Warning
セキュリティを強化するには、Azure Key Vault の管理時にアクセス ポリシーではなく 、Role-Based アクセス制御 (RBAC) アクセス許可モデル を使用します。 RBAC では、アクセス許可の管理が "所有者" ロールと "ユーザー アクセス管理者" ロールのみに制限され、セキュリティタスクと管理タスクが明確に分離されます。 詳細については、「 Azure RBAC とは」 と 「Key Vault RBAC ガイド」を参照してください。
アクセス ポリシーのアクセス許可モデルを使用すると、 Contributor、 Key Vault Contributor、または Microsoft.KeyVault/vaults/write アクセス許可を含むロールを持つユーザーは、Key Vault アクセス ポリシーを構成することで、自分自身にデータ プレーン アクセスを許可できます。 これにより、キー コンテナー、キー、シークレット、証明書に対する不正アクセスや管理が行われる可能性があります。 このリスクを軽減するには、アクセス ポリシー モデルを使用するときに、共同作成者ロールのアクセスをキー ボールトに制限します。
Azure Key Vault には、Azure の制御プレーンとデータ プレーンで動作する Azure ロールベースのアクセス制御 (Azure RBAC) と、データ プレーンのみで動作するアクセス ポリシー モデルの 2 つの承認システムが用意されています。
Azure RBAC は Azure Resource Manager 上に構築され、Azure リソースの一元的なアクセス管理を提供します。 Azure RBAC では、ロールの割り当てを作成することによって、リソースへのアクセスを制御します。これには、セキュリティ プリンシパル、ロールの定義 (定義済みの一連のアクセス許可)、スコープ (リソースのグループまたは個々のリソース) の 3 つの要素が含まれます。
アクセス ポリシー モデルは、キー、シークレット、証明書へのアクセスを提供する、Key Vault ネイティブのレガシ認可システムです。 Key Vault スコープで、セキュリティ プリンシパル (ユーザー、グループ、サービス プリンシパル、マネージド ID) に個々のアクセス許可を割り当てることにより、アクセスを制御できます。
データ プレーン アクセス制御のレコメンデーション
Azure Key Vault データ プレーンにお勧めの認可システムは、Azure RBAC です。 Key Vault アクセス ポリシーと比べていくつかの長所があります。
- Azure RBAC には、Azure リソースの統合アクセス制御モデルが用意されており、すべての Azure サービスで同じ API が使われます。
- アクセス管理は一元化され、管理者は Azure リソースに付与されたアクセスの一貫したビューが用意されています。
- キー、シークレット、証明書へのアクセス権を付与する権限は、より適切に制御されており、所有者またはユーザー アクセス管理者ロールのメンバーシップが必要です。
- Azure RBAC は Privileged Identity Management と統合され、特権アクセス権が制限され、自動的に期限切れになります。
- セキュリティ プリンシパルのアクセスは、 拒否割り当てを使用して、特定のスコープで除外できます。
Key Vault データ プレーンのアクセス制御をアクセス ポリシーから RBAC に移行するには、「 コンテナー アクセス ポリシーから Azure ロールベースのアクセス制御アクセス許可モデルへの移行」を参照してください。