Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) versus toegangsbeleid (verouderd)
Azure Key Vault biedt twee autorisatiesystemen: op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), dat werkt op de besturings- en gegevensvlakken van Azure, en het toegangsbeleidsmodel, dat alleen op het gegevensvlak werkt.
Azure RBAC is gebaseerd op Azure Resource Manager en biedt gecentraliseerd toegangsbeheer van Azure-resources. Met Azure RBAC beheert u de toegang tot resources door roltoewijzingen te maken, die uit drie elementen bestaan: een beveiligingsprincipal, een roldefinitie (vooraf gedefinieerde set machtigingen) en een bereik (groep resources of individuele resources).
Het toegangsbeleidsmodel is een verouderd autorisatiesysteem dat systeemeigen is voor sleutelkluis, dat toegang biedt tot sleutels, geheimen en certificaten. U kunt de toegang beheren door afzonderlijke machtigingen toe te wijzen aan beveiligingsprinciplen (gebruikers, groepen, service-principals en beheerde identiteiten) op key vault-bereik.
Aanbeveling voor toegangsbeheer voor gegevensvlak
Azure RBAC is het aanbevolen autorisatiesysteem voor het Azure Key Vault-gegevensvlak. Het biedt verschillende voordelen ten opzichte van Key Vault-toegangsbeleid:
- Azure RBAC biedt een geïntegreerd toegangsbeheermodel voor Azure-resources. Dezelfde API's worden gebruikt in alle Azure-services.
- Toegangsbeheer is gecentraliseerd en biedt beheerders een consistente weergave van toegang die wordt verleend aan Azure-resources.
- Het recht om toegang te verlenen tot sleutels, geheimen en certificaten wordt beter beheerd, waarbij eigenaars- of gebruikerstoegang Beheer lidmaatschap van rol vereist.
- Azure RBAC is geïntegreerd met Privileged Identity Management, zodat bevoegde toegangsrechten beperkt zijn en automatisch verlopen.
- De toegang van beveiligingsprinciplen kan worden uitgesloten bij bepaalde bereiken door gebruik te maken van weigeringstoewijzingen.
Zie Migreren van toegangsbeleid voor kluis naar een op rollen gebaseerd toegangsbeheermodel van Azure om toegangsbeheer van Key Vault over te schakelen van toegangsbeheerbeleid naar RBAC.