Ограничение доступа к хранилищу лазурного ключа

Я хочу создать хранилище ключей Azure с довольно ограниченным доступом (одно или два наших приложения). Я создал Key Vault через портал Azure, но когда я просматриваю раздел "Контроль доступа", я обнаружил, что несколько приложений и пользователей имеют роль Contributor (унаследованную от подписки) для хранилища ключей, что дает им больше доступа, чем они должны иметь.

Поскольку подписка - это самый высокий уровень, на котором можно установить контроль доступа, я не могу отозвать доступ для этих приложений / пользователей, не отменив его на уровне подписки, и это, вероятно, вызовет всевозможные проблемы. (не совсем понятно, какие разрешения им нужны, поэтому было бы немного больно выдавать эти разрешения на уровне группы ресурсов или ресурса). Более того, ничто не помешает кому-то, кто придет позже, добавить роли участника на уровне подписки (например, для какого-то нового приложения) и нарушить безопасность хранилища ключей.

Итак, учитывая все это, каков наилучший способ ограничить доступ к хранилищу ключей Azure, чтобы к нему имели доступ только те приложения / пользователи, которых я хочу, несмотря на то, что несколько приложений / пользователей уже имеют эти разрешения на уровень подписки?

Дополнительная информация. Мы используем модель Azure Resource Manager, и в настоящее время все хранится в одной подписке.

Источник

2 ответа

Решение

Похоже, что вы не можете добиться этого с тем, как сегодня работает RBAC.

Вот пара запросов обратной связи, уже запущенных на форумах обратной связи - https://feedback.azure.com/. Один из них предназначен для хранилища ключей, а другой - на примере учетной записи хранения, но, по сути, ищет ту же функцию для переопределения унаследованных разрешений.

Вы можете проголосовать за эти запросы.

  1. Запретить пользователям с унаследованными разрешениями на службу хранилища ключей Azure изменять политики доступа

  2. Исключить / переопределить разрешения RBAC, выделенные из подписки на уровне группы ресурсов

ОБНОВЛЕНИЕ (чтобы ответить на дополнительные вопросы из комментариев):

Не предоставление доступа на уровне подписки в первую очередь (кроме администраторов)

Да, это определенно поможет.

Еще одно предложение - попытаться использовать группы ресурсов для организации своих ресурсов, а затем назначить роли в этих группах ресурсов (область действия). Таким образом, вам не нужно предоставлять доступ к отдельным элементам, но в то же время вы можете избежать предоставления доступа на самом высоком уровне подписки.

Источник

У вас есть вариант создать план, который вы можете использовать для настройки замков в ваших хранилищах ключей. Если вы развертываете этот BP только для чтения, блокировки не могут быть удалены из вашего хранилища, поэтому никто не может изменить разрешения вашего хранилища, пока вы снова не измените конфигурацию схемы, чтобы не блокировать, а затем удалите блокировку из вашего хранилища.

Приложения и т. д., имеющие доступ к вашему хранилищу (также известному как dataplane), по-прежнему имеют доступ к ключам курса.

Источник
Другие вопросы по тегам