Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
警告
为了提高安全性,请使用 Role-Based 访问控制 (RBAC) 权限模型管理Azure 密钥保管库时,而不是访问策略。 RBAC 仅将权限管理限制为“所有者”和“用户访问管理员”角色,确保安全与管理任务之间明确分离。 有关详细信息,请参阅 什么是 Azure RBAC? 和 密钥保管库 RBAC 指南。
使用访问策略权限模型、具有 Contributor、密钥保管库 Contributor 或包含 Microsoft.KeyVault/vaults/write 权限的任何角色的用户可以通过配置密钥保管库访问策略来授予自己数据平面访问权限。 这可能会导致对密钥保管库、密钥、机密和证书进行未经授权的访问和管理。 若要降低此风险,请使用访问策略模型时限制对密钥保管库的参与者角色访问权限。
Azure 密钥保管库提供两种授权系统:基于角色的访问控制(Azure RBAC),它在Azure的 控制平面和数据平面上运行,以及只在数据平面上运行的访问策略模型。
Azure RBAC 基于 Azure 资源管理器 构建,提供对Azure资源的集中访问管理。 使用 Azure RBAC,可以通过创建角色分配来控制对资源的访问,其中包括三个元素:安全主体、角色定义(预定义的权限集)和范围(资源组或单个资源)。
访问策略模型是 密钥保管库 原生的原有授权系统,它提供对密钥、机密和证书的访问权限。 可以通过在密钥保管库范围内向安全主体(用户、组、服务主体和托管标识)分配单个权限来控制访问权限。
数据平面访问控制建议
Azure RBAC 比密钥保管库访问策略提供了多种优势:
- Azure RBAC 为Azure资源提供统一的访问控制模型 - 所有Azure服务使用相同的 API。
- 访问管理是集中的,为管理员提供授予Azure资源的一致访问权限视图。
- 授予密钥、机密和证书的访问权限需要拥有“所有者”或“用户访问管理员”角色的成员资格,以实现更好的访问控制。
- Azure RBAC 与 Privileged Identity Management 集成,确保特权访问权限受到时间限制并自动过期。
- 通过使用 拒绝分配,可以在给定范围内排除安全主体的访问权限。
若要将 密钥保管库 数据平面访问控制从访问策略转换到 Azure RBAC,请参阅 从访问策略迁移到 Azure RBAC。