Kontrol akses berbasis peran Azure (Azure RBAC) vs. kebijakan akses (warisan)
Penting
Saat menggunakan model izin Kebijakan Akses, pengguna dengan Contributor
, Key Vault Contributor
, atau peran lain yang menyertakan Microsoft.KeyVault/vaults/write
izin untuk bidang manajemen brankas kunci dapat memberi diri mereka akses sarana data dengan mengatur kebijakan akses Key Vault. Untuk mencegah akses dan manajemen brankas kunci, kunci, rahasia, dan sertifikat Anda yang tidak sah, penting untuk membatasi akses peran Kontributor ke brankas kunci di bawah model izin Kebijakan Akses. Untuk mengurangi risiko ini, kami sarankan Anda menggunakan model izin Kontrol Akses Berbasis Peran (RBAC), yang membatasi manajemen izin ke peran 'Pemilik' dan 'Administrator Akses Pengguna', yang memungkinkan pemisahan yang jelas antara operasi keamanan dan tugas administratif. Lihat Panduan RBAC Key Vault dan Apa itu Azure RBAC? untuk informasi selengkapnya.
Azure Key Vault menawarkan dua sistem otorisasi: Kontrol akses berbasis peran Azure (Azure RBAC), yang beroperasi pada sarana kontrol dan data Azure, dan model kebijakan akses, yang beroperasi pada bidang data saja.
Azure RBAC dibangun di Azure Resource Manager dan menyediakan manajemen akses terpusat sumber daya Azure. Dengan Azure RBAC, Anda mengontrol akses ke sumber daya dengan membuat penetapan peran, yang terdiri dari tiga elemen: prinsip keamanan, definisi peran (serangkaian izin yang ditetapkan sebelumnya), dan cakupan (grup sumber daya atau sumber daya individual).
Model kebijakan akses adalah sistem otorisasi lama, native dari Key Vault, yang menyediakan akses ke kunci, rahasia, dan sertifikat. Anda dapat mengontrol akses dengan menetapkan izin individual ke prinsip keamanan (pengguna, grup, perwakilan layanan, dan identitas terkelola) di cakupan Key Vault.
Rekomendasi kontrol akses sarana data
Azure RBAC adalah sistem otorisasi yang direkomendasikan untuk bidang data Azure Key Vault. Ini menawarkan beberapa keuntungan daripada kebijakan akses Key Vault:
- Azure RBAC menyediakan model kontrol akses terpadu untuk sumber daya Azure — API yang sama digunakan di semua layanan Azure.
- Manajemen akses terpusat, memberi administrator tampilan akses yang konsisten yang diberikan ke sumber daya Azure.
- Hak untuk memberikan akses ke kunci, rahasia, dan sertifikat dikontrol dengan lebih baik, membutuhkan keanggotaan peran Pemilik atau Administrator Akses Pengguna.
- Azure RBAC terintegrasi dengan Privileged Identity Management, memastikan bahwa hak akses istimewa terbatas waktu dan kedaluwarsa secara otomatis.
- Akses perwakilan keamanan dapat dikecualikan pada cakupan tertentu melalui penggunaan penugasan Tolak.
Untuk transisi kontrol akses sarana data Key Vault Anda dari kebijakan akses ke RBAC, lihat Migrasi dari kebijakan akses vault ke model izin kontrol akses berbasis peran Azure.