Azure 基于角色的访问控制 (Azure RBAC) 与访问策略(旧版)
Azure Key Vault 提供了两个授权系统:在 Azure 的控制平面和数据平面上运行的 Azure 基于角色的访问控制 (Azure RBAC) 和只在数据平面上运行的访问策略模型。
Azure RBAC 是在 Azure 资源管理器基础上构建的,提供对 Azure 资源的集中访问权限管理。 使用 Azure RBAC,你可以通过创建角色分配来控制对资源的访问,这些角色分配由三个元素组成:安全主体、角色定义(预定义的权限集)和范围(资源组或单个资源)。
访问策略模型是 Key Vault 原生的旧版授权系统,用于提供对密钥、机密和证书的访问权限。 可以通过在 Key Vault 范围内将个人权限分配给安全主体(用户、组、服务主体和托管标识)来控制访问。
数据平面访问控制建议
Azure RBAC 是 Azure Key Vault 数据平面的推荐授权系统。 与 Key Vault 访问策略相比,它具有多个优势:
- Azure RBAC 为 Azure 资源提供统一的访问控制模型,所有 Azure 服务都使用相同的 API。
- 集中的访问管理使管理员可以持续查看已授予 Azure 资源的访问权限。
- 授予对密钥、机密和证书访问权限需要所有者或用户访问管理员的角色身份,权利得到更好控制。
- Azure RBAC 与 Privileged Identity Management 集成,确保特权访问权限有时间限制并自动过期。
- 通过使用 拒绝分配,可以在给定范围内排除安全主体的访问权限。
若要将 Key Vault 数据平面访问控制从访问策略转换为 RBAC,请参阅从保管库访问策略迁移到 Azure 基于角色的访问控制权限模型。