Azure 角色型存取控制 (Azure RBAC) 與存取原則 (舊版)
重要
使用存取原則許可權模型時,具有Contributor、 Key Vault Contributor或任何其他角色的使用者,包含Microsoft.KeyVault/vaults/write密鑰保存庫管理平面許可權的使用者可以藉由設定 金鑰保存庫 存取原則來授與自己數據平面存取權。 若要防止未經授權的密鑰保存庫、金鑰、秘密和憑證存取和管理,請務必限制存取原則許可權模型中密鑰保存庫的參與者角色存取權。 若要降低此風險,我們建議您使用角色型 存取控制 (RBAC) 許可權模型,其會將許可權管理限制為「擁有者」和「使用者存取系統管理員」角色,以明確區分安全性作業與系統管理職責。 如需詳細資訊,請參閱 金鑰保存庫 RBAC 指南和什麼是 Azure RBAC?
Azure Key Vault 提供兩種授權系統:Azure 角色型存取控制 (Azure RBAC),執行於 Azure 的控制和資料平面,以及存取原則模型,僅執行於資料平面。
Azure RBAC 建置在 Azure Resource Manager 的基礎上,提供集中式 Azure 資源存取管理。 Azure RBAC 可讓您建立角色指派來控制對資源的存取,角色指派包含三個元素:安全性主體、角色定義 (一組預先定義的權限) 及範圍 (資源群組或個別資源)。
存取原則模型是 Key Vault 原生的舊版授權系統,提供金鑰、祕密和憑證的存取權。 您可以在 Key Vault 範圍內將個別權限指派給安全性主體 (使用者、群組、服務主體和受控識別),以控制存取。
資料平面存取控制建議
Azure RBAC 是 Azure Key Vault 資料平面的建議授權系統。 其提供數個優於 Key Vault 存取原則的優點:
- Azure RBAC 為 Azure 資源提供統一的存取控制模型 - 在所有 Azure 服務之間使用的相同 API。
- 存取管理是集中式的,為系統管理員提供授與 Azure 資源的一致存取權檢視。
- 授與金鑰、祕密和憑證存取權的權限會得到更好的控制,需要擁有者或使用者存取系統管理員角色成員資格。
- Azure RBAC 會與 Privileged Identity Management 整合,確保特殊權限存取權有時間限制並自動到期。
- 透過使用否定性指派,安全性主體的存取權可以在指定範圍排除。
若要將 Key Vault 資料平面存取原則轉換至 RBAC,請參閱從保存庫存取原則移轉至 Azure 角色型存取控制權限模型。