Enable Role Based Access Control for Azure Key Vault
Zakaj je to pomembno
Brez omogočenega Azure RBAC v Key Vaults so skrbniki omejeni na pravilnike dostopa do trezorja, kar pogosto vodi v preveč široka dovoljenja in pomanjkanje podrobnega nadzora, potrebnega za varno delovanje. To povečuje tveganje nepooblaščenega dostopa do občutljivih ključev, skrivnosti in potrdil. Z uvedbo Azure RBAC lahko uveljavite upravljanje dostopa tik ob pravem času (JIT) in zmanjšate napadalno površino s podrobnimi dodelitvami vlog.
Kaj preverja Aether365
To preverjanje ugotavlja, ali ima vsak Azure Key Vault model dovoljenja nastavljen na Azure RBAC. Prikaže se v vaši nadzorni plošči Aether365 v kategoriji preverjanj azure-azure-keyvault.
Kako odpraviti
Za omogočanje Azure RBAC za obstoječi Key Vault:
- V Azure portalu odprite meni v zgornjem levem kotu in izberite Key Vaults.
- Izberite Key Vault, ki ga želite preveriti.
- V levem meniju izberite Access configuration.
- Pod Permission model izberite radijski gumb Azure role-based access control. Pozorno preberite opozorilo o prekinitvi storitve.
- Kliknite Save, da uveljavite spremembo.
- Po shranjevanju se pomaknite na Access control (IAM).
- Odprite zavihek Role assignments.
- Znova dodelite dovoljenja uporabnikom, skupinam ali storitvenim subjektom po potrebi, da izpolnite varnostne zahteve.
Načrtujte selitev skrbno, vključno s preslikavo trenutnih pravilnikov dostopa do trezorja v enakovredne vloge Azure RBAC, da zmanjšate izpade. Dovoljenja bodo ponovno uporabljena med prehodom.
Skladnost
- CIS Microsoft Azure Foundations 3.0.0, razdelek 3.3.3 (stopnja 2)
Povezani viri
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8