Key Vault 中访问控制和访问策略之间的区别
Difference between access control and access policies in Key Vault
我想尽可能安全地锁定我的 Key Vault。我相信访问控制就是谁可以访问和修改整个 Key Vault。访问策略是谁或什么可以访问秘密。
我们的管理员组应该在访问控制组中。我们的应用服务(具有托管身份)应该在访问策略中。我觉得没有比这更多的必要了?
是的,你是对的。
Access control (IAM)在管理层面, Access policies在数据层面。
在您的情况下,您应该注意如果您的管理员组仅在 Access control (IAM) 中,即使它是 Owner/Contributor,组中的用户将无法直接访问机密,除非用户添加自己去 Access policies.
同样,如果您不希望 user/service principal/group 访问机密,请不要将它们添加到 Access control (IAM) 作为角色,例如 Owner/Contributor,因为他们将能够将自己添加到 Access policies.
我想尽可能安全地锁定我的 Key Vault。我相信访问控制就是谁可以访问和修改整个 Key Vault。访问策略是谁或什么可以访问秘密。
我们的管理员组应该在访问控制组中。我们的应用服务(具有托管身份)应该在访问策略中。我觉得没有比这更多的必要了?
是的,你是对的。
Access control (IAM)在管理层面, Access policies在数据层面。
在您的情况下,您应该注意如果您的管理员组仅在 Access control (IAM) 中,即使它是 Owner/Contributor,组中的用户将无法直接访问机密,除非用户添加自己去 Access policies.
同样,如果您不希望 user/service principal/group 访问机密,请不要将它们添加到 Access control (IAM) 作为角色,例如 Owner/Contributor,因为他们将能够将自己添加到 Access policies.