Migrar para Azure RBAC a partir das políticas de acesso

O Azure Key Vault oferece dois modelos de controlo de acesso: controlo de acesso baseado em funções Azure (Azure RBAC) e um modelo de política de acesso. O Azure RBAC é o modelo padrão e recomendado de controlo de acesso para o Azure Key Vault. Para obter uma comparação dos dois métodos de autorização, consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus políticas de acesso.

Este artigo fornece as informações necessárias para migrar um cofre de chaves de um modelo de política de acesso para um modelo RBAC do Azure.

Políticas de acesso ao mapeamento de funções do Azure

O RBAC do Azure tem várias funções internas do Azure que você pode atribuir a usuários, grupos, entidades de serviço e identidades gerenciadas. Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas do Azure.

Funções internas do Key Vault para gerenciamento de acesso de chaves, certificados e segredos:

• Administrador do Cofre de Chaves
• Leitor Key Vault
• Operador de limpeza do cofre de chaves
• Oficial de Certificados do Cofre de Chaves
• Usuário do certificado do Key Vault
• Responsável pela criptografia do Key Vault
• Key Vault Crypto Usuário
• Usuário de criptografia do Key Vault Crypto Service
• Usuário do Key Vault Crypto Service Release
• Oficial de Segredos do Cofre de Chaves
• Usuário do Key Vault Secrets

Para obter mais informações sobre funções internas existentes, consulte Funções internas do Azure

As políticas de acesso ao Vault podem ser atribuídas com permissões selecionadas individualmente ou com modelos de permissão predefinidos.

Modelos de permissão predefinidos da política de acesso:

• Chave, Segredo, Gestão de Certificados
• Key & Gestão Secreta
• Gestão de Certificados Secretos
• Gestão de Chaves
• Gestão Secreta
• Certificate Management (Gestão de Certificados)
• Conector do SQL Server
• Armazenamento Azure Data Lake ou Armazenamento do Azure
• Azure Backup
• Chave de Cliente do Exchange Online
• Chave de Cliente do SharePoint Online
• Azure Information BYOK

Acessar modelos de política para mapeamento de funções do Azure

Mapeamento de escopos de atribuição

O RBAC do Azure para Key Vault permite a atribuição de funções nos seguintes escopos:

• Grupo de Gestão
• Subscrição
• Grupo de recursos
• Recurso Key Vault
• Chave, segredo e certificado individuais

As políticas de acesso limitam-se à atribuição de políticas apenas ao nível dos recursos do Key Vault.

Em geral, é uma prática recomendada ter um cofre de chaves por aplicativo e gerenciar o acesso no nível do cofre de chaves. Há cenários em que o gerenciamento de acesso em outros escopos pode simplificar o gerenciamento de acesso.

• Infraestrutura, administradores e operadores de segurança: gerenciar grupos de cofres de chaves no nível de grupo de gerenciamento, assinatura ou grupo de recursos com políticas de acesso ao cofre requer a manutenção de políticas para cada cofre de chaves. O RBAC do Azure permite criar uma atribuição de função no grupo de gerenciamento, assinatura ou grupo de recursos. Essa atribuição será aplicada a quaisquer novos cofres de chaves criados sob o mesmo escopo. Nesse cenário, é recomendável usar o Privileged Identity Management com acesso just-in time em vez de fornecer acesso permanente.

• Aplicativos: há cenários em que o aplicativo precisaria compartilhar segredo com outro aplicativo. Usando políticas de acesso ao cofre, o cofre de chaves separado teve que ser criado para evitar dar acesso a todos os segredos. O RBAC do Azure permite atribuir função com escopo para segredo individual, em vez disso, usando o cofre de chave única.

Como migrar

Siga estes passos para migrar o seu cofre de chaves para Azure RBAC a partir das políticas de acesso:

• Preparar: certifique-se de ter as permissões adequadas e um inventário dos seus aplicativos.
• Inventário: documente todas as políticas e permissões de acesso existentes.
• Criar funções Azure RBAC: Atribuir funções Azure RBAC apropriadas a cada principal de segurança.
• Ativar Azure RBAC: Mudar o cofre de chaves para usar o modelo de controlo de acesso Azure RBAC.
• Validar: teste o acesso para garantir que todos os aplicativos e usuários mantenham o acesso apropriado.
• Monitor: configure o monitoramento e o alerta para problemas de acesso.

Pré-requisitos

Antes de iniciar a migração, certifique-se de:

1. Permissões necessárias: Você deve ter as seguintes permissões no cofre de chaves:

   • Microsoft.Authorization/roleAssignments/write permissão, incluída nas funções de Proprietário e Administrador de Acesso de Usuário
   • Microsoft.KeyVault/vaults/write permissão, incluída na função de Colaborador do Cofre de Chaves

   Nota

   As funções clássicas de administrador de subscrição (Administrador de Serviços e Co-Administrator) não são suportadas.

2. Inventário de aplicativos e identidades: liste todos os aplicativos, serviços e usuários que acessam o cofre de chaves e documente todas as políticas de acesso atuais e as permissões que elas concedem.

Inventariar políticas de acesso atuais

Documente todas as políticas de acesso existentes, observando as entidades de segurança (usuários, grupos, entidades de serviço) e suas permissões.

# List all current access policies
az keyvault show --name <vault-name> --resource-group <resource-group-name> --query properties.accessPolicies

# List all current access policies
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>"
$vault.AccessPolicies

Criar atribuições equivalentes de funções Azure RBAC

Para cada principal de segurança com uma política de acesso, crie uma ou mais atribuições de papéis RBAC Azure com base na tabela de mapeamento acima.

# Example for Key Vault Administrator role:
az role assignment create --role "Key Vault Administrator" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
az role assignment create --role "Key Vault Secrets Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
az role assignment create --role "Key Vault Crypto Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
az role assignment create --role "Key Vault Certificates Officer" --assignee "<object-id-or-email>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Administrator role:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Administrator" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Secrets Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Crypto Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Example for Key Vault Certificates Officer:
New-AzRoleAssignment -RoleDefinitionName "Key Vault Certificates Officer" -ObjectId "<object-id>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Ativar Azure RBAC

Depois de criar todas as atribuições de funções necessárias, altere o cofre para utilizar o modelo de permissões do Azure RBAC.

# Switch the vault to Azure RBAC
az keyvault update --name <vault-name> --resource-group <resource-group-name> --enable-rbac-authorization true

# Switch the vault to Azure RBAC permission model
$vault = Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>"
Update-AzKeyVault -VaultName $vault.VaultName -ResourceGroupName $vault.ResourceGroupName -EnableRbacAuthorization $true

Validar acesso

Teste o acesso ao cofre para garantir que todas as aplicações e utilizadores ainda possam realizar as operações necessárias.

# Try to list secrets to verify access
az keyvault secret list --vault-name <vault-name>

# Try to get a secret to verify access
az keyvault secret show --vault-name <vault-name> --name <secret-name>

# Try to list secrets to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>"

# Try to get a secret to verify access
Get-AzKeyVaultSecret -VaultName "<vault-name>" -Name "<secret-name>"

Configurar monitoramento e alertas

Após a migração, configure o monitoramento adequado para detetar quaisquer problemas de acesso:

# Enable diagnostics logging for Key Vault
az monitor diagnostic-settings create --resource <vault-id> --name KeyVaultLogs --logs "[{\"category\":\"AuditEvent\",\"enabled\":true}]" --workspace <log-analytics-workspace-id>

# Get the vault resource ID
$vaultResourceId = (Get-AzKeyVault -VaultName "<vault-name>" -ResourceGroupName "<resource-group-name>").ResourceId

# Enable diagnostics logging for Key Vault
$logs = @()
$logs += New-AzDiagnosticSettingLogSettingsObject -Category "AuditEvent" -Enabled $true
Set-AzDiagnosticSetting -ResourceId $vaultResourceId -Name "KeyVaultLogs" -WorkspaceId "<log-analytics-workspace-id>" -Log $logs

Governança de migração com a Política do Azure

Usando o serviço Azure Policy, pode gerir a migração Azure RBAC nos seus vaults. Pode criar uma definição de política personalizada para auditar os cofres de chaves existentes e fazer com que todos os novos cofres usem o Azure RBAC.

Criar e atribuir definição de política para Key Vault Azure RBAC

1. Navegue até Recurso de política
2. Selecione Atribuições em Criação no lado esquerdo da página Política do Azure
3. Selecione Atribuir política na parte superior da página
4. Insira as seguintes informações:
   • Defina o escopo da política escolhendo a assinatura e o grupo de recursos
   • Selecione a definição da política: "[Pré-visualização]: Azure Key Vault deve usar Azure RBAC"
   • Defina o efeito desejado da política (Auditar, Rejeitar ou Desativado)
5. Conclua a tarefa revisando-a e criando-a

Depois de a política ser atribuída, pode demorar até 24 horas para efetuar a verificação. Após a conclusão da verificação, você poderá ver os resultados da conformidade no painel da Política do Azure.

Política de Acesso à Ferramenta de Comparação do RBAC do Azure

Ferramenta PowerShell para comparar as políticas de acesso do Key Vault com as funções atribuídas no Azure RBAC, facilitando a migração das Políticas de Acesso para o Azure RBAC. A intenção da ferramenta é fornecer uma verificação de sanidade ao migrar o Key Vault existente para Azure RBAC, para garantir que as funções atribuídas com ações de dados subjacentes cobrem as Políticas de Acesso existentes.

Solução de problemas comuns

• Atraso na atribuição de função: as atribuições de função podem levar vários minutos para se propagar. Implemente a lógica de repetição em seus aplicativos.
• Atribuições de função perdidas após a recuperação: As atribuições de função não são preservadas quando um cofre é recuperado após a eliminação suave. Você deve recriar todas as atribuições de função após a recuperação.
• Erros de acesso negado: Verifique se:
  • As funções corretas são atribuídas no escopo certo
  • A entidade de serviço ou identidade gerenciada tem as permissões exatas necessárias
  • As regras de acesso à rede não estão a bloquear a sua ligação
• Os scripts falham após a migração: atualize quaisquer scripts que tenham utilizado políticas de acesso para usar atribuições de função.

Mais informações

• Visão geral do RBAC do Azure
• Tutorial de funções personalizadas
• Gerenciamento privilegiado de identidades