2

我想创建一个具有相当受限访问权限的 Azure 密钥保管库(我们的一个或两个应用程序)。我已经通过 Azure 门户创建了 Key Vault,但是当我查看访问控制部分时,我发现有几个应用程序和用户具有密钥保管库的参与者角色(从订阅继承),这给了他们更多的访问权限他们应该有。

由于订阅是可以设置访问控制的最高级别,因此我无法在不撤销订阅级别的情况下撤销这些应用程序/用户的访问权限,这可能会导致各种问题。(目前还不清楚这些需要什么权限,因此必须在资源组或资源级别授予这些权限会有点痛苦)。更重要的是,没有什么能阻止后来出现的人在订阅级别添加贡献者角色(例如,对于某些新应用程序),并破坏密钥库的安全性。

因此,考虑到所有这些,限制对 azure key vault 的访问的最佳方法是什么,以便只有我想要的应用程序/用户才能访问它,尽管事实上有几个应用程序/用户已经拥有这些权限订阅级别?

更多信息:我们使用的是 Azure 资源管理器模型,所有内容当前都存储在一个订阅中。

4

2 回答 2

2

看起来您无法以今天的 RBAC 工作方式实现这一目标。

以下是反馈论坛上已经运行的几个反馈请求- https://feedback.azure.com。一个用于 Key Vault,另一个以存储帐户为例,但本质上是在寻找相同的功能来覆盖继承的权限。

您可能想为这些请求投票。

  1. 拒绝对 Azure Key Vault Service 具有继承权限的用户修改访问策略

  2. 在资源组级别排除/覆盖从订阅继承的 RBAC 权限

更新(回答评论中的其他查询):

首先不授予订阅级访问权限(管理员除外)

是的,这肯定会有所帮助。

另一个建议是尝试使用资源组来组织您的资源,然后在这些资源组(范围)上分配角色。这样,您无需授予对单个项目的访问权限,但同时您可以避免授予最高订阅级别的访问权限。

于 2018-10-05T06:43:22.563 回答
0

您可以选择创建一个蓝图,您可以使用它来配置密钥库上的锁。如果您将此 BP 部署为只读,则无法从您的保险库中移除锁,因此没有人可以更改您的保险库的权限,直到您再次将蓝图配置更改为不锁定,然后从您的保险库中移除锁。

有权访问您的保险库(又名数据平面)的应用程序等仍然可以访问密钥

于 2021-11-10T10:03:24.403 回答