Atribuir uma política de acesso ao Cofre da Chave (legado)

Importante

Ao usar o modelo de permissão de Política de Acesso, um usuário com o ContributorKey Vault Contributor, ou qualquer outra função que inclua Microsoft.KeyVault/vaults/write permissões para o plano de gerenciamento do Cofre de Chaves pode conceder a si mesmo acesso ao plano de dados definindo uma política de acesso ao Cofre de Chaves. Para impedir o acesso não autorizado e o gerenciamento de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função de Colaborador aos cofres de chaves no modelo de permissão da Política de Acesso. Para reduzir esse risco, recomendamos que você use o modelo de permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções 'Proprietário' e 'Administrador de Acesso de Usuário', permitindo uma separação clara entre operações de segurança e tarefas administrativas. Consulte o Guia RBAC do Cofre de Chaves e O que é o Azure RBAC? para obter mais informações.

Uma política de acesso ao Cofre de Chaves determina se uma determinada entidade de segurança, ou seja, um usuário, aplicativo ou grupo de usuários, pode executar diferentes operações em segredos, chaves e certificados do Cofre de Chaves. Você pode atribuir políticas de acesso usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.

O Key Vault suporta até 1024 entradas de política de acesso, com cada entrada a conceder um conjunto distinto de permissões para um principal de segurança específico. Devido a essa limitação, recomendamos atribuir políticas de acesso a grupos de usuários, sempre que possível, em vez de usuários individuais. O uso de grupos facilita muito o gerenciamento de permissões para várias pessoas em sua organização. Para obter mais informações, consulte Gerenciar o acesso a aplicativos e recursos usando grupos do Microsoft Entra.

Portal do Azure

Atribuir uma política de acesso

1. No portal do Azure, navegue até o recurso Cofre da Chave.

2. Selecione Políticas de acesso e, em seguida, selecione Criar:

   

3. Selecione as permissões desejadas em Permissões de chave, Permissões secretas e Permissões de certificado.

   

4. No painel de seleção Principal, insira o nome do usuário, aplicativo ou entidade de serviço no campo de pesquisa e selecione o resultado apropriado.

   

   Se você estiver usando uma identidade gerenciada para o aplicativo, pesquise e selecione o nome do próprio aplicativo. (Para obter mais informações sobre entidades de segurança, consulte Autenticação do Cofre da Chave.

5. Reveja as alterações à política de acesso e selecione Criar para guardar a política de acesso.

   

6. De volta à página Políticas de acesso, verifique se a sua política de acesso está listada.

   

CLI do Azure

Para obter mais informações sobre como criar grupos no Microsoft Entra ID usando a CLI do Azure, consulte az ad group create e az ad group member add.

Configurar a CLI do Azure e entrar

1. Para executar comandos da CLI do Azure localmente, instale a CLI do Azure.

   Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.

2. Somente CLI local: entre no Azure usando az login:

   az login
   

   O az login comando abre uma janela do navegador para coletar credenciais, se necessário.

Adquira o ID do objeto

Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:

• Aplicativos e outras entidades de serviço: use o comando az ad sp list para recuperar suas entidades de serviço. Examine a saída do comando para determinar a ID do objeto da entidade de segurança à qual você deseja atribuir a diretiva de acesso.

  az ad sp list --show-mine
  

• Grupos: use o comando az ad group list , filtrando os resultados com o --display-name parâmetro:

  az ad group list --display-name <search-string>
  

• Usuários: use o comando az ad user show , passando o --id endereço de e-mail do usuário no parâmetro:

  az ad user show --id <email-address-of-user>
  

Atribuir a política de acesso

Use o comando az keyvault set-policy para atribuir as permissões desejadas:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Substitua <object-id> pelo ID do objeto da entidade de segurança.

Você só precisa incluir --secret-permissions, --key-permissionse ao --certificate-permissions atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions>e <certificate-permissions> são fornecidos na documentação az keyvault set-policy .

Azure PowerShell

Para obter mais informações sobre como criar grupos no Microsoft Entra ID usando o Azure PowerShell, consulte New-AzADGroup e Add-AzADGroupMember.

Configurar o PowerShell e entrar

1. Para executar comandos localmente, instale o Azure PowerShell se ainda não o fez.

   Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.

2. Somente PowerShell local:

   1. Instale o módulo PowerShell do Azure Ative Directory.

   2. Entre no Azure:

      Connect-AzAccount
      

Adquira o ID do objeto

Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:

• Aplicativos e outras entidades de serviço: use o cmdlet Get-AzADServicePrincipal com o -SearchString parâmetro para filtrar os resultados para o nome da entidade de serviço desejada:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Grupos: use o cmdlet Get-AzADGroup com o -SearchString parâmetro para filtrar os resultados para o nome do grupo desejado:

  Get-AzADGroup -SearchString <search-string>
  

  Na saída, o ID do objeto é listado como Id.

• Usuários: use o cmdlet Get-AzADUser , passando o endereço de e-mail do usuário para o -UserPrincipalName parâmetro.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  Na saída, o ID do objeto é listado como Id.

Atribuir a política de acesso

Use o cmdlet Set-AzKeyVaultAccessPolicy para atribuir a política de acesso:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

Você só precisa incluir -PermissionsToSecrets, -PermissionsToKeyse ao -PermissionsToCertificates atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions>, e <certificate-permissions> são fornecidos na documentação Set-AzKeyVaultAccessPolicy - Parameters .

Próximos passos

• Segurança do Azure Key Vault
• Guia do desenvolvedor do Azure Key Vault