Azure Key Vault підтримує дві моделі авторизації: рольова модель контролю доступу (RBAC) та політика доступу (Access policy). Хочу звернути вашу увагу, що в рамках одного екземпляру, одночасно можна використовувати лише одну з моделей.

Access policy – це варіант коли створюється політика з перечнем дозволів на різні типи секретів. Наприклад ви можете створити політику яка надає дозвіл на читати криптографічний ключів та видалення їх, але не на додавання, оновлення чи виконання криптографічних операцій та назначити її на будь яку одиницю безпеки (користувач, група, застосунок, managed identity). При створенні політики, ви можете скористатися шаблонами, від компанії Microsoft, які покривають більшість задач. Або можете самостійно її налаштувати. Цей метод має обмеження в 1024 політик на один Key Vault тому рекомендується використовувати для надання доступу а не окремих користувачів. Налаштування Access policy будуть працювати тільки для конкретного Key Vault. Якщо вам необхідно однаково налаштувати декілька Key Vault цей спосіб не дуже зручний, для цього краще піддійте інша модель, RBAC.

Основний механізм надання прав доступу до ресурсу, в Azure, це RBAC, і звичайно, його можна використовувати для надання доступу до Azure Key Vault. Цей механізм побудований на призначенні ролі для одиниці безпеки в якійсь області. Наприклад: Користувачі групи «HR Users» мають роль «Contributor» в ресурсній групі «HR Department». Тобто призначили деяку роль (в даному випадку роль Contributor), для одиниці безпеки (в даному випадку група користувачів «HR Users») в деякій області.

В Azure існує багато вбудовані ролей. Частина вбудованих ролей створена для налаштування прав доступу до ресурсів типу Key Vault Подивитись повний список можливо за наступним посиланням https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles.  Але ви також можете створити власну роль виходячи з ваших вимог.

Key Vault має механізми керування доступом на мережевому рівні, які дозволяють контролювати доступ до вашого Key Vault від різних мережевих вузлів та джерел. Це може включати в себе використання правил брандмауеру, таких як Network Security Groups (NSGs), для контролю доступу до Key Vault з визначених IP-адрес та діапазонів. Також можуть використовуватись технології такі як Azure ExpressRoute для забезпечення приватного з’єднання між Key Vault та вашою мережею, або Azure VPN для шифрування трафіку між вашою мережею та Key Vault.

Azure Key Vault є сервісом, який забезпечує збереження важливих секретів. Для обмеження прав доступу, в Azure є декілька механізмів, включаючи обмеження доступу за допомогою аворизації та обмеження доступу на мережевому рівні. Azure Key Vault підтримує дві моделі авторизації: рольову модель контролю доступу (RBAC) та політику доступу (Access policy). Модель Access Policy дозволяє створювати політику доступу до різних типів секретів. Політику можна назначати на будь-яку одиницю безпеки, використовуючи шаблони Microsoft.