Consenti accesso a chiavi, certificati e segreti di Key Vault con il controllo degli accessi in base al ruolo di Azure

Azure controllo degli accessi in base al ruolo (Azure RBAC) è un sistema di autorizzazione basato su Azure Resource Manager che fornisce una gestione centralizzata degli accessi alle risorse di Azure. A partire dalla versione API 2026-02-01, Azure RBAC (controllo degli accessi in base al ruolo) è il modello di controllo di accesso predefinito per gli insiemi di credenziali (Key Vault) appena creati. Per informazioni dettagliate su questa modifica e su come prepararsi, vedere Prepare per Key Vault API versione 2026-02-01 e successive.

Azure RBAC consente agli utenti di gestire le chiavi, i segreti e le autorizzazioni per i certificati e offre un'unica posizione per gestire tutte le autorizzazioni in tutti gli insiemi di credenziali (Key Vaults).

Il modello di controllo degli accessi in base al ruolo Azure consente agli utenti di impostare le autorizzazioni per livelli di ambito diversi: gruppo di gestione, sottoscrizione, gruppo di risorse o singole risorse. Il controllo degli accessi in base al ruolo di Azure per l'insieme delle chiavi consente anche agli utenti di disporre di autorizzazioni separate per singole chiavi, segreti e certificati.

Per altre informazioni, vedere Azure controllo degli accessi in base al ruolo (Azure RBAC).

Panoramica del modello di accesso Key Vault

L'accesso a un key vault è controllato tramite due interfacce: il piano controllo e il piano dati.

Il piano di controllo è la posizione in cui si gestisce Key Vault. Le operazioni in questo piano includono la creazione e l'eliminazione di Key Vault, il recupero delle proprietà del Key Vault e l'aggiornamento dei criteri di accesso.

Il piano dati è il punto in cui si lavora con i dati archiviati in un insieme di credenziali delle chiavi. È possibile aggiungere, eliminare e modificare chiavi, segreti e certificati.

Entrambi i piani usano Microsoft Entra ID per l'autenticazione. Per l'autorizzazione, il piano di controllo usa il controllo degli accessi in base al ruolo di Azure (Azure RBAC) e il piano dati usa un criterio di accesso di Key Vault (legacy) o il controllo degli accessi in base al ruolo di Azure per le operazioni del piano dati di Key Vault.

Per accedere a un key vault in entrambi gli ambiti, tutti i chiamanti (utenti o applicazioni) devono disporre dell'autenticazione e dell'autorizzazione appropriate. L'autenticazione stabilisce l'identità del chiamante. L'autorizzazione determina le operazioni che il chiamante può eseguire.

Le applicazioni accedono ai piani attraverso gli endpoint. I controlli di accesso dei due piani funzionano in modo indipendente. Per concedere a un'applicazione l'accesso per utilizzare le chiavi in un key vault, si concede l'accesso al data plane usando Azure RBAC o un criterio di accesso di Key Vault. Per concedere a un utente l'accesso in lettura alle proprietà e ai tag di Key Vault, ma non ai dati (chiavi, segreti o certificati), è necessario concedere l'accesso al piano di controllo tramite il controllo degli accessi in base al ruolo di Azure (RBAC).

Endpoint del piano di accesso

La tabella seguente illustra gli endpoint per il controllo e i piani dati.

Gestione dell'accesso amministrativo alle Key Vault

Quando si crea un insieme di chiavi in un gruppo di risorse, si gestisce l'accesso usando Microsoft Entra ID. Si concede agli utenti o ai gruppi la possibilità di gestire i key vault in un gruppo di risorse. È possibile concedere l'accesso a un livello di ambito specifico assegnando i ruoli di Azure appropriati. Per concedere l'accesso a un utente per gestire i Key Vault, assegni un ruolo predefinito Key Vault Contributor all'utente in un ambito specifico. I livelli di ambito seguenti possono essere assegnati a un ruolo Azure:

• Subscription: un ruolo Azure assegnato a livello di sottoscrizione si applica a tutti i gruppi di risorse e le risorse all'interno di tale sottoscrizione.
• Gruppo di risorse: un ruolo Azure assegnato a livello di gruppo di risorse si applica a tutte le risorse del gruppo di risorse.
• Specific resource: un ruolo Azure assegnato per una risorsa specifica si applica a tale risorsa. In questo caso, la risorsa è un insieme di credenziali delle chiavi specifico.

Esistono diversi ruoli predefiniti. Se un ruolo predefinito non soddisfa le specifiche esigenze, è possibile definire un ruolo personalizzato. Per altre informazioni, vedere Azure RBAC: ruoli predefiniti.

Procedure consigliate per l'assegnazione di ruoli per chiavi, segreti e certificati individuali

È consigliabile usare un insieme di credenziali per ogni applicazione di ciascun ambiente (sviluppo, pre-produzione e produzione) con ruoli assegnati nell'ambito dell'insieme di credenziali delle chiavi.

Non è consigliabile assegnare ruoli su singole chiavi, segreti e certificati. Le eccezioni includono scenari in cui:

• I singoli segreti richiedono l'accesso a singoli utenti; ad esempio, dove gli utenti devono leggere la propria chiave privata SSH per eseguire l'autenticazione in una macchina virtuale usando Azure Bastion.
• I singoli segreti devono essere condivisi tra più applicazioni; ad esempio, quando un'applicazione deve accedere ai dati di un'altra applicazione.

Per altre informazioni sulle linee guida per la gestione di Azure Key Vault, vedere:

• Secure your Azure Key Vault
• Azure Key Vault limiti del servizio

Ruoli predefiniti di Azure per le operazioni del piano dati di Key Vault

Per altre informazioni sulle definizioni di ruoli predefiniti Azure, vedere Azure ruoli predefiniti.

Gestione delle assegnazioni di ruolo del piano dei dati integrate di Key Vault

Utilizzo delle autorizzazioni di segreti, chiavi e certificati Azure RBAC con Key Vault

Il nuovo modello di autorizzazione per il controllo degli accessi basato sui ruoli di Azure per la cassaforte delle chiavi offre un'alternativa al modello di criteri di accesso alla cassaforte delle chiavi.

Prerequisiti

È necessario avere una sottoscrizione Azure. In caso contrario, è possibile creare un account free prima di iniziare.

Per gestire le assegnazioni di ruolo, è necessario disporre delle autorizzazioni Microsoft.Authorization/roleAssignments/write e Microsoft.Authorization/roleAssignments/delete, come ad esempio Amministratore dell'accesso ai dati del Key Vault (con autorizzazioni limitate solo per assegnare/rimuovere ruoli specifici del Key Vault), Amministratore dell'accesso utente o Proprietario.

Abilitare le autorizzazioni Azure RBAC su Key Vault

1. Attivare le autorizzazioni Azure RBAC nel nuovo insieme di credenziali di chiavi:

   

2. Abilitare le autorizzazioni di controllo degli accessi in base al ruolo per il key vault esistente di Azure:

   

Assegnare un ruolo

az role assignment create --role <role-name> --assignee <user-principal-name>> --scope <scope>

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "<role-name>" -SignInName <user-principal-name> -Scope "<scope>"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId <application-id> -Scope "<scope>"

Assegnazione di ruolo nell'ambito di un gruppo di risorse

az role assignment create --role "Key Vault Reader" --assignee <user-principal-name> --scope /subscriptions/<subscription-id>/resourcegroups/<resource-group>

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "Key Vault Reader" -SignInName <user-principal-name> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Reader" -ApplicationId <application-id> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>"

L'assegnazione di ruolo precedente consente di elencare gli oggetti dell'insieme di credenziali delle chiavi in Key Vault.

assegnazione di ruolo nell'ambito di Key Vault

az role assignment create --role "Key Vault Secrets Officer" --assignee <user-principal-name> --scope /subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -SignInName <user-principal-name> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ApplicationId <application-id> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Assegnazione di ruolo nell'ambito segreto

az role assignment create --role "Key Vault Secrets Officer" --assignee <user-principal-name> --scope /subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>/secrets/RBACSecret

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -SignInName <user-principal-name> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>/secrets/RBACSecret"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ApplicationId <application-id> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>/secrets/RBACSecret"

Prova e verifica

1. Verificare l'aggiunta di un nuovo segreto senza il ruolo 'Key Vault Secrets Officer' a livello di Key Vault.

   1. Passare alla scheda Controllo di accesso (IAM) del key vault e rimuovere l'assegnazione di ruolo "Key Vault Secrets Officer" per questa risorsa.

      

   2. Passare al segreto creato in precedenza. Puoi vedere tutte le proprietà segrete.

      

   3. La creazione di un nuovo segreto (Segreti > +Genera/Importa) dovrebbe generare questo errore:

      

2. Validare la modifica del segreto senza il ruolo "Key Vault Secret Officer" a livello di segreto.

   1. Passare alla scheda IAM (Secret Controllo di accesso) creata in precedenza e rimuovere l'assegnazione di ruolo "Key Vault Secrets Officer" per questa risorsa.

   2. Passare al segreto creato in precedenza. È possibile visualizzare proprietà segrete.

      

3. Convalidare i segreti letti senza ruolo Lettore a livello di insieme di credenziali delle chiavi.

   1. Passare alla scheda Controllo di accesso (IAM) del gruppo di risorse key vault e rimuovere l'assegnazione di ruolo "lettore Key Vault".

   2. Se si passa alla scheda Segreti di key vault, verrà visualizzato questo errore:

      

Creazione di ruoli personalizzati

Comando az role definition create

az role definition create --role-definition '{ \
    "Name": "Backup Keys Operator", \
    "Description": "Perform key backup/restore operations", \
    "Actions": [], \
    "DataActions": [ \
        "Microsoft.KeyVault/vaults/keys/read ", \
        "Microsoft.KeyVault/vaults/keys/backup/action", \
        "Microsoft.KeyVault/vaults/keys/restore/action" \
    ], \
    "NotDataActions": [], \
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'

$roleDefinition = @"
{ 
    "Name": "Backup Keys Operator", 
    "Description": "Perform key backup/restore operations", 
    "Actions": [], 
    "DataActions": [ 
        "Microsoft.KeyVault/vaults/keys/read ", 
        "Microsoft.KeyVault/vaults/keys/backup/action", 
        "Microsoft.KeyVault/vaults/keys/restore/action" 
    ], 
    "NotDataActions": [], 
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] 
}
"@

$roleDefinition | Out-File role.json

New-AzRoleDefinition -InputFile role.json

Per altre informazioni su come creare ruoli personalizzati, vedere:

Azure ruoli personalizzati

Utilizzare l'intelligenza artificiale per generare assegnazioni di ruolo in Key Vault.

GitHub Copilot aiuta a costruire i comandi corretti di interfaccia della riga di comando di Azure o PowerShell per le assegnazioni di ruolo di Key Vault, in base ai requisiti specifici.

I need to set up Azure RBAC for my Key Vault. Help me create the role assignment commands for the following scenario:
- Key vault name: my-app-keyvault
- Resource group: my-app-rg
- Subscription ID: <subscription-id>
- I need to grant a managed identity (client ID: <managed-identity-client-id>) the ability to read and write secrets, but not manage keys or certificates.
Provide both Azure CLI and PowerShell commands, and explain which built-in role is most appropriate for this least-privilege scenario.

GitHub Copilot è basato sull'IA, quindi sono possibili sorprese ed errori. Per altre informazioni, vedere Copilot domande frequenti.

Domande frequenti

È possibile usare le assegnazioni di ambito oggetto di RBAC di Azure per fornire l'isolamento per i team di applicazione nel servizio Key Vault di Azure?

No. Il modello di autorizzazione controllo degli accessi in base al ruolo (Azure RBAC) consente di assegnare l'accesso a singoli oggetti in Key Vault a un utente o un'applicazione, ma tutte le operazioni amministrative, come il controllo dell'accesso alla rete, il monitoraggio e la gestione degli oggetti, richiedono autorizzazioni a livello di Key Vault, esponendo così informazioni riservate agli operatori tra i team delle applicazioni.

Altre informazioni

• Panoramica di Azure RBAC
• Assegna i ruoli di Azure usando il portale di Azure
• Esercitazione sui ruoli personalizzati
• Secure your Azure Key Vault