Enable Role Based Access Control for Azure Key Vault
Чому це важливо
Без увімкненого Azure RBAC у Key Vaults адміністратори обмежені політиками доступу до сховища, що часто призводить до надто широких дозволів і відсутності детального контролю, необхідного для безпечних операцій. Це підвищує ризик несанкціонованого доступу до конфіденційних ключів, секретів і сертифікатів. Використовуючи Azure RBAC, ви можете впровадити управління доступом Just-In-Time (JIT) і зменшити поверхню атаки завдяки деталізованим призначенням ролей.
Що перевіряє Aether365
Ця перевірка підтверджує, що для кожного Azure Key Vault модель дозволів встановлена на Azure role-based access control (RBAC). Вона відображається на панелі керування Aether365 у категорії перевірок azure-azure-keyvault.
Як виправити
Щоб увімкнути Azure RBAC для наявного Key Vault:
- У Azure Portal відкрийте меню з лівого верхнього кута та виберіть Key Vaults.
- Виберіть Key Vault, який потрібно перевірити.
- У лівій панелі виберіть Access configuration.
- У розділі Permission model виберіть радіокнопку Azure role-based access control. Уважно прочитайте попередження про можливе порушення роботи сервісу.
- Натисніть Save, щоб застосувати зміну.
- Після збереження перейдіть до Access control (IAM).
- Відкрийте вкладку Role assignments.
- Призначте дозволи користувачам, групам або service principals відповідно до ваших вимог безпеки.
Ретельно плануйте міграцію, включаючи зіставлення поточних політик доступу до сховища з еквівалентними ролями Azure RBAC, щоб мінімізувати час простою. Під час переходу дозволи будуть повторно застосовані.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0, Розділ 3.3.3 (Рівень 2)
Пов'язані ресурси
- Посібник з міграції Azure Key Vault RBAC
- Призначення ролей Azure за допомогою порталу
- Що таке Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8