背景
Azure Key Vaultのアクセスポリシーの設定方法に最近変更がありました。この記事では、新しい設定方法について説明します。
変更前のアクセスポリシーの設定方法
- Key Vaultを作成します。
- アクセスポリシー」を選択し、「作成」ボタンをクリックします。
- 「キーのアクセス許可」、「シークレットのアクセス許可」、「証明書のアクセス許可」の中から、必要なアクセス許可を選択します。
- 「プリンシパル」選択ウィンドウで、検索フィールドにユーザー、アプリケーション、またはサービスプリンシパルの名前を入力し、適切な結果を選択します。
- アクセスポリシーの変更内容を確認し、[作成]を選択してアクセスポリシーを保存します。
詳細な手順については、Microsoftの公式ドキュメントを参照してください:
https://learn.microsoft.com/ja-jp/azure/key-vault/general/assign-access-policy?WT.mc_id=Portal-Microsoft_Azure_KeyVault&tabs=azure-portal
変更後のアクセスポリシーの設定方法
RBACでアクセス管理を行うようになった。
Key vaultデータプレーン操作のためのAzureの組み込みロールは以下です。
| 組み込みのロール | 説明 |
|---|---|
| Key Vault Administrator | キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Certificates Officer | キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Crypto Officer | キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Crypto Service Encryption User | キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Crypto User | キーを使用した暗号化操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Crypto Service Release User | Azure Confidential Computing 環境およびこれと同等な環境用のリリース キー。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Reader | キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ります。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Secrets Officer | キーコンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
| Key Vault Secrets User | 秘密キーを使用し、証明書のシークレット部分を含むシークレットの内容を読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 |
詳細な手順については、Microsoftの公式ドキュメントを参照してください:
おまけ
RBACで権限を付与するには、「ユーザーアクセス管理者」が必要です。
Discussion