Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) im Vergleich zu Zugriffsrichtlinien (Legacy)
Wichtig
Wenn Sie das Zugriffsrichtlinienberechtigungsmodell verwenden, können Benutzende mit den Rollen Contributor, Key Vault Contributor oder einer anderen Rolle, die Microsoft.KeyVault/vaults/write-Berechtigungen für die Key Vault-Verwaltungsebene enthält, selbst Datenebenenzugriff gewähren, indem eine Zugriffsrichtlinie für den Key Vault festgelegt wird. Um nicht autorisierten Zugriff und die Verwaltung Ihrer Schlüsseltresore, Schlüssel, geheimen Schlüssel und Zertifikate zu verhindern, ist es wichtig, den Zugriff der Teilnehmerrolle auf Schlüsseltresore im Rahmen des Zugriffsrichtlinienberechtigungsmodells einzuschränken. Um dieses Risiko zu minimieren, empfehlen wir, das Berechtigungsmodell „Rollenbasierte Zugriffssteuerung (RBAC)“ zu verwenden, das die Berechtigungsverwaltung auf die Rollen „Besitzende“ und „Benutzerzugriffsadmin“ einschränkt und eine klare Trennung zwischen Sicherheitsvorgängen und administrativen Aufgaben ermöglicht. Weitere Informationen finden Sie im Key Vault RBAC-Leitfaden und unter Was ist Azure RBAC.
Azure Key Vault bietet zwei Autorisierungssysteme: die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), die auf der Steuerungs- und Datenebene von Azure agiert, und das Zugriffsrichtlinienmodell, das nur auf der Datenebene agiert.
Azure RBAC basiert auf Azure Resource Manager, und ermöglicht eine zentralisierte Verwaltung des Zugriffs auf Azure-Ressourcen. Mit Azure RBAC steuern Sie den Zugriff auf Ressourcen, indem Sie Rollenzuweisungen erstellen. Diese bestehen aus den folgenden drei Elementen: Sicherheitsprinzipal, Rollendefinition (mehrere vordefinierte Berechtigungen) und Bereich (Ressourcengruppe oder einzelne Ressource).
Das Zugriffsrichtlinienmodell ist ein älteres, Key Vault-natives Autorisierungssystem, das Zugriff auf Schlüssel, Geheimnisse und Zertifikate bietet. Der Zugriff kann durch Zuweisen einzelner Berechtigungen zu Sicherheitsprinzipalen (Benutzer*innen, Gruppen, Dienstprinzipale und verwaltete Identitäten) auf der Key Vault-Ebene gesteuert werden.
Empfehlung für die Zugriffssteuerung auf Datenebene
Azure RBAC ist das standardmäßige und empfohlene Autorisierungssystem für die Azure Key Vault-Datenebene. Es bietet mehrere Vorteile gegenüber Key Vault-Zugriffsrichtlinien:
- Azure RBAC bietet ein einheitliches Zugriffssteuerungsmodell für Azure-Ressourcen. Für alle Azure-Dienste werden also die gleichen APIs verwendet.
- Die Zugriffsverwaltung ist zentralisiert und bietet Administrator*innen eine konsistente Übersicht über den gewährten Zugriff auf Azure-Ressourcen.
- Das Recht, Zugriff auf Schlüssel, Geheimnisse und Zertifikate zu gewähren, wird besser kontrolliert und erfordert die Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“.
- Azure RBAC ist in Privileged Identity Management integriert, um sicherzustellen, dass privilegierte Zugriffsrechte zeitlich begrenzt sind und automatisch ablaufen.
- Der Zugriff von Sicherheitsprinzipalen kann in bestimmten Bereichen durch die Verwendung von Ablehnungszuweisungen ausgeschlossen werden.
Informationen zur Übertragung der Zugriffssteuerung Ihrer Key Vault-Datenebene von Zugriffsrichtlinien auf RBAC finden Sie unter Migrieren von einer Tresorzugriffsrichtlinie zu einem rollenbasierten Zugriffssteuerungsmodell in Azure.