你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 基于角色的访问控制 (Azure RBAC) 与访问策略(旧版)

重要

使用访问策略权限模型时,拥有 ContributorKey Vault Contributor 或任何其他角色(包括对密钥保管库管理平面的 Microsoft.KeyVault/vaults/write 权限)的用户,可以通过设置密钥保管库访问策略来为自己授予对数据平面的访问权限。 为了防止对密钥保管库、密钥、机密和证书进行未经授权的访问和管理,在访问策略权限模型下,必须限制参与者角色对密钥保管库的访问,这一点至关重要。 为了缓解此风险,我们建议使用基于角色的访问控制 (RBAC) 权限模型,该模型将权限管理限制为“所有者”和“用户访问管理员”角色,从而明确地区分安全运营和管理职责。 有关详细信息,请参阅 Key Vault RBAC 指南什么是 Azure RBAC

Azure Key Vault 提供了两个授权系统:在 Azure 的控制平面和数据平面上运行的 Azure 基于角色的访问控制 (Azure RBAC) 和只在数据平面上运行的访问策略模型。

Azure RBAC 是在 Azure 资源管理器基础上构建的,提供对 Azure 资源的集中访问权限管理。 使用 Azure RBAC,你可以通过创建角色分配来控制对资源的访问,这些角色分配由三个元素组成:安全主体、角色定义(预定义的权限集)和范围(资源组或单个资源)。

访问策略模型是 Key Vault 原生的旧版授权系统,用于提供对密钥、机密和证书的访问权限。 可以通过在 Key Vault 范围内将个人权限分配给安全主体(用户、组、服务主体和托管标识)来控制访问。

数据平面访问控制建议

Azure RBAC 是 Azure Key Vault 数据平面的推荐授权系统。 与 Key Vault 访问策略相比,它具有多个优势:

  • Azure RBAC 为 Azure 资源提供统一的访问控制模型,所有 Azure 服务都使用相同的 API。
  • 集中的访问管理使管理员可以持续查看已授予 Azure 资源的访问权限。
  • 授予对密钥、机密和证书访问权限需要所有者或用户访问管理员的角色身份,权利得到更好控制。
  • Azure RBAC 与 Privileged Identity Management 集成,确保特权访问权限有时间限制并自动过期。
  • 通过使用 拒绝分配,可以在给定范围内排除安全主体的访问权限。

若要将 Key Vault 数据平面访问控制从访问策略转换为 RBAC,请参阅从保管库访问策略迁移到 Azure 基于角色的访问控制权限模型

了解更多