【Azure 环境】Azure Key Vault (密钥保管库)中所保管的Keys, Secrets，Certificates是否可以实现数据粒度的权限控制呢？

问题描述

Key Vault (密钥保管库) 能不能针对用户授权实现指定用户只能访问某个或某些特定的key? 如当前有两个用户(User1, User2),在Key Vault中有10个Key，User1只能访问前5个Key，User2只能访问后5个Key。

问题分析

Azure 密钥保管库是一种云服务，用于保护加密密钥和机密（例如证书、连接字符串和密码）。 因为此数据是敏感数据和业务关键数据，所以需要保护对密钥保管库的访问，只允许得到授权的应用程序和用户进行访问。

密钥保管库的访问分为两种：管理平面 和 数据平面。 这两个平面都使用 Azure Active Directory (Azure AD) 来进行身份验证。

• 管理平面：用于管理密钥保管库本身。 此平面中的操作包括创建和删除密钥保管库、检索密钥保管库属性以及更新访问策略。 对于授权，管理平面使用 Azure 基于角色的访问控制 (Azure RBAC)，
• 数据平面：用于处理密钥保管库中存储的数据。 可以添加、删除和修改密钥、机密及证书。对于授权，数据平面使用 Key Vault 访问策略和适用于 Key Vault 数据平面操作的 Azure RBAC。

本文的问题，就是解决数据平面中如何实现最小粒度的访问授权。在Key Vault的Access Policy的设置中，两种授权模式的选择分别为： ”Vault Access Policy“ 和 ”Azure role-based access control (RBAC)“。

Vault Access Policy：Key Vault 访问策略适用于保管库级别。 如果授予某个用户创建和删除密钥的权限，该用户可以针对该密钥保管库中的所有密钥执行这些操作。 密钥保管库访问策略不支持粒度、对象级别权限，例如特定的密钥、机密或证书。

Azure role-based access control (RBAC)：（2021年4月上线的新功能）Azure 基于角色的访问控制是另一种用于控制对 Azure Key Vault 数据平面的访问权限的权限模型，可在单个密钥保管库上启用。 可以将访问权限的范围限定于订阅、资源组或密钥保管库级别，或者限定于单个密钥、机密或证书。 

Azure RBAC 权限模型是排他的，一旦设置，保管库访问策略就会变为非活动状态。 Azure Key Vault 定义了一组 Azure 内置角色，它们包含用于访问密钥、机密或证书的通用权限集。

问题答案

根据对Vault Access Policy和 Azure RBAC的权限模式分析， 问题的答案是：

1） 当使用Vault Access Policy时，是没有办法实现不同步用户访问不同Key的需求。只能通过变通(workaround)的方式，把10个Key分别存储到两个不同的Key Vault中，User 1和User 2单独访问各自的Key Vault。

(创建两个Key Vault服务，前5个Key保存在服务1中，只给User1赋权限访问，后5个Key保存在第二个Key Vault 服务中，并只给User2赋权限)

2）当使用Azure RBAC时，可以实现对单个Key进行独立的权限控制。进入当个的Keys查看页面，点击 Access control (IAM)， 为单独的用户，或者组织赋予 ”Key Vault Reader“的角色。

当用户访问Key Vault中的key信息时，就只能查看到单位为他赋予了读取权限的Key。

参考资料

保护对密钥保管库的访问：

用于 Key Vault 数据平面操作的 Azure 内置角色：https://docs.azure.cn/zh-cn/key-vault/general/rbac-guide?tabs=azure-cli#azure-built-in-roles-for-key-vault-data-plane-operations

使用 Azure 门户分配 Key Vault 访问策略：https://docs.azure.cn/zh-cn/key-vault/general/assign-access-policy-portal