限制对 Azure Key Vault 的访问

Question

我想创建一个访问权限相当受限的 Azure 密钥保管库（我们的一两个应用程序）。 我已经通过 Azure 门户创建了 Key Vault，但是当我查看“访问控制”部分时，我发现多个应用程序和用户具有 Key Vault 的贡献者角色（从订阅继承），这为他们提供了更多的访问权限他们应该有。

由于订阅是可以设置访问控制的最高级别，因此我无法在不撤消订阅级别的情况下撤消这些应用程序/用户的访问权限，这可能会导致各种问题。 （不太清楚这些需要什么权限，因此必须在资源组或资源级别授予这些权限会有点痛苦）。 更重要的是，没有什么可以阻止后来出现的人在订阅级别添加贡献者角色（例如，对于某些新应用程序），并破坏密钥库的安全性。

因此，考虑到所有这些，限制对 Azure Key Vault 的访问的最佳方法是什么，以便只有我想要的应用程序/用户才能访问它，尽管事实上有几个应用程序/用户已经在以下位置拥有这些权限订阅级别？

更多信息：我们使用 Azure 资源管理器模型，所有内容当前都存储在一个订阅中。

Answer 1

看起来您无法以今天的 RBAC 工作方式实现这一目标。

以下是一些已经在反馈论坛上运行的反馈请求 - https://feedback.azure.com 。 一个用于 Key Vault，另一个以存储帐户为例，但本质上是在寻找相同的功能来覆盖继承的权限。

您可能希望为这些请求投票。

1. 拒绝具有 Azure Key Vault Service 继承权限的用户修改访问策略

2. 在资源组级别排除/覆盖从订阅继承的 RBAC 权限

更新（回答来自评论的其他查询）：

首先不授予订阅级访问权限（管理员除外）

是的，这肯定会有所帮助。

另一个建议是尝试使用资源组来组织您的资源，然后在这些资源组（范围）上分配角色。 这样，您无需授予对单个项目的访问权限，但同时可以避免授予最高订阅级别的访问权限。

Answer 2

您可以选择创建一个蓝图，您可以使用该蓝图来配置密钥库上的锁。 如果您将此 BP 部署为只读，则无法从保险库中移除锁定，因此在您再次将蓝图配置更改为不锁定，然后从保险库中移除锁定之前，没有人可以更改保险库的权限。

可以访问您的保管库（又名数据平面）的应用程序等仍然可以访问源代码