK's voor besturingsvlakken die API-versie 2026-02-01 ondersteunen, zijn beschikbaar voor alle talen. Zie Wat is er nieuw voor Azure Key Vault voor pakketdetails.

We raden u aan sleutelkluizen die momenteel gebruikmaken van toegangsbeleid (verouderd) te migreren naar Azure RBAC voor een betere beveiliging. Zie voor meer informatie over waarom Azure RBAC wordt aanbevolen Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) versus toegangsbeleid.

Wat u moet doen

Als u het toegangsbeheermodel van uw kluis al kent, gaat u verder met de volgende stappen. Anders controleert u eerst de huidige configuratie .

Belangrijk

Als u de enableRbacAuthorization eigenschap voor een sleutelkluis wilt wijzigen, moet u over de Microsoft.Authorization/roleAssignments/write machtiging beschikken. Deze machtiging is opgenomen in rollen zoals Eigenaar en Beheerder voor gebruikerstoegang. Zie voor meer informatie Enable Azure RBAC-machtigingen voor Key Vault.

Uw huidige configuratie controleren

Controleer of de toegangsconfiguratie van uw kluis is ingesteld op Azure RBAC- of toegangsbeleid. Controleer deze configuratie via de Azure CLI- of PowerShell-opdrachten.

Na het controleren van uw configuratie:

Als uw kluizen gebruikmaken van Azure RBAC (enableRbacAuthorization = true), gaat u naar Vaults met Azure RBAC.
Als uw kluizen toegangsbeleid (verouderd) (enableRbacAuthorization = false of null) gebruiken, ga naar kluizen die gebruikmaken van toegangsbeleid.

Gebruik de opdracht az keyvault show om kluisdetails op te halen:

az keyvault show --name <vault-name> --resource-group <resource-group>

Controleer de eigenschap Ingeschakeld voor RBAC-autorisatie (enableRbacAuthorization) voor de sleutelkluis.

Gebruik de cmdlet Get-AzKeyVault om kluisdetails op te halen:

Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

Controleer de eigenschap Ingeschakeld voor RBAC-autorisatie (enableRbacAuthorization) voor de sleutelkluis.

Meerdere kluizen per resourcegroep controleren

Azure CLI
PowerShell

Gebruik de opdracht az keyvault list om alle kluizen in een resourcegroep weer te geven en de RBAC-autorisatiestatus te controleren:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Maak de volgende functie in PowerShell:

function Get-KeyVaultsFromResourceGroup {
    # Get all key vaults in the specified resource group (basic information)
    $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Noem de resourcegroep waarvoor u de functie wilt uitvoeren:
```
$resourceGroupName = "<resource-group>"
```
Roep de functie Get-KeyVaultsFromResourceGroup aan om te zien welke kluizen in de resourcegroep uit stap 2 een toegangsbeleid hebben en welke Azure RBAC ingeschakeld hebben.

Meerdere vaults controleren per abonnements-id

Azure CLI
PowerShell

Gebruik de opdracht az keyvault list om alle kluizen in uw abonnement weer te geven en hun RBAC-autorisatiestatus te controleren:

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Maak de volgende functie in PowerShell:

function Get-KeyVaultsFromSubscription {
    # Get all key vaults in the subscription (basic information)
    $keyVaults = Get-AzKeyVault

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName
        $resourceGroupName = $keyVault.ResourceGroupName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Roep de functie Get-KeyVaultsFromSubscription aan om te zien welke kluizen in het abonnement toegangsbeleid hebben in vergelijking met kluizen waarbij Azure RBAC is ingeschakeld. Afhankelijk van het aantal kluizen in uw abonnement kan het langer dan tien minuten duren voordat de functie wordt uitgevoerd.

De volgende stappen bepalen

Volg de onderstaande richtlijnen op basis van uw huidige model voor toegangsbeheer.

Kluizen met Azure RBAC

Als uw sleutelkluizen al gebruikmaken van Azure RBAC, zijn er geen wijzigingen in toegangsbeheer nodig. U moet echter alle Key Vault ARM-, BICEP-, Terraform-sjablonen en REST-API aanroepen voor het gebruik van API-versie 2026-02-01 of hoger vóór 27 februari 2027 bijwerken wanneer oudere API-versies buiten gebruik worden gesteld.

Kluizen waarbij gebruik wordt gemaakt van toegangsbeleid

Als uw sleutelkluizen toegangsbeleid (verouderd) (enableRbacAuthorization = false of null) gebruiken, moet u beslissen of u wilt migreren naar op rollen gebaseerde toegang (aanbevolen) of toegangsbeleid wilt blijven gebruiken. Zie Gebruik Azure RBAC voor het beheren van toegang tot Key Vault en Azure Key Vault best practices voor meer informatie over toegangsbeheermodellen.

Kies uw pad:

Azure RBAC (aanbevolen): Migrate to Azure RBAC voor een betere beveiliging.
Toegangsbeleid (verouderd): Blijf toegangsbeleid gebruiken door enableRbacAuthorization op false in te stellen bij het maken van nieuwe kluizen.

Migreren naar Azure RBAC (aanbevolen)

Gebruik deze mogelijkheid om uw beveiligingspostuur te verhogen door te migreren van kluistoegangsbeleid naar Azure RBAC. Zie Migratie van kluis-toegangsbeleid naar een Azure rol-gebaseerd toegangscontrole permissiemodel voor gedetailleerde migratierichtlijnen.

Werk na de migratie alle Key Vault ARM-, BICEP-, Terraform-sjablonen en REST API-aanroepen bij om API-versie 2026-02-01 of hoger te gebruiken.

Toegangsbeleid blijven gebruiken

Toegangsbeleid blijft een volledig ondersteund model voor toegangsbeheer.

Bestaande kluizen: kluizen die al gebruikmaken van toegangsbeleid, blijven werken zonder wijzigingen. Zorg ervoor dat uw ARM-, BICEP-, Terraform-sjablonen en REST API-aanroepen API-versie 2026-02-01 of hoger vóór 27 februari 2027 gebruiken.
Nieuwe kluizen: Wanneer u nieuwe kluizen maakt met API-versie 2026-02-01 of hoger, moet u expliciet enableRbacAuthorization instellen op false om toegangsbeleid te gebruiken, zoals hieronder wordt beschreven.

Kies een van de volgende methoden op basis van uw scenario:

ARM-, BICEP-, Terraform-sjablonen gebruiken
Gebruik maken van Create Key Vault-opdrachten
Resourceopdrachten maken gebruiken

ARM-, BICEP-, Terraform-sjablonen gebruiken

Wanneer u nieuwe sleutelkluizen maakt met API-versie 2026-02-01 of hoger, stelt u enableRbacAuthorization in op false in alle Key Vault ARM-, BICEP-, Terraform-sjablonen en REST-API aanroepen om toegangsbeleid (verouderd) te gebruiken.

Het gebruiken van opdrachten om een Key Vault te maken

Wanneer u nieuwe sleutelkluizen aanmaakt met behulp van API-versie 2026-02-01 of hoger, moet u de toegangsbeleidsconfiguratie opgeven om te voorkomen dat de standaardinstelling naar Azure RBAC gaat.

Zorg ervoor dat u de nieuwste versie van de Azure CLI- of PowerShell-modules hebt.

Azure CLI
PowerShell

Werk Azure CLI bij naar de nieuwste versie. Zie Het bijwerken van de Azure CLI voor meer informatie.

Gebruik de juiste opdracht om een sleutelkluis te maken met toegangsbeleid:

Azure CLI
PowerShell

Gebruik het commando az keyvault create en voer de instellingen uit --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

Gebruik de cmdlet New-AzKeyVault en stel deze in -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Resourceopdrachten maken gebruiken

Wanneer u nieuwe sleutelkluizen maakt met behulp van API-versie 2026-02-01 of hoger, stelt u enableRbacAuthorization in op false om toegangsbeleid (verouderd) te gebruiken. Als u deze eigenschap niet opgeeft, wordt deze standaard ingesteld op true (Azure RBAC).

Azure CLI
PowerShell

Gebruik de opdracht az resource create en stel "enableRbacAuthorization": false en --api-version "2026-02-01" in:

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

Gebruik de cmdlet New-AzResource en stel deze in enableRbacAuthorization = $false en -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Volgende stappen

Feedback

Is deze pagina nuttig?

Last updated on 2026-03-26