Compartilhar via


Atribuir uma política de acesso do Key Vault (herdado)

Importante

Ao usar o modelo de permissão da Política de Acesso, um usuário com a função Contributor, Key Vault Contributor ou qualquer outra função que inclua permissões Microsoft.KeyVault/vaults/write para o plano de gerenciamento do cofre de chaves pode conceder a si mesmo acesso ao plano de dados definindo uma política de acesso do Key Vault. Para impedir o acesso e o gerenciamento não autorizados de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função Colaborador a cofres de chaves no modelo de permissão da Política de Acesso. Para atenuar esse risco, recomendamos que você use o modelo de permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções “Proprietário” e “Administrador de Acesso do Usuário”, permitindo uma separação clara entre operações de segurança e funções administrativas. Confira o Guia para RBAC do Key Vault e O que é o RBAC do Azure? para obter mais informações.

Uma política de acesso do Key Vault determina se certa entidade de segurança, ou seja, um usuário, um aplicativo ou um grupo de usuários, pode executar operações diferentes em segredos, chavese certificados do Key Vault. Você pode atribuir políticas de acesso usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.

O cofre de chaves dá suporte para até 1024 entradas de política de acesso, com cada entrada concedendo um conjunto distinto de permissões a uma determinada entidade de segurança. Devido a essa limitação, é recomendável atribuir políticas de acesso a grupos de usuários, quando possível, em vez de usuários individuais. O uso de grupos facilita muito o gerenciamento de permissões para várias pessoas na organização. Para obter mais informações, confira Gerenciar o aplicativo e o acesso a recursos usando grupos do Microsoft Entra.

Atribuir uma política de acesso

  1. No portal do Azure, navegue até o recurso do Key Vault.

  2. Selecione Políticas de acesso e, em seguida, selecione Criar:

    Selecionar políticas de acesso, selecionando Adicionar atribuição de função

  3. Selecione as permissões desejadas em Permissões de chave, Permissões de segredo e Permissões de certificado.

    Especificar permissões de política de acesso

  4. No painel de seleção Principal, insira o nome do usuário, do aplicativo ou da entidade de serviço no campo de pesquisa e selecione o resultado apropriado.

    Selecionar a entidade de segurança para a política de acesso

    Se você estiver usando uma identidade gerenciada para o aplicativo, procure e selecione o nome do aplicativo. (Para saber mais sobre entidades de segurança, confira Autenticação do Key Vault.

  5. Examine as alterações da política de acesso e selecione Criar para salvar a política de acesso.

    Adicionar a política de acesso com a entidade de segurança atribuída

  6. De volta à página Políticas de acesso, verifique se sua política de acesso está listada.

    Salvar as alterações da política de acesso

Próximas etapas