Управление доступом на основе ролей Azure (Azure RBAC) и политики доступа (устаревшие версии)
Azure Key Vault предлагает две системы авторизации: управление доступом на основе ролей Azure (Azure RBAC), которая работает на уровнях управления Azure и плоскостях данных, а также модель политики доступа, которая работает только на плоскости данных.
Azure RBAC основан на Azure Resource Manager и обеспечивает централизованное управление доступом к ресурсам Azure. С Azure RBAC вы управляете доступом к ресурсам, создавая назначения ролей, состоящие из трех элементов: субъекта безопасности, определения роли (предопределенного набора разрешений) и области (группы ресурсов или отдельного ресурса).
Модель политики доступа — это устаревшая система авторизации, встроенная в Key Vault, которая обеспечивает доступ к ключам, секретам и сертификатам. Вы можете управлять доступом, назначив отдельные разрешения субъектам безопасности (пользователям, группам, субъектам-службам и управляемым удостоверениям) в Key Vault область.
Рекомендация по управлению доступом на плоскости данных
Azure RBAC — это рекомендуемая система авторизации для плоскости данных Azure Key Vault. Он предлагает несколько преимуществ по сравнению с политиками доступа Key Vault:
- Azure RBAC предоставляет единую модель управления доступом для ресурсов Azure— одни и те же API используются во всех службах Azure.
- Управление доступом централизованно предоставляет администраторам согласованное представление о доступе к ресурсам Azure.
- Право предоставлять доступ к ключам, секретам и сертификатам лучше контролироваться, требуя членства в роли владельца или доступа пользователей Администратор istrator.
- Azure RBAC интегрирован с управление привилегированными пользователями, гарантируя, что права привилегированного доступа ограничены временем и истекают автоматически.
- Доступ субъектов безопасности можно исключить в указанных область с помощью запрета назначений.
Чтобы перейти к управлению доступом уровня данных Key Vault из политик доступа к RBAC, см. статью "Миграция из политики доступа к хранилищу" в модель разрешений на основе ролей Azure.