Enable Role Based Access Control for Azure Key Vault
Pourquoi c'est important
Sans Azure RBAC activé sur les coffres de clés, les administrateurs sont limités aux stratégies d'accès au coffre, ce qui entraîne souvent des autorisations trop larges et manque du contrôle granulaire nécessaire à des opérations sécurisées. Cela accroît le risque d'accès non autorisé aux clés, secrets et certificats sensibles. En adoptant Azure RBAC, vous pouvez imposer une gestion d'accès juste-à-temps (JIT) et réduire la surface d'attaque grâce à des attributions de rôles fines.
Ce que vérifie Aether365
Cette vérification confirme que chaque Azure Key Vault a son modèle d'autorisation défini sur le contrôle d'accès basé sur les rôles Azure (RBAC). Elle apparaît dans votre tableau de bord Aether365 sous la catégorie de vérifications azure-azure-keyvault.
Comment corriger
Pour activer Azure RBAC sur un Key Vault existant :
- Dans le portail Azure, ouvrez le menu en haut à gauche et sélectionnez Key Vaults.
- Choisissez le Key Vault que vous souhaitez auditer.
- Dans le volet de gauche, sélectionnez Access configuration.
- Sous Permission model, sélectionnez le bouton radio Azure role-based access control. Examinez attentivement le message d'avertissement concernant une interruption de service.
- Cliquez sur Save pour appliquer la modification.
- Après avoir enregistré, accédez à Access control (IAM).
- Ouvrez l'onglet Role assignments.
- Réattribuez les autorisations aux utilisateurs, groupes ou principaux de service selon vos besoins pour répondre à vos exigences de sécurité.
Planifiez soigneusement la migration, notamment en mappant les stratégies d'accès actuelles du coffre aux rôles Azure RBAC équivalents, afin de minimiser les temps d'arrêt. Les autorisations seront réappliquées pendant la transition.
Conformité
- CIS Microsoft Azure Foundations 3.0.0, Section 3.3.3 (Niveau 2)
Ressources connexes
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8