Enable Role Based Access Control for Azure Key Vault
Por Que Isso é Importante
Sem o Azure RBAC habilitado nos Key Vaults, os administradores ficam limitados às políticas de acesso ao vault, que frequentemente resultam em permissões excessivamente amplas e carecem do controle granular necessário para operações seguras. Isso aumenta o risco de acesso não autorizado a chaves, segredos e certificados confidenciais. Ao adotar o Azure RBAC, você pode impor o gerenciamento de acesso just-in-time (JIT) e reduzir a superfície de ataque por meio de atribuições de funções refinadas.
O Que o Aether365 Verifica
Esta verificação confirma se cada Azure Key Vault tem seu modelo de permissão definido como Azure role-based access control (RBAC). Ela aparece no painel do Aether365 sob a categoria de verificações azure-azure-keyvault.
Como Corrigir
Para habilitar o Azure RBAC em um Key Vault existente:
- No Azure portal, abra o menu no canto superior esquerdo e selecione Key Vaults.
- Escolha o Key Vault que deseja auditar.
- Na barra lateral esquerda, selecione Access configuration.
- Em Permission model, selecione o botão de opção Azure role-based access control. Analise cuidadosamente a mensagem de aviso sobre interrupção do serviço.
- Clique em Save para aplicar a alteração.
- Após salvar, navegue até Access control (IAM).
- Abra a guia Role assignments.
- Reatribua as permissões para usuários, grupos ou service principals conforme necessário para atender aos seus requisitos de segurança.
Planeje a migração cuidadosamente, incluindo o mapeamento das políticas de acesso ao vault atuais para funções equivalentes do Azure RBAC, para minimizar o tempo de inatividade. As permissões serão reaplicadas durante a transição.
Conformidade
- CIS Microsoft Azure Foundations 3.0.0, Seção 3.3.3 (Nível 2)
Recursos Relacionados
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8