Importante
Ao usar o modelo de permissão de Política de Acesso, um usuário com o Contributor
Key Vault Contributor
, ou qualquer outra função que inclua Microsoft.KeyVault/vaults/write
permissões para o plano de gerenciamento do Cofre de Chaves pode conceder a si mesmo acesso ao plano de dados definindo uma política de acesso ao Cofre de Chaves. Para impedir o acesso não autorizado e o gerenciamento de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função de Colaborador aos cofres de chaves no modelo de permissão da Política de Acesso. Para reduzir esse risco, recomendamos que você use o modelo de permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções 'Proprietário' e 'Administrador de Acesso de Usuário', permitindo uma separação clara entre operações de segurança e tarefas administrativas. Considere o Guia RBAC do Cofre de Chaves e O que é o Azure RBAC? para obter mais informações.
Uma política de acesso ao Cofre de Chaves determina se uma determinada entidade de segurança, ou seja, um usuário, aplicativo ou grupo de usuários, pode executar diferentes operações em segredos, chaves e certificados do Cofre de Chaves. Você pode atribuir políticas de acesso usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
O Key Vault suporta até 1024 entradas de política de acesso, com cada entrada a conceder um conjunto distinto de permissões para um principal de segurança específico. Devido a essa limitação, recomendamos atribuir políticas de acesso a grupos de usuários, sempre que possível, em vez de usuários individuais. O uso de grupos facilita muito o gerenciamento de permissões para várias pessoas em sua organização. Para obter mais informações, consulte Gerenciar o acesso a aplicativos e recursos usando grupos do Microsoft Entra.
Atribuir uma política de acesso
No portal Azure, navegue até o recurso Cofre de Chaves.
Selecione Políticas de acesso e, em seguida, selecione Criar:
Selecione as permissões desejadas em Permissões de chave, Permissões secretas e Permissões de certificado.
No painel de seleção Principal, insira o nome do usuário, aplicativo ou entidade de serviço no campo de pesquisa e selecione o resultado apropriado.
Se você estiver usando uma identidade gerenciada para o aplicativo, pesquise e selecione o nome do próprio aplicativo. (Para obter mais informações sobre entidades de segurança, consulte Autenticação do Key Vault.
Reveja as alterações à política de acesso e selecione Criar para guardar a política de acesso.
De volta à página Políticas de acesso, verifique se a sua política de acesso está listada.
Para obter mais informações sobre como criar grupos no Microsoft Entra ID usando a CLI do Azure, consulte az ad group create e az ad group member add.
Para executar comandos da CLI do Azure localmente, instale a CLI do Azure.
Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.
Somente CLI local: inicie sessão no Azure usando az login
:
az login
O az login
comando abre uma janela do navegador para coletar credenciais, se necessário.
Adquira o ID do objeto
Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:
Aplicativos e outras entidades de serviço: use o comando az ad sp list para recuperar suas entidades de serviço. Examine a saída do comando para determinar a ID do objeto da entidade de segurança à qual você deseja atribuir a diretiva de acesso.
az ad sp list --show-mine
Grupos: use o comando az ad group list , filtrando os resultados com o --display-name
parâmetro:
az ad group list --display-name <search-string>
Utilizadores: use o comando az ad user show, passando o endereço de e-mail do utilizador no --id
parâmetro:
az ad user show --id <email-address-of-user>
Atribuir a política de acesso
Use o comando az keyvault set-policy para atribuir as permissões desejadas:
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
Substitua <object-id>
pelo ID do objeto do seu principal de segurança.
Você só precisa incluir --secret-permissions
, --key-permissions
e --certificate-permissions
ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>
, <key-permissions>
e <certificate-permissions>
são fornecidos na documentação az keyvault set-policy .
Para obter mais informações sobre como criar grupos no Microsoft Entra ID usando o Azure PowerShell, consulte New-AzADGroup e Add-AzADGroupMember.
Para executar comandos localmente, instale o Azure PowerShell se ainda não o fez.
Para executar comandos diretamente na nuvem, use o Azure Cloud Shell.
PowerShell local somente:
Instale o módulo PowerShell do Azure Ative Directory.
Entre no Azure:
Connect-AzAccount
Adquira o ID do objeto
Determine a ID do objeto do aplicativo, grupo ou usuário ao qual você deseja atribuir a política de acesso:
Aplicações e outras entidades de serviço: use o cmdlet Get-AzADServicePrincipal com o parâmetro -SearchString
para filtrar os resultados pelo nome da entidade de serviço desejada.
Get-AzADServicePrincipal -SearchString <search-string>
Grupos: use o cmdlet Get-AzADGroup com o -SearchString
parâmetro para filtrar os resultados pelo nome do grupo desejado:
Get-AzADGroup -SearchString <search-string>
Na saída, o ID do objeto é listado como Id
.
Utilizadores: utilizem o cmdlet Get-AzADUser, passando o endereço de e-mail do utilizador para o -UserPrincipalName
parâmetro.
Get-AzAdUser -UserPrincipalName <email-address-of-user>
Na saída, o ID do objeto é listado como Id
.
Atribuir a política de acesso
Use o cmdlet Set-AzKeyVaultAccessPolicy para atribuir a política de acesso:
Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions
Você só precisa incluir -PermissionsToSecrets
, -PermissionsToKeys
e -PermissionsToCertificates
ao atribuir permissões a esses tipos específicos. Os valores permitidos para <secret-permissions>
, <key-permissions>
, e <certificate-permissions>
são fornecidos na documentação Set-AzKeyVaultAccessPolicy - Parameters .
Próximos passos