Rollbaserad åtkomstkontroll i Azure (Azure RBAC) jämfört med åtkomstprinciper (äldre)
Azure Key Vault erbjuder två auktoriseringssystem: rollbaserad åtkomstkontroll i Azure (Azure RBAC), som körs på Azures kontroll- och dataplan, och åtkomstprincipmodellen, som endast fungerar på dataplanet.
Azure RBAC bygger på Azure Resource Manager och ger centraliserad åtkomsthantering av Azure-resurser. Med Azure RBAC styr du åtkomsten till resurser genom att skapa rolltilldelningar, vilket består av tre element: ett säkerhetsobjekt, en rolldefinition (fördefinierad uppsättning behörigheter) och ett omfång (grupp med resurser eller enskilda resurser).
Åtkomstprincipmodellen är ett äldre auktoriseringssystem som är inbyggt i Key Vault och ger åtkomst till nycklar, hemligheter och certifikat. Du kan styra åtkomsten genom att tilldela enskilda behörigheter till säkerhetsobjekt (användare, grupper, tjänstens huvudnamn och hanterade identiteter) i Key Vault-omfånget.
Rekommendation för åtkomstkontroll för dataplan
Azure RBAC är det rekommenderade auktoriseringssystemet för Azure Key Vault-dataplanet. Det ger flera fördelar jämfört med Key Vault-åtkomstprinciper:
- Azure RBAC tillhandahåller en enhetlig åtkomstkontrollmodell för Azure-resurser – samma API:er används i alla Azure-tjänster.
- Åtkomsthantering är centraliserad, vilket ger administratörer en konsekvent vy över åtkomst som beviljas till Azure-resurser.
- Rätten att bevilja åtkomst till nycklar, hemligheter och certifikat styrs bättre, vilket kräver rollmedlemskap för ägare eller administratör för användaråtkomst.
- Azure RBAC är integrerat med Privileged Identity Management, vilket säkerställer att privilegierade åtkomsträttigheter är tidsbegränsade och upphör att gälla automatiskt.
- Åtkomst till säkerhetsobjekt kan undantas i angivna omfång genom att neka tilldelningar.
Information om hur du övergår åtkomstkontrollen för Key Vault-dataplanet från åtkomstprinciper till RBAC finns i Migrera från åtkomstprincip för valv till en rollbaserad åtkomstkontrollmodell i Azure.
Läs mer
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för