Question

Я хочу как можно надежнее заблокировать хранилище ключей. Я считаю, что контроль доступа - это то, кто может получить доступ и изменить Key Vault в целом. Политики доступа - это кто или что может получить доступ к секретам.

Наша группа администраторов должна быть в группе контроля доступа. Наша служба приложений (которая имеет управляемую идентификацию) должна быть в политиках доступа. Я не думаю, что в этом есть необходимость?

Joy Wang · Answer 1 · 11 марта 2020

Да, вы правы.

Access control (IAM) находится в плоскости управления, Access policies находится в плоскости данных. В вашем случае вы должны заметить, что ваша группа администраторов находится только в Access control (IAM), даже если она Owner/Contributor, пользователь в группе не сможет получить доступ к секретам напрямую, если пользователь не добавит себя в Access policies.

Точно так же, если вы не хотите, чтобы пользователь / руководитель / группа доступа имели доступ к секретам, никогда не добавляйте их в Access policies в качестве ролей, например Owner/Contributor, потому что они смогут добавить себя в access policies.

Разница между контролем доступа и политиками доступа в Key Vault

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Разница между контролем доступа и политиками доступа в Key Vault

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы