Prepararsi per la versione 2026-02-01 e successive dell'API Key Vault: Azure RBAC come controllo di accesso predefinito.

Azure Key Vault API versione 2026-02-01 e successive modifica il modello di controllo di accesso predefinito per i nuovi insiemi di chiavi a Azure RBAC, in linea con l'esperienza del portale di Azure. Sia il controllo degli accessi in base ai ruoli di Azure che le politiche di accesso rimangono completamente supportati. La versione API 2026-02-01 è disponibile in aree Azure pubbliche, Azure gestite da 21Vianet e Azure per enti pubblici.

Nuovo comportamento di creazione della Key Vault: Quando si crea un nuovo Key Vault con versione API 2026-02-01 o versione successiva, il modello di controllo di accesso predefinito è RBAC di Azure (enableRbacAuthorization = true). Questa impostazione predefinita si applica solo alle operazioni di creazione . Per usare i criteri di accesso per i nuovi insiemi di credenziali, impostare enableRbacAuthorization su false al momento della creazione.
Comportamento degli insiemi di chiavi esistenti: Gli insiemi di chiavi esistenti mantengono il modello di controllo di accesso corrente, a meno che non si modifichi enableRbacAuthorization in modo esplicito. L'uso della versione 2026-02-01 dell'API o versione successiva per aggiornare un vault non modifica automaticamente il controllo di accesso. Gli insiemi di credenziali in cui enableRbacAuthorization è null (da versioni precedenti dell'API) continuano a utilizzare i criteri di accesso.

Importante

Tutte le versioni API del piano di controllo Key Vault precedenti al 2026-02-01 verranno ritirate il 27 febbraio 2027. Gli insiemi di credenziali continueranno a esistere e saranno accessibili solo con versioni API di gestione 2026-02-01 o successive. Le API del piano dati non risultano interessate.

Le versioni dell'API di anteprima (ad eccezione della versione 2026-04-01-preview) sono deprecate con un periodo di preavviso di 90 giorni. Azure Cloud Shell usa sempre la versione più recente dell'API. Se sono presenti script eseguiti in Cloud Shell, assicurarsi che siano compatibili con l'API versione 2026-02-01 o successiva. Per un elenco delle versioni api supportate, vedere Versioni dell'API del piano di controllo supportate. Per informazioni dettagliate sul pacchetto SDK, vedere Novità di Azure Key Vault.

È consigliabile eseguire la migrazione degli insiemi di credenziali delle chiavi che attualmente usano i criteri di accesso (legacy) ad Azure controllo degli accessi in base al ruolo (Azure RBAC) per migliorare la sicurezza. Per ulteriori informazioni sui motivi per cui il controllo degli accessi in base al ruolo di Azure è consigliato, vedere Controllo degli accessi in base al ruolo di Azure (Azure RBAC) rispetto ai criteri di accesso.

Cosa devi fare

Se si conosce già il modello di controllo di accesso del vault, passare a determinare i passaggi successivi. In caso contrario, controllare prima la configurazione corrente .

Importante

Per modificare la proprietà enableRbacAuthorization per un vault di chiavi, è necessario disporre dell'autorizzazione Microsoft.KeyVault/vaults/write (inclusa nei ruoli come Collaboratore e Proprietario). Il portale di Azure richiede inoltre Microsoft.Authorization/roleAssignments/write (inclusi nei ruoli come Proprietario e Amministratore accesso utenti) per garantire che tu possa assegnare i ruoli RBAC di Key Vault dopo la modifica ed evitare di rimanere bloccato. Per ulteriori informazioni, vedere Abilitare le autorizzazioni Azure RBAC su Key Vault.

Controllare la configurazione corrente

Controllare se la configurazione di accesso dell'insieme di credenziali è impostata su Azure RBAC o criteri di accesso. Controllare questa configurazione tramite i comandi di interfaccia della riga di comando di Azure o PowerShell.

Dopo aver controllato la configurazione:

Se i tuoi insiemi di credenziali usano Azure RBAC (enableRbacAuthorization = true), passa a Vaults using Azure RBAC.
Se gli archivi usano criteri di accesso (legacy) (enableRbacAuthorization = false o null), passare a Archivi usando i criteri di accesso.

Controllare un singolo insieme di credenziali

interfaccia della riga di comando di Azure
PowerShell

Usare il comando az keyvault show per recuperare i dettagli del key vault:

az keyvault show --name <vault-name> --resource-group <resource-group>

Controllare la proprietà Abilitato per l'autorizzazione di controllo degli accessi in base al ruolo (enableRbacAuthorization) per l'insieme di credenziali delle chiavi.

Usare il cmdlet Get-AzKeyVault per ottenere dettagli del vault:

Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

Controllare la proprietà Abilitato per l'autorizzazione di controllo degli accessi in base al ruolo (enableRbacAuthorization) per l'insieme di credenziali delle chiavi.

Controllare più insiemi di credenziali per gruppo di risorse

interfaccia della riga di comando di Azure
PowerShell

Usare il comando az keyvault list per elencare tutti i Key Vault in un gruppo di risorse e controllare lo stato di autorizzazione RBAC:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Creare la funzione seguente in PowerShell:

function Get-KeyVaultsFromResourceGroup {
    # Get all key vaults in the specified resource group (basic information)
    $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Assegnare al gruppo di risorse il nome per cui si vuole eseguire la funzione:
```
$resourceGroupName = "<resource-group>"
```
Chiamare la funzione Get-KeyVaultsFromResourceGroup per vedere quali volte nel gruppo di risorse del passaggio 2 hanno criteri di accesso abilitati rispetto all'Azure RBAC (controllo degli accessi in base al ruolo).

Controllare più insiemi di credenziali nella sottoscrizione

interfaccia della riga di comando di Azure
PowerShell

Usare il comando az keyvault list per elencare tutti i vault nella sottoscrizione e controllare il loro stato di autorizzazione RBAC:

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Creare la funzione seguente in PowerShell:

function Get-KeyVaultsFromSubscription {
    # Get all key vaults in the subscription (basic information)
    $keyVaults = Get-AzKeyVault

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName
        $resourceGroupName = $keyVault.ResourceGroupName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Chiamare la funzione Get-KeyVaultsFromSubscription per vedere quali insiemi di credenziali nella sottoscrizione dispongono di criteri di accesso rispetto Azure controllo degli accessi in base al ruolo abilitato. A seconda del numero di insiemi di credenziali nella sottoscrizione, l'esecuzione della funzione potrebbe richiedere più di 10 minuti.

Determinare i passaggi successivi

In base al modello di controllo di accesso corrente, seguire le indicazioni appropriate riportate di seguito.

Archivi che usano il controllo degli accessi basato sui ruoli di Azure

Se i vostri insiemi di credenziali delle chiavi utilizzano già i ruoli basati sugli accessi di Azure (Azure RBAC), non sono necessarie modifiche al controllo di accesso. Tuttavia, è necessario aggiornare tutti gli SDK di gestione del piano di controllo di Key Vault, ARM, Bicep, modelli Terraform e chiamate API REST per utilizzare l'API versione 2026-02-01 o successiva prima del 27 febbraio 2027, quando le versioni precedenti dell'API del controllo del piano vengono ritirate.

Insiemi di credenziali che usano i criteri di accesso

Se i Key Vault usano criteri di accesso (legacy) (enableRbacAuthorization = false o null), decidere se si desidera migrare all'accesso basato sui ruoli (scelta consigliata) o continuare a usare i criteri di accesso. Per altre informazioni sui modelli di controllo di accesso, vedere Use Azure RBAC for managing access to Key Vault and Azure Key Vault best practices.

Scegliere il percorso:

Azure controllo degli accessi in base al ruolo (scelta consigliata): Migrare a Azure controllo degli accessi in base al ruolo per una maggiore sicurezza.
Criteri di accesso (legacy): continuare a usare i criteri di accesso impostando enableRbacAuthorization su false quando si creano nuovi insiemi di credenziali.

Eseguire la migrazione ad Azure RBAC (consigliato)

Usare questa opportunità per aumentare la postura di sicurezza migrando dai criteri di accesso del vault a Azure RBAC. Per indicazioni dettagliate sulla migrazione, vedere Migra dai criteri di accesso alla cassaforte a un modello di autorizzazione di controllo degli accessi basato sui ruoli di Azure.

Dopo la migrazione, aggiornare tutti gli SDK di gestione del piano di controllo Key Vault, ARM, Bicep, i modelli Terraform e le chiamate API REST per usare la versione API 2026-02-01 o successiva.

Continuare a usare i criteri di accesso

I criteri di accesso rimangono un modello di controllo di accesso completamente supportato.

Cassaforti esistenti: le cassaforti che già utilizzano i criteri di accesso continuano a funzionare senza modifiche. Assicurarsi che gli SDK di gestione del piano di controllo, ARM, Bicep, i modelli Terraform e le chiamate API REST usino l'API versione 2026-02-01 o successiva prima del 27 febbraio 2027.
Nuovi insiemi di credenziali: quando si creano nuovi insiemi di credenziali con l'API versione 2026-02-01 o successiva, è necessario impostare enableRbacAuthorization in modo esplicito su false per usare i criteri di accesso, come descritto di seguito.

Scegliere uno dei metodi seguenti in base allo scenario:

Utilizzare i modelli ARM, Bicep, Terraform
Utilizzo dei comandi Create Key Vault
Uso dei comandi Crea risorsa

Utilizzo di template ARM, Bicep, Terraform

Quando si creano nuovi insiemi di chiavi usando l'API versione 2026-02-01 o successiva, impostare enableRbacAuthorization su false in tutti i modelli ARM, Bicep, Terraform di Key Vault e nelle chiamate API REST per utilizzare le politiche di accesso (legacy).

Uso dei comandi Crea Key Vault

Quando si creano nuovi vault delle chiavi usando l'API versione 2026-02-01 o successiva, è necessario specificare la configurazione delle politiche di accesso per evitare di predefinire il controllo degli accessi in base al ruolo di Azure.

Assicurarsi di avere la versione più recente dei moduli interfaccia della riga di comando di Azure o PowerShell.

interfaccia della riga di comando di Azure
PowerShell

Aggiornare interfaccia della riga di comando di Azure alla versione più recente. Per altre informazioni, vedere Come aggiornare il interfaccia della riga di comando di Azure.

Usare il comando appropriato per creare un Key Vault con criteri di controllo degli accessi:

interfaccia della riga di comando di Azure
PowerShell

Usare il comando az keyvault create e impostare --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

Usare il cmdlet New-AzKeyVault e impostare -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Uso dei comandi Crea risorsa

Quando si creano nuovi insiemi di credenziali delle chiavi usando l'API versione 2026-02-01 o successiva, impostare enableRbacAuthorization su false per usare i criteri di accesso (legacy). Se non si specifica questa proprietà, viene impostata di default su true (controllo degli accessi basato sui ruoli di Azure).

interfaccia della riga di comando di Azure
PowerShell

Usare il comando az resource create e impostare "enableRbacAuthorization": false e --api-version "2026-02-01":

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

Usare il cmdlet New-AzResource e impostare enableRbacAuthorization = $false e -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-10