Enable Role Based Access Control for Azure Key Vault
Por que es importante
Sin Azure RBAC habilitado en los Key Vaults, los administradores estan limitados a las politicas de acceso del almacen, que a menudo resultan en permisos demasiado amplios y carecen del control granular necesario para operaciones seguras. Esto aumenta el riesgo de acceso no autorizado a claves, secretos y certificados sensibles. Al adoptar Azure RBAC, puede aplicar gestion de acceso just-in-time (JIT) y reducir la superficie de ataque mediante asignaciones de roles detalladas.
Que verifica Aether365
Esta verificacion confirma que cada Azure Key Vault tenga su modelo de permisos configurado como Azure role-based access control (RBAC). Aparece en su panel de Aether365 bajo la categoria de verificaciones azure-azure-keyvault.
Como solucionarlo
Para habilitar Azure RBAC en un Key Vault existente:
- En Azure Portal, abra el menu desde la esquina superior izquierda y seleccione Key Vaults.
- Elija el Key Vault que desea auditar.
- En la hoja izquierda, seleccione Access configuration.
- En Permission model, seleccione el boton de opcion Azure role-based access control. Revise cuidadosamente el mensaje de advertencia sobre la interrupcion del servicio.
- Haga clic en Save para aplicar el cambio.
- Despues de guardar, navegue a Access control (IAM).
- Abra la pestana Role assignments.
- Reasigne permisos a usuarios, grupos o service principals segun sea necesario para cumplir con sus requisitos de seguridad.
Planifique la migracion cuidadosamente, incluyendo el mapeo de las politicas de acceso actuales del almacen a roles equivalentes de Azure RBAC, para minimizar el tiempo de inactividad. Los permisos se volveran a aplicar durante la transicion.
Cumplimiento
- CIS Microsoft Azure Foundations 3.0.0, Seccion 3.3.3 (Nivel 2)
Recursos relacionados
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8