Ограничение доступа к Azure Key Vault

Я хочу создать хранилище ключей Azure с довольно ограниченным доступом (одно или два наших приложения). Я создал Key Vault через портал Azure, но когда я смотрю на раздел Access Control, я обнаруживаю, что несколько приложений и Users имеют роль Contributor (унаследованную от подписки) для хранилища ключей, что дает им больше доступа, чем они должны иметь.

Поскольку подписка - это самый высокий уровень, на котором может быть установлен контроль доступа, у меня нет возможности отозвать доступ для этих приложений / пользователей, не отозвав его на уровне подписки, и это, вероятно, вызовет всевозможные проблемы. (не совсем ясно, какие разрешения им нужны, поэтому было бы немного больно предоставлять эти разрешения на уровне группы ресурсов или ресурсов). Более того, ничто не помешает тому, кто придет позже, добавить роли участника на уровне подписки (например, для какого-то нового приложения) и нарушить безопасность хранилища ключей.

Итак, имея в виду все это, каков был бы наилучший способ ограничить доступ к хранилищу лазурных ключей, чтобы только приложения / пользователи, которых я хочу, имели доступ к нему, несмотря на то, что несколько приложений / пользователей уже имеют эти разрешения на уровень подписки?

Подробнее: мы используем модель Azure Resource Manager, и в настоящее время все хранится в одной подписке.


azure azure-rbac azure-resource-manager azure-active-directory azure-keyvault
person Jacob Soderlund    schedule 04.10.2018    source источник
comment
Кажется, вы не можете ограничить пользователей / приложения с ролью участника в области подписки, даже если вы используете политика доступа, они также могут предоставить доступ для себя.   -  person Joy Wang    schedule 04.10.2018

Ответы (1)


arrow_upward
2
arrow_downward

Похоже, вы не можете добиться этого с помощью того, как работает RBAC сегодня.

Вот несколько запросов обратной связи, уже запущенных на форумах обратной связи - https://feedback.azure.com. Один предназначен для Key Vault, а другой использует пример учетной записи хранения, но, по сути, ищет ту же функцию для переопределения унаследованных разрешений.

Вы можете проголосовать за эти запросы.

  1. Запретить пользователям с унаследованными разрешениями для службы хранилища ключей Azure изменять политики доступа

  2. Исключить / переопределить разрешения RBAC, унаследованные от подписки на уровне группы ресурсов

ОБНОВЛЕНИЕ (чтобы ответить на дополнительные вопросы из комментариев):

Не предоставлять доступ на уровне подписки в первую очередь (кроме администраторов)

Да, это определенно поможет.

Еще одно предложение - попробовать использовать группы ресурсов для организации ваших ресурсов, а затем назначить роли для этих групп ресурсов (область действия). Таким образом, вам не нужно предоставлять доступ к отдельным элементам, но в то же время вы можете избежать предоставления доступа на самом высоком уровне подписки.

person Rohit Saigal    schedule 05.10.2018
comment
Я рассмотрю эти запросы, спасибо за полезный ответ. В любом случае, если это все еще так, что может быть лучшим способом настроить все для решения этой проблемы с самого начала? Не предоставлять доступ на уровне подписки в первую очередь (кроме администраторов)? Или, может быть, что-то вроде наличия нескольких подписок? - person Jacob Soderlund; 05.10.2018
comment
Я бы абсолютно поддержал это ... если бы у меня было достаточно репутации для этого - person Jacob Soderlund; 05.10.2018
comment
не беспокойтесь :) Я обновил свой ответ, чтобы включить предложения по некоторым из ваших запросов. - person Rohit Saigal; 05.10.2018