Controle de acesso baseado em função do Azure (Azure RBAC) versus políticas de acesso (herdado)
Importante
Ao usar o modelo de permissão da Política de Acesso, um usuário com a função Contributor, Key Vault Contributor ou qualquer outra função que inclua permissões Microsoft.KeyVault/vaults/write para o plano de gerenciamento do cofre de chaves pode conceder a si mesmo acesso ao plano de dados definindo uma política de acesso do Key Vault. Para impedir o acesso e o gerenciamento não autorizados de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função Colaborador a cofres de chaves no modelo de permissão da Política de Acesso. Para atenuar esse risco, recomendamos que você use o modelode permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções 'Proprietário' e 'Administrador de Acesso do Usuário', permitindo uma separação clara entre operações de segurança e funções administrativas. Confira o Guia do RBAC do Key Vault e O que é o RBAC do Azure? para obter mais informações.
O Azure Key Vault oferece dois sistemas de autorização: Controle de acesso baseado em função do Azure (Azure RBAC), que opera nos planos de controle e dados do Azure, e o modelo de política de acesso, que opera apenas no plano de dados.
O Azure RBAC é criado no Azure Resource Manager e fornece gerenciamento de acesso centralizado dos recursos do Azure. Com o RBAC do Azure, você controla o acesso aos recursos criando atribuições de funções, que consistem em três elementos: entidade de segurança, definição de função (conjunto predefinido de permissões) e escopo (grupo de recursos ou recurso individual).
O modelo de política de acesso é um sistema de autorização herdado, nativo do Key Vault, que fornece acesso a chaves, segredos e certificados. Você pode controlar o acesso atribuindo permissões individuais a entidades de segurança (usuários, grupos, entidades de serviço e identidades gerenciadas) no escopo do Key Vault.
Recomendação de controle de acesso do plano de dados
O RBAC do Azure é o sistema de autorização recomendado para o plano de dados do Azure Key Vault. Isso oferece várias vantagens em relação às políticas de acesso do Key Vault:
- O RBAC do Azure fornece um modelo de controle de acesso unificado para os recursos do Azure — as mesmas APIs são usadas em todos os serviços do Azure.
- O gerenciamento de acesso é centralizado, fornecendo aos administradores uma visão consistente do acesso concedido aos recursos do Azure.
- O direito de conceder acesso a chaves, segredos e certificados é mais bem controlado, exigindo a associação à função de Proprietário ou Administrador de Acesso de Usuário.
- O RBAC do Azure é integrado ao Privileged Identity Management, garantindo que os direitos de acesso privilegiado sejam limitados no tempo e expirem automaticamente.
- O acesso das entidades de segurança pode ser excluído em determinado(s) escopo(s) por meio do uso de atribuições de negação.
Para fazer a transição do controle de acesso do plano de dados do Key Vault das políticas de acesso para o RBAC, consulte Migrar da política de acesso ao cofre para um modelo de permissão de controle de acesso baseado em função do Azure.