Warning
Para melhorar a segurança, use o modelo de permissões RBAC (Controle de Acesso Baseado em Funções) em vez de políticas de acesso ao administrar o Azure Key Vault. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso do Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para obter mais informações, consulte o que é o RBAC do Azure? e o Guia do RBAC do Key Vault.
Com o modelo de permissão Política de Acesso, usuários com as funções Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder a si mesmos acesso ao plano de dados configurando uma política de acesso do Key Vault. Isso pode resultar em acesso e gerenciamento não autorizados de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso à função Colaborador a cofres de chaves ao usar o modelo Política de Acesso.
Uma política de acesso do Key Vault determina se certa entidade de segurança, ou seja, um usuário, um aplicativo ou um grupo de usuários, pode executar operações diferentes em segredos, chavese certificados do Key Vault. Você pode atribuir políticas de acesso usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
O cofre de chaves dá suporte para até 1024 entradas de política de acesso, com cada entrada concedendo um conjunto distinto de permissões a uma determinada entidade de segurança. Devido a essa limitação, é recomendável atribuir políticas de acesso a grupos de usuários, quando possível, em vez de usuários individuais. O uso de grupos facilita muito o gerenciamento de permissões para várias pessoas na organização. Para obter mais informações, confira Gerenciar o aplicativo e o acesso a recursos usando grupos do Microsoft Entra.
Atribuir uma política de acesso
No portal do Azure, navegue até o recurso do Key Vault.
Selecione Políticas de acesso e, em seguida, selecione Criar:
Selecione as permissões desejadas em Permissões de chave, Permissões de segredo e Permissões de certificado.
No painel de seleção Principal, insira o nome do usuário, do aplicativo ou da entidade de serviço no campo de pesquisa e selecione o resultado apropriado.
Se você estiver usando uma identidade gerenciada para o aplicativo, procure e selecione o nome do aplicativo. (Para saber mais sobre as entidades de segurança, consulte Autenticação do Key Vault.
Examine as alterações da política de acesso e selecione Criar para salvar a política de acesso.
De volta à página Políticas de acesso, verifique se sua política de acesso está listada.
Para obter mais informações sobre como criar grupos em Microsoft Entra ID usando a CLI do Azure, confira az ad group create e az ad group member add.
Para executar comandos da CLI do Azure localmente, instale a CLI do Azure.
Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.
Somente CLI local: fazer login no Azure usando az login:
az login
O comando az login abre uma janela do navegador para coletar as credenciais, se necessário.
Adquirir a ID de objeto
Determine a ID de objeto do aplicativo, do grupo ou do usuário ao qual você deseja atribuir a política de acesso:
Aplicativos e outras entidades de serviço: use o comando az ad sp list para recuperar suas entidades de serviço. Examine a saída do comando para determinar a ID de objeto da entidade de segurança à qual você deseja atribuir a política de acesso.
az ad sp list --show-mine
Grupos: use o comando az ad group list, filtrando os resultados com o parâmetro --display-name:
az ad group list --display-name <search-string>
Usuários: use o comando az ad user show, passando o endereço de email do usuário no parâmetro --id:
az ad user show --id <email-address-of-user>
Atribuir a política de acesso
Use o comando az keyvault set-policy para atribuir as permissões desejadas:
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
Substitua <object-id> pela ID de objeto da sua entidade de segurança.
Você só precisa incluir --secret-permissions, --key-permissions e --certificate-permissions ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions> e <certificate-permissions> são fornecidos na documentação de az keyvault set-policy.
Para obter mais informações sobre como criar grupos no Microsoft Entra ID usando o Azure PowerShell, confira New-AzADGroup e Add-AzADGroupMember.
Para executar comandos localmente, instale o Azure PowerShell se ainda não tiver feito isso.
Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.
PowerShell local apenas:
Instalar o módulo do Azure Active Directory PowerShell.
Entrar no Azure:
Connect-AzAccount
Adquirir a ID de objeto
Determine a ID de objeto do aplicativo, do grupo ou do usuário ao qual você deseja atribuir a política de acesso:
Aplicativos e outras entidades de serviço: use o cmdlet Get-AzADServicePrincipal com o parâmetro -SearchString para filtrar os resultados para o nome da entidade de serviço desejada:
Get-AzADServicePrincipal -SearchString <search-string>
Grupos: use o cmdlet Get-AzADGroup com o parâmetro -SearchString para filtrar os resultados pelo nome do grupo desejado.
Get-AzADGroup -SearchString <search-string>
Na saída, a ID de objeto é listada como Id.
Usuários: use o cmdlet Get-AzADUser passando o endereço de email dos usuários para o parâmetro -UserPrincipalName.
Get-AzAdUser -UserPrincipalName <email-address-of-user>
Na saída, a ID de objeto é listada como Id.
Atribuir a política de acesso
Use o cmdlet Set-AzKeyVaultAccessPolicy para atribuir a política de acesso:
Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions
Você só precisa incluir -PermissionsToSecrets, -PermissionsToKeys e -PermissionsToCertificates ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>, <key-permissions> e <certificate-permissions> são fornecidos na documentação Set-AzKeyVaultAccessPolicy - Parâmetros.
Next steps