Как заблокировать владельца подписки от просмотра значений keyvault

Question

В Azure мы используем привилегированный менеджер удостоверений для многих действий devops и предоставляем доступ владельцам подписок для некоторых людей.Однако любой владелец может добавить себя в политики доступа keyvault и просмотреть все значения.Есть ли способ заблокировать этот доступ, не помещая keyvault в другую подписку?

Answer 1

Есть ли способ заблокировать этот доступ, не добавляя keyvault в другую подписку?

Короче говоря, я бы сказал, Нет, вы не можете.Как вы знаете, Owner имеет все права доступа к ресурсу по умолчанию.см. снимок экрана ниже

Ваш случай

Насколько я понимаю, вам лучше попробовать пойти следующим образомчтобы уменьшить проблемы с управлением доступом к хранилищу ключей.

Чтобы предоставить политики на доступ к нескольким пользователям, создайте группу безопасности Azure AD и добавьте пользователей в эту группу.Эти политики доступа предоставляют разрешения отдельно для ключей, секретов и сертификатов.Эта функция поддерживает до 1024 записей политики доступа для доступа к хранилищу ключей на разных уровнях группы пользователей.Для этого вы можете посмотреть azure IAM

Примечание: Чтобы установить эти политики доступа, пользователь, группа или приложение должны иметь Contributor разрешения для плоскости управления для этого хранилища ключей.

Поэтому я предполагаю, что таким образом вы можете легко управлять им, не предпринимая дополнительных мер.

Я бы предложил вам изменить роль конкретного пользователя с Owner на любую другую роль, которая по умолчанию не имеет разрешения выше.

Улучшение

Помимо официального документа Microsoft вы также можете указать здесь , если это поможет вам.Чтобы узнать больше о лазурной роли, вы можете проверить здесь

Answer 2

К сожалению, вы не могли этого сделать.Это сделано специально, роль Owner сможет управлять всем в рамках подписки, включая доступ к ресурсам.

Доступ к хранилищу ключей контролируется через два интерфейса: плоскость управления и плоскость данных.

Как упомянуто в этой ссылке :

Если у пользователя есть права Contributor для плоскости управления ключевыми хранилищами, он может предоставить себе доступ кплоскость данных, установив политику доступа Key Vault.Вы должны строго контролировать, кто имеет роль Contributor для доступа к вашим хранилищам ключей.Убедитесь, что только уполномоченные лица могут получить доступ к вашим хранилищам ключей, ключам, секретам и сертификатам и управлять ими.

Разрешения Owner больше, чем Contributor, поэтому это та же логика.

Для более подробной информации, см. Эту статью, достаточно ясно: https://docs.microsoft.com/en-us/azure/key-vault/key-vault-secure-your-key-vault. Вы также можете увидеть эту ссылку для встроенных ролей вместе с их разрешениями.