Gewähren Sie Zugriff auf Key Vault-Schlüssel, Zertifikate und Geheimnisse mit der rollenbasierten Zugriffssteuerung von Azure

Azure rollenbasierte Zugriffssteuerung (Azure RBAC) ist ein Autorisierungssystem, das auf Azure Resource Manager basiert, das eine zentrale Zugriffsverwaltung für Azure Ressourcen bereitstellt. Ab API-Version 2026-02-01 ist Azure RBAC das Standardzugriffssteuerungsmodell für neu erstellte Schlüsseltresore. Ausführliche Informationen zu dieser Änderung und zur Vorbereitung finden Sie unter Prepare für Key Vault API Version 2026-02-01 und höher.

Azure RBAC ermöglicht Benutzern das Verwalten von Schlüsseln, geheimen Schlüsseln und Zertifikatberechtigungen und bietet einen Ort zum Verwalten aller Berechtigungen in allen Schlüsseltresorn.

Mit dem Azure RBAC-Modell können Benutzer Berechtigungen auf verschiedenen Bereichsebenen festlegen: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder einzelne Ressourcen. Azure RBAC für den Schlüsseltresor ermöglicht Benutzern auch separate Berechtigungen für einzelne Schlüssel, geheime Schlüssel und Zertifikate.

Weitere Informationen finden Sie unter Azure rollenbasierte Zugriffssteuerung (Azure RBAC).

Übersicht über Key Vault Zugriffsmodell

Der Zugriff auf einen Schlüsseltresor wird über zwei Schnittstellen gesteuert: die Steuerebene und die Datenebene.

Die Steuerungsebene ist der Ort, an dem Sie Key Vault selbst verwalten. Vorgänge in dieser Ebene umfassen das Erstellen und Löschen von Schlüsseltresoren, das Abrufen von Key Vault-Eigenschaften und das Aktualisieren von Zugriffsrichtlinien.

Die datenebene ist der Ort, an dem Sie mit den in einem key vault gespeicherten Daten arbeiten. Sie können Schlüssel, geheime Schlüssel und Zertifikate hinzufügen, löschen und ändern.

Beide Ebenen verwenden Microsoft Entra ID für die Authentifizierung. Für die Autorisierung verwendet die Steuerungsebene Azure rollenbasierte Zugriffssteuerung (Azure RBAC) und die Datenebene verwendet eine Key Vault Zugriffsrichtlinie (Legacy) oder Azure RBAC für Key Vault Datenebenenvorgänge.

Um auf einen Schlüsseltresor in beiden Ebenen zugreifen zu können, müssen alle Anrufe (Benutzer oder Anwendungen) über eine ordnungsgemäße Authentifizierung und Autorisierung verfügen. Die Authentifizierung richtet die Identität des Anrufers ein. Autorisierung bestimmt, welche Vorgänge der Aufrufer ausführen kann.

Anwendungen greifen über Endpunkte auf die Ebenen zu. Die Zugriffssteuerungen für die beiden Ebenen funktionieren unabhängig. Um einer Anwendung Zugriff auf die Verwendung von Schlüsseln in einem Schlüsseltresor zu gewähren, müssen Sie den Zugriff auf Datenebene unter Verwendung von Azure RBAC oder einer Key Vault-Zugriffsrichtlinie gewähren. Um einem Benutzer Lesezugriff auf Key Vault Eigenschaften und Tags zu gewähren, aber nicht auf Daten (Schlüssel, Geheime Schlüssel oder Zertifikate), gewähren Sie steuerungsebenenzugriff mit Azure RBAC.

Endpunkte der Zugriffsebene

In der folgenden Tabelle sind die Endpunkte für das Steuerelement und die Datenebenen aufgeführt.

Verwalten des administrativen Zugriffs auf Key Vault

Wenn Sie einen Schlüsseltresor in einer Ressourcengruppe erstellen, verwalten Sie den Zugriff mithilfe von Microsoft Entra ID. So können Sie Benutzern oder einer Gruppe die Verwaltung von Schlüsseltresoren in einer Ressourcengruppe ermöglichen. Sie können zugriff auf einer bestimmten Bereichsebene gewähren, indem Sie die entsprechenden Azure Rollen zuweisen. Um einem Benutzer Zugriff für die Verwaltung von Schlüsseltresoren zu gewähren, weisen Sie ihm für einen bestimmten Bereich die vordefinierte Rolle Key Vault Contributor zu. Die folgenden Bereichsebenen können einer Azure Rolle zugewiesen werden:

• Subscription: Eine auf Abonnementebene zugewiesene Azure Rolle gilt für alle Ressourcengruppen und Ressourcen innerhalb dieses Abonnements.
• Resource group: Eine auf ressourcengruppenebene zugewiesene Azure Rolle gilt für alle Ressourcen in dieser Ressourcengruppe.
• Specific-Ressource: Eine für eine bestimmte Ressource zugewiesene Azure Rolle gilt für diese Ressource. In diesem Fall ist die Ressource ein bestimmter Schlüsseltresor.

Es gibt mehrere vordefinierte Rollen. Wenn eine vordefinierte Rolle nicht Ihren Anforderungen entspricht, können Sie Ihre eigene Rolle definieren. Weitere Informationen finden Sie unter Azure RBAC: Integrierte Rollen.

Bewährte Methoden für Rollenzuweisungen für einzelne Schlüssel, Geheimnisse und Zertifikate

Es wird empfohlen, einen Tresor pro Anwendung und Umgebung (Entwicklung, Präproduktion und Produktion) mit auf Schlüsseltresorebene zugewiesenen Rollen zu verwenden.

Das Zuweisen von Rollen zu einzelnen Schlüsseln, geheimen Schlüsseln und Zertifikaten wird nicht empfohlen. Ausnahmen umfassen Szenarien, in denen:

• Einzelne geheime Schlüssel erfordern individuellen Benutzerzugriff; Beispielsweise müssen Benutzer ihren privaten SSH-Schlüssel lesen, um sich mit Azure Bastion bei einem virtuellen Computer zu authentifizieren.
• Einzelne Geheimnisse müssen zwischen mehreren Anwendungen geteilt werden; beispielsweise wenn eine Anwendung auf Daten einer anderen Anwendung zugreifen muss.

Weitere Informationen zu Azure Key Vault Verwaltungsrichtlinien finden Sie unter:

• Secure your Azure Key Vault
• Azure Key Vault Dienstbeschränkungen

Azure integrierte Rollen für Key Vault Datenebenenoperationen

Weitere Informationen zu Azure integrierten Rollendefinitionen finden Sie unter Azure integrierte Rollen.

Verwalten integrierter Key Vault Rollenzuweisungen auf Datenebene

Verwenden von Geheimnis-, Schlüssel- und Zertifikatberechtigungen von Azure RBAC mit Key Vault

Das neue Azure RBAC-Berechtigungsmodell für Key Vault bietet eine Alternative zum Berechtigungsmodell für den Tresor mit Zugriffsrichtlinien.

Voraussetzungen

Sie müssen über ein Azure-Abonnement verfügen. Falls Sie dies nicht getan haben, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Zum Verwalten von Rollenzuweisungen benötigen Sie Microsoft.Authorization/roleAssignments/write und Microsoft.Authorization/roleAssignments/delete Berechtigungen, z. B. Key Vault Data Access Administrator (mit eingeschränkten Berechtigungen, nur bestimmte Key Vault Rollen zuzuweisen/zu entfernen), Benutzerzugriffsadministrator oder Owner.

Aktivieren von Azure RBAC-Berechtigungen für Key Vault

1. Aktivieren Sie Azure RBAC-Berechtigungen für den neuen Key Vault.

   Aktivieren der Azure-RBAC-Berechtigungen – neuer Tresor

2. Aktivieren von Azure RBAC-Berechtigungen für einen vorhandenen Schlüsseltresor:

   

Zuweisen einer Rolle

az role assignment create --role <role-name> --assignee <user-principal-name>> --scope <scope>

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "<role-name>" -SignInName <user-principal-name> -Scope "<scope>"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId <application-id> -Scope "<scope>"

Rollenzuweisung im Geltungsbereich der Ressourcengruppe

az role assignment create --role "Key Vault Reader" --assignee <user-principal-name> --scope /subscriptions/<subscription-id>/resourcegroups/<resource-group>

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "Key Vault Reader" -SignInName <user-principal-name> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Reader" -ApplicationId <application-id> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>"

Die obige Rollenzuweisung bietet die Möglichkeit, Schlüsseltresorobjekte in einem Schlüsseltresor aufzulisten.

Rollenvergabe im Key Vault-Bereich

az role assignment create --role "Key Vault Secrets Officer" --assignee <user-principal-name> --scope /subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -SignInName <user-principal-name> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ApplicationId <application-id> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Rollenzuweisung im Geltungsbereich des Geheimnisses

az role assignment create --role "Key Vault Secrets Officer" --assignee <user-principal-name> --scope /subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>/secrets/RBACSecret

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -SignInName <user-principal-name> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>/secrets/RBACSecret"

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets Officer" -ApplicationId <application-id> -Scope "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>/secrets/RBACSecret"

Testen und Überprüfen

1. Überprüfen des Hinzufügens eines neuen Geheimnisses ohne die Rolle „Geheimnisbeauftragter für Schlüsseltresore“ auf der Ebene des Schlüsseltresors

   1. Wechseln Sie zur Registerkarte „Zugriffssteuerung (IAM)“ für den Schlüsseltresor, und entfernen Sie die Rollenzuweisung „Key Vault Secrets Officer“ für diese Ressource.

      

   2. Navigieren Sie zum zuvor erstellten Geheimnis. Sie können alle geheimen Eigenschaften sehen.

      

   3. Beim Erstellen eines neuen Geheimnisses („Geheimnisse“ > „+ Generieren/Importieren“) sollte folgender Fehler angezeigt werden:

      

2. Überprüfen Sie die Geheimnisbearbeitung ohne die Rolle „Geheimnisbeauftragter für Schlüsseltresore“ auf Geheimnisebene.

   1. Wechseln Sie zur zuvor erstellten Registerkarte geheime Zugriffssteuerung (IAM), und entfernen Sie die Rollenzuweisung "Key Vault Secrets Officer" für diese Ressource.

   2. Navigieren Sie zum zuvor erstellten Geheimnis. Sie können geheime Eigenschaften sehen.

      

3. Überprüfen Sie das Lesen von Geheimnissen ohne die Rolle „Leser“ auf Schlüsseltresorebene.

   1. Navigieren Sie zur Registerkarte „Zugriffssteuerung (IAM)“ für die Schlüsseltresor-Ressourcengruppe, und entfernen Sie die Rollenzuweisung „Leseberechtigter für Schlüsseltresore“.

   2. Beim Navigieren zur Registerkarte "Geheime Schlüssel" von key vault sollte dieser Fehler angezeigt werden:

      

Erstellen von benutzerdefinierten Rollen

az-Rollendefinitionsbefehl erstellen

az role definition create --role-definition '{ \
    "Name": "Backup Keys Operator", \
    "Description": "Perform key backup/restore operations", \
    "Actions": [], \
    "DataActions": [ \
        "Microsoft.KeyVault/vaults/keys/read ", \
        "Microsoft.KeyVault/vaults/keys/backup/action", \
        "Microsoft.KeyVault/vaults/keys/restore/action" \
    ], \
    "NotDataActions": [], \
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'

$roleDefinition = @"
{ 
    "Name": "Backup Keys Operator", 
    "Description": "Perform key backup/restore operations", 
    "Actions": [], 
    "DataActions": [ 
        "Microsoft.KeyVault/vaults/keys/read ", 
        "Microsoft.KeyVault/vaults/keys/backup/action", 
        "Microsoft.KeyVault/vaults/keys/restore/action" 
    ], 
    "NotDataActions": [], 
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] 
}
"@

$roleDefinition | Out-File role.json

New-AzRoleDefinition -InputFile role.json

Weitere Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter:

Azure benutzerdefinierte Rollen

Verwenden von KI zum Generieren von Key Vault Rollenzuweisungen

GitHub Copilot können Ihnen dabei helfen, die richtigen Azure CLI oder PowerShell-Befehle für Key Vault Rollenzuweisungen basierend auf Ihren spezifischen Anforderungen zu erstellen.

I need to set up Azure RBAC for my Key Vault. Help me create the role assignment commands for the following scenario:
- Key vault name: my-app-keyvault
- Resource group: my-app-rg
- Subscription ID: <subscription-id>
- I need to grant a managed identity (client ID: <managed-identity-client-id>) the ability to read and write secrets, but not manage keys or certificates.
Provide both Azure CLI and PowerShell commands, and explain which built-in role is most appropriate for this least-privilege scenario.

GitHub Copilot wird von KI unterstützt, sodass Überraschungen und Fehler möglich sind. Weitere Informationen finden Sie unter Copilot FAQs.

Häufig gestellte Fragen

Kann ich Azure RBAC-Objektbereichszuweisungen verwenden, um Anwendungsteams innerhalb Key Vault zu isolieren?

Nein. Azure RBAC-Berechtigungsmodell ermöglicht es Ihnen, einzelnen Objekten in Key Vault Zugriff auf Benutzer oder Anwendungen zuzuweisen, aber alle administrativen Vorgänge wie Netzwerkzugriffskontrolle, Überwachung und Objektverwaltung erfordern Berechtigungen auf Tresorebene, wodurch dann sichere Informationen für Operatoren in allen Anwendungsteams verfügbar gemacht werden.

Weitere Informationen

• Azure RBAC Overview
• Assignieren Azure Rollen mithilfe des Azure Portals
• Tutorial zu benutzerdefinierten Rollen
• Secure your Azure Key Vault