Toegang bieden tot Key Vault sleutels, certificaten en geheimen met op rollen gebaseerd toegangsbeheer van Azure

Notitie

Key Vault resourceprovider ondersteunt twee resourcetypen: kluizen en beheerde HSM's. Toegangsbeheer dat in dit artikel wordt beschreven, is alleen van toepassing op kluizen. Zie Toegangsbeheer voor beheerde HSM voor meer informatie over toegangsbeheer voor beheerde HSM.

Notitie

Azure App Service certificaatconfiguratie via Azure Portal biedt geen ondersteuning voor Key Vault RBAC-machtigingsmodel. U kunt Azure PowerShell, Azure CLI, ARM-sjabloonimplementaties gebruiken met Key Vault geheimengebruiker en Key Vault lezer roltoewijzingen voor globale inspringing van Microsoft Azure App Service.

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is een autorisatiesysteem dat is gebouwd op Azure Resource Manager dat gedetailleerd toegangsbeheer van Azure-resources biedt.

Met Azure RBAC kunnen gebruikers machtigingen voor sleutels, geheimen en certificaten beheren. Het biedt één locatie voor het beheren van alle machtigingen voor alle sleutelkluizen.

Met het Azure RBAC-model kunt u machtigingen instellen op verschillende bereikniveaus: beheergroep, abonnement, resourcegroep of afzonderlijke resources. Met Azure RBAC voor sleutelkluis kunnen gebruikers ook afzonderlijke machtigingen hebben voor afzonderlijke sleutels, geheimen en certificaten

Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor meer informatie.

Aanbevolen procedures voor roltoewijzingen van afzonderlijke sleutels, geheimen en certificaten

We raden u aan om per toepassing per omgeving een kluis te gebruiken (ontwikkeling, preproductie en productie).

Machtigingen voor afzonderlijke sleutels, geheimen en certificaten mogen alleen worden gebruikt voor specifieke scenario's:

  • Het delen van afzonderlijke geheimen tussen meerdere toepassingen, bijvoorbeeld: de ene toepassing moet toegang hebben tot gegevens uit de andere toepassing

Zie voor meer informatie over azure Key Vault-beheerrichtlijnen:

Ingebouwde Azure-rollen voor bewerkingen van Key Vault gegevensvlak

Notitie

De Key Vault Contributor rol is voor beheervlakbewerkingen voor het beheren van sleutelkluizen. Toegang tot sleutels, geheimen en certificaten is niet toegestaan.

Ingebouwde rol Beschrijving Id
Key Vault beheerder Voer alle gegevensvlakbewerkingen uit op een sleutelkluis en alle objecten daarin, inclusief certificaten, sleutels en geheimen. Kan geen sleutelkluisresources of roltoewijzingen beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. 00482a5a-887f-4fb3-b363-3b7fe8e74483
Key Vault Certificates Officer Voer een actie uit op de certificaten van een sleutelkluis, met uitzondering van beheermachtigingen. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. a4417e6f-fecd-4de8-b567-7b0420556985
Key Vault Crypto Officer Voer een actie uit op de sleutels van een sleutelkluis, met uitzondering van machtigingen beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Key Vault cryptoserviceversleutelingsgebruiker Lees metagegevens van sleutels en voer in-/uitpakbewerkingen uit. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. e147488a-f6f5-4113-8e2d-b22465e65bf6
Key Vault Crypto-gebruiker Cryptografische bewerkingen uitvoeren met behulp van sleutels. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. 12338af0-0e69-4776-bea7-57ae8d297424
Key Vault lezer Metagegevens van sleutelkluizen en de bijbehorende certificaten, sleutels en geheimen lezen. Kan gevoelige waarden, zoals geheime inhoud of sleutelmateriaal, niet lezen. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. 21090545-7ca7-4776-b22c-e363652d74d2
Key Vault geheimen Voer een actie uit op de geheimen van een sleutelkluis, met uitzondering van machtigingen beheren. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Key Vault geheimengebruiker Geheime inhoud lezen, inclusief het geheime gedeelte van een certificaat met een persoonlijke sleutel. Werkt alleen voor sleutelkluizen die gebruikmaken van het machtigingsmodel 'Op rollen gebaseerd toegangsbeheer' van Azure. 4633458b-17de-408a-b874-0445c86b69e6

Notitie

Er is geen Key Vault Certificate User probleem omdat voor toepassingen een geheimengedeelte van het certificaat met een persoonlijke sleutel is vereist. De Key Vault Secrets User rol moet worden gebruikt voor toepassingen om het certificaat op te halen.

Zie Ingebouwde Azure-rollen voor meer informatie over definities van ingebouwde Azure-rollen.

Azure RBAC-geheim, -sleutel en -certificaatmachtigingen gebruiken met Key Vault

Het nieuwe Azure RBAC-machtigingsmodel voor sleutelkluis biedt een alternatief voor het machtigingsmodel voor toegangsbeleid voor de kluis.

Vereisten

U hebt een abonnement op Azure nodig. Als u dat niet doet, kunt u een gratis account maken voordat u begint.

Als u roltoewijzingen wilt toevoegen, moet u beschikken over Microsoft.Authorization/roleAssignments/write en-machtigingen Microsoft.Authorization/roleAssignments/delete , zoals Beheerder voor gebruikerstoegang of Eigenaar.

Azure RBAC-machtigingen inschakelen op Key Vault

Notitie

Voor het wijzigen van het machtigingsmodel is de machtiging Microsoft.Authorization/roleAssignments/write vereist, die deel uitmaakt van de rollen Eigenaar en Beheerder van gebruikerstoegang . Klassieke abonnementsbeheerdersrollen, zoals Servicebeheerder en Co-beheerder, worden niet ondersteund.

  1. Azure RBAC-machtigingen inschakelen voor nieuwe sleutelkluis:

    Azure RBAC-machtigingen inschakelen - nieuwe kluis

  2. Azure RBAC-machtigingen inschakelen voor bestaande sleutelkluis:

    Azure RBAC-machtigingen inschakelen - bestaande kluis

Belangrijk

Als u het Azure RBAC-machtigingsmodel instelt, worden alle machtigingen voor toegangsbeleid ongeldig. Dit kan storingen veroorzaken wanneer equivalente Azure-rollen niet zijn toegewezen.

Rol toewijzen

Notitie

Het wordt aanbevolen om de unieke rol-id te gebruiken in plaats van de rolnaam in scripts. Als de naam van een rol wordt gewijzigd, blijven uw scripts werken. In dit document wordt de rolnaam alleen gebruikt voor leesbaarheid.

Voer de volgende opdracht uit om een roltoewijzing te maken:

az role assignment create --role <role_name_or_id> --assignee <assignee> --scope <scope>

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie.

Zie Azure-rollen toewijzen met behulp van de Azure Portal om rollen toe te wijzen met behulp van de Azure Portal. In de Azure Portal is het scherm Azure-roltoewijzingen beschikbaar voor alle resources op het tabblad Toegangsbeheer (IAM).

Roltoewijzing van resourcegroepbereik

  1. Ga naar de resourcegroep die uw sleutelkluis bevat.

    Roltoewijzing - resourcegroep

  2. Klik op Toegangsbeheer (IAM) .

  3. Selecteer Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.

  4. Wijs de volgende rol toe. Raadpleeg Azure-rollen toewijzen met de Azure Portal voor meer details.

    Instelling Waarde
    Rol "Key Vault Lezer"
    Toegang toewijzen aan Bestaande gebruiker
    Leden Zoeken op e-mailadres

    Pagina Roltoewijzing toevoegen in Azure Portal.

az role assignment create --role "Key Vault Reader" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie.

Bovenstaande roltoewijzing biedt de mogelijkheid om sleutelkluisobjecten in de sleutelkluis weer te geven.

Key Vault bereikroltoewijzing

  1. Ga naar Key Vault > tabblad Toegangsbeheer (IAM)

  2. Selecteer Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.

  3. Wijs de volgende rol toe. Raadpleeg Azure-rollen toewijzen met de Azure Portal voor meer details.

    Instelling Waarde
    Rol "Key Vault officier van geheimen"
    Toegang toewijzen aan Bestaande gebruiker
    Leden Zoeken op e-mailadres

    Pagina Roltoewijzing toevoegen in Azure Portal.

az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e jalichwa@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie.

Geheime bereikroltoewijzing

Notitie

Sleutelkluisgeheim, certificaat, sleutelbereik roltoewijzingen mogen alleen worden gebruikt voor beperkte scenario's die hier worden beschreven om te voldoen aan de aanbevolen beveiligingsprocedures.

  1. Open een eerder gemaakt geheim.

  2. Klik op het tabblad Toegangsbeheer (IAM)

    Roltoewijzing - geheim

  3. Selecteer Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.

  4. Wijs de volgende rol toe. Raadpleeg Azure-rollen toewijzen met de Azure Portal voor meer details.

    Instelling Waarde
    Rol "Key Vault officier van geheimen"
    Toegang toewijzen aan Bestaande gebruiker
    Leden Zoeken op e-mailadres

    Pagina Roltoewijzing toevoegen in Azure Portal.

az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie.

Testen en verifiëren

Notitie

Browsers gebruiken caching en paginavernieuwing is vereist na het verwijderen van roltoewijzingen.
Het kan enkele minuten duren voordat roltoewijzingen zijn vernieuwd

  1. Valideer het toevoegen van een nieuw geheim zonder de rol 'Key Vault geheimenofficier' op sleutelkluisniveau.

    1. Ga naar het tabblad Toegangsbeheer (IAM) van de sleutelkluis en verwijder de roltoewijzing 'Key Vault Secrets Officer' voor deze resource.

      Toewijzing verwijderen - sleutelkluis

    2. Navigeer naar het eerder gemaakte geheim. U kunt alle geheime eigenschappen zien.

      Geheime weergave met toegang

    3. Als u een nieuw geheim maakt (Geheimen > +genereren/importeren), wordt deze fout weergegeven:

      Nieuw geheim maken

  2. Valideer het bewerken van geheimen zonder de rol 'Key Vault secret officer' op geheimniveau.

    1. Ga naar het eerder gemaakte tabblad Secret Access Control (IAM) en verwijder de roltoewijzing 'Key Vault Secrets Officer' voor deze resource.

    2. Navigeer naar het eerder gemaakte geheim. U kunt geheime eigenschappen zien.

      Geheime weergave zonder toegang

  3. Geheimen valideren die zijn gelezen zonder lezerrol op sleutelkluisniveau.

    1. Ga naar het tabblad Toegangsbeheer (IAM) van de sleutelkluisresourcegroep en verwijder de roltoewijzing 'Key Vault Lezer'.

    2. Als u naar het tabblad Geheimen van de sleutelkluis navigeert, wordt deze fout weergegeven:

      Tabblad Geheim - fout

Aangepaste rollen maken

opdracht az role definition create

az role definition create --role-definition '{ \
   "Name": "Backup Keys Operator", \
   "Description": "Perform key backup/restore operations", \
    "Actions": [ 
    ], \
    "DataActions": [ \
        "Microsoft.KeyVault/vaults/keys/read ", \
        "Microsoft.KeyVault/vaults/keys/backup/action", \
         "Microsoft.KeyVault/vaults/keys/restore/action" \
    ], \
    "NotDataActions": [ 
   ], \
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'

Zie voor meer informatie over het maken van aangepaste rollen:

Aangepaste Azure-rollen

Bekende limieten en prestaties

  • Key Vault gegevensvlak RBAC wordt niet ondersteund in scenario's met meerdere tenants, zoals met Azure Lighthouse
  • 2000 Azure-roltoewijzingen per abonnement
  • Latentie van roltoewijzingen: bij de huidige verwachte prestaties duurt het maximaal 10 minuten (600 seconden) nadat roltoewijzingen zijn gewijzigd voordat de rol wordt toegepast

Veelgestelde vragen:

Kan ik objectbereiktoewijzingen van Key Vault op rollen gebaseerd toegangsbeheer (RBAC) gebruiken om isolatie te bieden voor toepassingsteams binnen Key Vault?

Nee. Met het RBAC-machtigingsmodel kunt u toegang tot afzonderlijke objecten in Key Vault toewijzen aan gebruikers of toepassingen, maar voor alle beheerbewerkingen, zoals netwerktoegangsbeheer, bewaking en objectbeheer, zijn machtigingen op kluisniveau vereist, die vervolgens beveiligde informatie beschikbaar maken voor operators in toepassingsteams.

Lees meer