Vorbereiten auf Key Vault API Version 2026-02-01 und höher: Azure RBAC als Standardzugriffssteuerung

API-Version 2026-02-01 und höher von Azure Key Vault ändern das Standardmodell für die Zugriffssteuerung für neue Tresore in Azure RBAC und sorgen so für Konsistenz mit der Benutzeroberfläche des Azure-Portals. Sowohl Azure RBAC- als auch Zugriffsrichtlinien bleiben vollständig unterstützt. API Version 2026-02-01 steht in öffentlichen Azure Regionen, Azure betrieben von 21Vianet und Azure Government zur Verfügung.

Neues Verhalten der Schlüsseltresorerstellung: Wenn Sie einen neuen Tresor mit API-Version 2026-02-01 oder höher erstellen, wird das Standardzugriffssteuerungsmodell Azure RBAC (enableRbacAuthorization = true). Diese Standardeinstellung gilt nur für Erstellungsvorgänge . Um Zugriffsrichtlinien für neue Tresore zu verwenden, setzen Sie enableRbacAuthorization bei der Erstellung auf false.
Vorhandenes Schlüsseltresorverhalten: Vorhandene Tresore behalten ihr aktuelles Zugriffssteuerungsmodell bei, es sei denn, Sie ändern enableRbacAuthorizationexplizit. Die Verwendung der API-Version 2026-02-01 oder höher zum Aktualisieren eines Tresors ändert nicht automatisch die Zugriffssteuerung. Tresore, in denen enableRbacAuthorizationnull ist (aus älteren API-Versionen), verwenden weiterhin Zugriffsrichtlinien.

Von Bedeutung

Alle Key Vault Steuerebenen-API-Versionen vor 2026-02-01 werden am 27. Februar 2027 eingestellt. Ihre Schlüsseltresore werden weiterhin bestehen und können nur mit Control-Plane-API-Versionen 2026-02-01 oder höher zugänglich sein. Datenebenen-APIs sind nicht betroffen.

Vorschau-API-Versionen (außer 2026-04-01-Preview) werden mit einer 90-tägigen Benachrichtigungsfrist abgekündigt. Azure Cloud Shell verwendet immer die neueste API-Version. Wenn Sie Skripts haben, die in Cloud Shell ausgeführt werden, stellen Sie sicher, dass sie mit API Version 2026-02-01 oder höher kompatibel sind. Eine Liste der unterstützten API-Versionen finden Sie unter Unterstützten Steuerelementebenen-API-Versionen. Details zum SDK-Paket finden Sie unter What's new for Azure Key Vault.

Wir empfehlen Ihnen, Schlüsseltresore zu migrieren, die derzeit veraltete Zugriffsrichtlinien verwenden, zu Azure RBAC für eine verbesserte Sicherheit. Weitere Informationen dazu, warum Azure RBAC empfohlen wird, finden Sie unter Azure rollenbasierte Zugriffssteuerung (Azure RBAC) im Vergleich zu Zugriffsrichtlinien.

Was Sie jetzt tun müssen

Wenn Sie das Zugriffskontrollmodell Ihres Tresors bereits kennen, fahren Sie mit Bestimmen Sie Ihre nächsten Schritte fort. Überprüfen Sie andernfalls zuerst Ihre aktuelle Konfiguration .

Von Bedeutung

Um die enableRbacAuthorization-Eigenschaft eines Schlüsseltresors zu ändern, müssen Sie über die Berechtigung Microsoft.KeyVault/vaults/write verfügen, die typischerweise in Rollen für Mitwirkende und Eigentümer enthalten ist. Das Azure-Portal erfordert zusätzlich Microsoft.Authorization/roleAssignments/write (enthalten in Rollen wie Besitzer und Benutzerzugriffsadministrator), um sicherzustellen, dass Sie nach der Änderung Key Vault RBAC-Rollen zuweisen können und eine Sperrung vermieden wird. Weitere Informationen finden Sie unter Enable Azure RBAC-Berechtigungen für Key Vault.

Überprüfen Der aktuellen Konfiguration

Überprüfen Sie, ob die Zugriffskonfiguration Ihres Vaults auf Azure RBAC oder auf Zugriffsrichtlinien festgelegt ist. Überprüfen Sie diese Konfiguration über die Befehle Azure CLI oder PowerShell.

Nach überprüfung der Konfiguration:

Wenn Ihre Tresore Azure RBAC (enableRbacAuthorization = true) verwenden, wechseln Sie zu Vaults mit Azure RBAC.
Wenn Ihre Tresore Zugriffsrichtlinien (Legacy) (enableRbacAuthorization = false oder null) verwenden, gehen Sie zu Tresore, die Zugriffsrichtlinien verwenden.

Verwenden Sie den Befehl "az keyvault show" zum Abrufen von Tresordetails:

az keyvault show --name <vault-name> --resource-group <resource-group>

Überprüfen Sie die Eigenschaft „Enabled for RBAC Authorization“ (enableRbacAuthorization) für das Key Vault.

Verwenden Sie das Cmdlet "Get-AzKeyVault ", um Tresordetails abzurufen:

Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

Überprüfen Sie die Eigenschaft „Enabled for RBAC Authorization“ (enableRbacAuthorization) für das Key Vault.

Mehrere Vaults nach Ressourcengruppe prüfen

Azure CLI
PowerShell

Verwenden Sie den Befehl "az keyvault list ", um alle Tresore in einer Ressourcengruppe auflisten und deren RBAC-Autorisierungsstatus zu überprüfen:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Erstellen Sie die folgende Funktion in PowerShell:

function Get-KeyVaultsFromResourceGroup {
    # Get all key vaults in the specified resource group (basic information)
    $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Benennen Sie die Ressourcengruppe, für die Sie Ihre Funktion ausführen möchten:
```
$resourceGroupName = "<resource-group>"
```
Rufen Sie die Funktion Get-KeyVaultsFromResourceGroup auf, um zu sehen, für welche Vaults in der Ressourcengruppe aus Schritt 2 die Zugriffsrichtlinien und Azure RBAC aktiviert sind.

Überprüfen mehrerer Tresore in Ihrem Abonnement

Azure CLI
PowerShell

Verwenden Sie den Befehl az keyvault list, um alle Tresore in Ihrem Abonnement aufzulisten und deren RBAC-Autorisierungsstatus zu überprüfen.

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Erstellen Sie die folgende Funktion in PowerShell:

function Get-KeyVaultsFromSubscription {
    # Get all key vaults in the subscription (basic information)
    $keyVaults = Get-AzKeyVault

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName
        $resourceGroupName = $keyVault.ResourceGroupName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Rufen Sie die Funktion Get-KeyVaultsFromSubscription auf, um zu sehen, für welche Vaults im Abonnement die Zugriffsrichtlinien gegenüber Azure RBAC aktiviert sind. Je nach Anzahl der Tresore in Ihrem Abonnement dauert die Ausführung der Funktion möglicherweise mehr als 10 Minuten.

Bestimmen Sie die nächsten Schritte

Befolgen Sie auf der Grundlage Ihres aktuellen Zugriffssteuerungsmodells die unten aufgeführten Anleitungen.

Tresore mit Azure RBAC

Wenn Ihre Schlüsseltresor bereits Azure RBAC verwenden, sind keine Zugriffssteuerungsänderungen erforderlich. Sie müssen jedoch alle Key Vault Steuerungsebenen-SDKs, ARM, Bicep, Terraform-Vorlagen und REST-API-Aufrufe aktualisieren, um die API-Version 2026-02-01 oder höher vor dem 27. Februar 2027 einzusetzen, wenn ältere API-Versionen der Steuerungsebene eingestellt werden.

Tresore mit Zugriffsrichtlinien

Wenn Ihre Schlüsselbund-Zugriffsrichtlinien (Legacy) (enableRbacAuthorization = false oder null) verwenden, entscheiden Sie, ob Sie zum rollenbasierten Zugriff (empfohlen) migrieren oder weiterhin Zugriffsrichtlinien verwenden möchten. Weitere Informationen zu Zugriffssteuerungsmodellen finden Sie unter Use Azure RBAC for managing access to Key Vault and Azure Key Vault best practices.

Wählen Sie Ihren Pfad aus:

Azure RBAC (empfohlen): Migrieren Sie zu Azure RBAC für verbesserte Sicherheit.
Zugriffsrichtlinien (Legacy):Fahren Sie fort, Zugriffsrichtlinien zu verwenden, indem Sie beim Erstellen neuer Tresore enableRbacAuthorization auf false festlegen.

Migrieren zu Azure RBAC (empfohlen)

Verwenden Sie diese Gelegenheit, um Ihren Sicherheitsstatus zu erhöhen, indem Sie von Tresorzugriffsrichtlinien zu Azure RBAC migrieren. Detaillierte Migrationsanleitungen finden Sie unter Migrieren von der Tresorzugriffsrichtlinie zu einem Azure-Rollen-basierten Zugriffssteuerungsberechtigungsmodell.

Aktualisieren Sie nach der Migration alle Key Vault Verwaltungs-SDKs, ARM, Bicep, Terraform-Vorlagen und REST-API-Aufrufe, um API-Version 2026-02-01 oder höher zu verwenden.

Weiterhin Zugriffsrichtlinien verwenden

Zugriffsrichtlinien bleiben ein vollständig unterstütztes Zugriffssteuerungsmodell.

Vorhandene Tresore: Tresore, die bereits Zugriffsrichtlinien verwenden, funktionieren weiterhin ohne Änderungen. Stellen Sie vor dem 27. Februar 2027 sicher, dass Ihre Verwaltungs-SDKs der Steuerungsebene, ARM, Bicep, Terraform-Vorlagen und REST-API-Aufrufe die API-Version 2026-02-01 oder höher verwenden.
Neue Tresore: Beim Erstellen neuer Tresore mit der API-Version 2026-02-01 oder höher müssen Sie explizit auf enableRbacAuthorization festlegen, um Zugriffsrichtlinien zu verwenden, wie unten beschrieben.

Wählen Sie eine der folgenden Methoden basierend auf Ihrem Szenario aus:

Verwendung von ARM-, Bicep- und Terraform-Vorlagen
Verwenden von Create Key Vault-Befehlen
Verwenden von Befehlen "Ressource erstellen"

Verwenden von ARM-, Bicep- und Terraform-Vorlagen

Wenn Sie neue Schlüsseltresore mit API-Version 2026-02-01 oder höher erstellen, setzen Sie enableRbacAuthorization für alle ARM-, Bicep- und Terraform-Vorlagen für Schlüsseltresore sowie für alle REST-API-Aufrufe auf false, damit Zugriffsrichtlinien (bestehend) verwendet werden.

Verwenden von Befehlen zum Erstellen eines Key Vaults

Wenn Sie neue Schlüsseltresore unter Verwendung von API-Version 2026-02-01 oder höher erstellen, müssen Sie die Konfiguration der Zugriffsrichtlinien angeben, um zu vermeiden, dass Azure RBAC als Standard verwendet wird.

Stellen Sie sicher, dass Sie über die neueste Version der module Azure CLI oder PowerShell verfügen.

Azure CLI
PowerShell

Aktualisieren Sie Azure CLI auf die neueste Version. Weitere Informationen finden Sie unter How to update the Azure CLI.

Verwenden Sie den entsprechenden Befehl, um einen Schlüsseltresor mit Zugriffsrichtlinien zu erstellen:

Azure CLI
PowerShell

Verwenden Sie den Befehl "az keyvault erstellen " und legen Sie folgendes fest --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

Verwenden Sie das Cmdlet New-AzKeyVault und legen Sie wie folgt fest -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Verwenden von Befehlen "Ressource erstellen"

Wenn Sie neue Key Vaults mithilfe der API-Version 2026-02-01 oder höher erstellen, setzen Sie enableRbacAuthorization auf false, um Zugriffsrichtlinien (Legacy) zu verwenden. Wenn Sie diese Eigenschaft nicht angeben, wird standardmäßig true (Azure RBAC) festgelegt.

Azure CLI
PowerShell

Verwenden Sie den Befehl az resource create und setzen Sie "enableRbacAuthorization": false und --api-version "2026-02-01":

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

Verwenden Sie das Cmdlet "New-AzResource" und legen Sie enableRbacAuthorization = $false und -ApiVersion "2026-02-01" fest:

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Nächste Schritte

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-10