Prepare-se para a versão 2026-02-02-01 da API Key Vault: Azure RBAC como controlo de acesso por defeito

Azure Key Vault API versão 2026-02-01 e posteriormente alteram o modelo de controlo de acesso predefinido para novos vaults para Azure RBAC, consistente com a experiência do portal Azure. Tanto o Azure RBAC como as políticas de acesso continuam totalmente suportados. A versão da API 2026-02-01 está disponível em regiões públicas do Azure, Azure operado pela 21Vianet e Azure Government.

• Comportamento de criação de novos cofres de chaves: Quando crias um novo cofre com a versão da API 2026-02-01 ou posterior, o modelo padrão de controlo de acesso é Azure RBAC (enableRbacAuthorization = true). Este padrão aplica-se apenas a operações de criação . Para usar políticas de acesso para novos cofres, defina enableRbacAuthorization para false no momento da criação.
• Comportamento dos cofres de chaves existentes: Os cofres existentes mantêm o seu modelo atual de controlo de acesso, a menos que altere enableRbacAuthorizationexplicitamente . Usar uma versão 2026-02-01 da API ou posterior para atualizar um cofre não altera automaticamente o controlo de acesso. Os cofres onde enableRbacAuthorization está null (de versões antigas da API) continuam a usar políticas de acesso.

Importante

Todas as versões da API do plano de controlo da plataforma 'Key Vault' anteriores a 01-02-2026 serão descontinuadas a 27 de fevereiro de 2027. Os seus cofres de chaves continuarão a existir e só estarão acessíveis com as versões da API do plano de controlo 2026-02-01 ou posteriores. As APIs dos planos de dados não são afetadas.

As versões da API de pré-visualização (exceto 2026-04-01-preview) estão a ser obsoletas com um período de aviso prévio de 90 dias. O Azure Cloud Shell usa sempre a versão mais recente da API. Se tiver scripts que correm no Cloud Shell, certifique-se de que são compatíveis com a versão da API 2026-02-01 ou posterior. Para uma lista de versões de API suportadas, veja Versões suportadas da API do plano de controlo. Para detalhes do pacote SDK, consulte O que há de novo para Azure Key Vault.

Incentivamo-lo a migrar os cofres de chaves que atualmente utilizam políticas de acesso (legacy) para o Azure RBAC para maior segurança. Para mais informações sobre porque é recomendado Azure RBAC, veja Azure controlo de acesso baseado em funções (Azure RBAC) vs. políticas de acesso.

O que precisas de fazer

Se já conhece o modelo de controlo de acesso do seu cofre, salte para Determinar os seus próximos passos. Caso contrário, verifica primeiro a tua configuração atual .

Importante

Para modificar a propriedade enableRbacAuthorization de um cofre de chaves, é necessário ter a permissão Microsoft.KeyVault/vaults/write (incluída em funções como Contribuinte e Proprietário). O Portal do Azure exige adicionalmente Microsoft.Authorization/roleAssignments/write (incluído em funções como Proprietário e Administrador de Acesso ao Utilizador) para assegurar que pode atribuir funções RBAC do Key Vault após a alteração e evitar o bloqueio. Para mais informações, consulte Habilitar permissões Azure RBAC em Key Vault.

Verifica a tua configuração atual

Verifica se a configuração de acesso do teu cofre está definida para Azure RBAC ou políticas de acesso. Verifique esta configuração através dos comandos CLI do Azure ou PowerShell.

Depois de verificar a sua configuração:

• Se os seus cofres usarem Azure RBAC (enableRbacAuthorization = true), aceda a Cofres usando Azure RBAC.
• Se os seus cofres usam políticas de acesso (legado) (enableRbacAuthorization = false ou null), acesse Cofres que usam políticas de acesso.

Verifica um único cofre

CLI do Azure

1. Use o comando az keyvault show para recuperar os detalhes do cofre:

   az keyvault show --name <vault-name> --resource-group <resource-group>
   

2. Verifique a propriedade Ativada para a Autorização RBAC (enableRbacAuthorization) do cofre de chaves.

PowerShell

1. Use o cmdlet Get-AzKeyVault para obter informações do cofre:

   Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   

2. Verifique a propriedade Ativada para a Autorização RBAC (enableRbacAuthorization) do cofre de chaves.

Verifique múltiplos cofres por grupo de recursos

CLI do Azure

Use o comando az keyvault list para listar todos os cofres num grupo de recursos específico e verificar o estado da autorização RBAC:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Crie a seguinte função no PowerShell:

   function Get-KeyVaultsFromResourceGroup {
       # Get all key vaults in the specified resource group (basic information)
       $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Nomeie o grupo de recursos para o qual quer executar a sua função:

   $resourceGroupName = "<resource-group>"
   

3. Ligue a função Get-KeyVaultsFromResourceGroup para ver quais cofres do passo 2 do grupo de recursos têm políticas de acesso ativadas ou Azure RBAC ativado.

Verifique vários cofres na sua subscrição

CLI do Azure

Use o comando az keyvault list para listar todos os cofres na sua subscrição e verificar o estado da autorização RBAC deles.

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

PowerShell

1. Crie a seguinte função no PowerShell:

   function Get-KeyVaultsFromSubscription {
       # Get all key vaults in the subscription (basic information)
       $keyVaults = Get-AzKeyVault
   
       # Iterate through each key vault by name and fetch full properties
       foreach ($keyVault in $keyVaults) {
           $keyVaultName = $keyVault.VaultName
           $resourceGroupName = $keyVault.ResourceGroupName
   
           # Get the full key vault properties
           $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName
   
           # Access the 'EnableRbacAuthorization' property
           $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization
   
           # Output key vault status based on the 'EnableRbacAuthorization' property
           if ($enabledForRbac -eq $true) {
               Write-Output "${keyVaultName}: RBAC is enabled"
           } else {
               Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
           }
       }
   }
   

2. Chamar a função Get-KeyVaultsFromSubscription para ver quais os cofres da subscrição que têm políticas de acesso em comparação com Azure RBAC ativado. Dependendo do número de cofres na sua subscrição, a função pode demorar mais de 10 minutos a ser executada.

Determine os seus próximos passos

Com base no seu modelo atual de controlo de acesso, siga as orientações apropriadas abaixo.

Vaults usando Azure RBAC

Se os seus cofres de chaves já usam Azure RBAC, não são necessárias alterações no controlo de acesso. No entanto, deve atualizar todos os SDKs de gestão do plano de controlo Key Vault, ARM, Bicep, templates Terraform e chamadas REST API para usar a versão da API 2026-02-01 ou posterior antes de 27 de fevereiro de 2027, quando as versões anteriores da API do plano de controlo se retirarem.

Cofres que usam políticas de acesso

Se os seus cofres de chave usarem políticas de acesso (legacy) (enableRbacAuthorization = false ou null), decida se quer migrar para acesso baseado em funções (recomendado) ou continuar a usar políticas de acesso. Para mais informações sobre modelos de controlo de acessos, consulte Use Azure RBAC para gestão de acesso ao Key Vault e melhores práticas do Azure Key Vault.

Escolhe o teu caminho:

• Azure RBAC (recomendado): Migre para Azure RBAC para maior segurança.
• Políticas de acesso (legadas):Continue a usar políticas de acesso definindo enableRbacAuthorization como false ao criar novos cofres.

Migrar para o Azure RBAC (recomendado)

Aproveite esta oportunidade para aumentar o seu nível de segurança, migrando de políticas de acesso a cofre para o Azure RBAC. Para obter orientações detalhadas sobre migração, consulte Migrar da política de acesso ao cofre para um modelo de permissões de controlo de acesso baseado em funções do Azure.

Após a migração, atualize todos os SDKs de gestão de planos de controlo do Key Vault, ARM, Bicep, templates Terraform e chamadas REST API para usar a versão API 2026-02-01 ou posterior.

Continuar a usar políticas de acesso

As políticas de acesso continuam a ser um modelo de controlo de acesso totalmente suportado.

• Cofres existentes: Cofres que já usam políticas de acesso continuam a funcionar sem alterações. Basta garantir que os SDKs de gestão do plano de controlo, o ARM, o Bicep, os templates Terraform e as chamadas à API REST usem a versão 2026-02-01 ou posterior antes de 27 de fevereiro de 2027.
• Novos cofres: Ao criar novos cofres com a versão de API 2026-02-01 ou posterior, deve configurar explicitamente enableRbacAuthorization como false para utilizar políticas de acesso, conforme descrito abaixo.

Escolha um dos seguintes métodos com base no seu cenário:

• Usando modelos ARM, Bicep, Terraform
• Usando comandos Create Key Vault
• Utilização de comandos Create Resource

Utilização de templates ARM, Bicep, Terraform

Ao criar novos cofres de chaves usando a versão 2026-02-01 ou posterior da API, defina enableRbacAuthorization para false em todos os modelos do Key Vault ARM, Bicep, Terraform e em chamadas de REST API para usar as políticas de acesso (legadas).

Utilização dos comandos Create Key Vault

Ao criar novos cofres de chaves usando a versão API 2026-02-01 ou posterior, deve especificar a configuração de políticas de acesso para evitar utilizá-las como predefinição no Azure RBAC.

Certifique-se de que tem a versão mais recente dos módulos CLI do Azure ou PowerShell.

CLI do Azure

Atualize o CLI do Azure para a versão mais recente. Para mais informações, consulte Como atualizar o CLI do Azure.

PowerShell

Atualize os seus módulos PowerShell para a versão mais recente:

• Update-Module (PowerShellGet)
• Update-AzModule (Az.Tools.Installer)

Use o comando apropriado para criar um cofre de chaves com políticas de acesso:

CLI do Azure

Use o comando create do az-keyvault e defina --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

PowerShell

Use o comando New-AzKeyVault e defina -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Utilização de comandos Create Resource

Quando criar novos cofres de chaves com a versão API 2026-02-01 ou posterior, defina enableRbacAuthorization para false, para que as políticas de acesso (legado) sejam usadas. Se não especificares esta propriedade, é definido por defeito como true (Azure RBAC).

CLI do Azure

Use o comando az resource create e defina "enableRbacAuthorization": false e --api-version "2026-02-01":

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

PowerShell

Use o cmdlet New-AzResource e defina enableRbacAuthorization = $false e -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Próximos passos

• Azure controlo de acesso baseado em funções (Azure RBAC) vs. políticas de acesso
• Migrar da política de acesso ao cofre para um modelo de controlo de acesso baseado em funções do Azure
• Usa Azure RBAC para gerir o acesso ao Key Vault
• Proteja o seu cofre de chaves
• Referência da API REST do Azure Key Vault