Voorbereiden op Key Vault API-versie 2026-02-01 en hoger: Azure RBAC als standaardtoegangsbeheer

Azure Key Vault API-versie 2026-02-01 en later wijzigt het standaardmodel voor toegangsbeheer voor nieuwe kluizen naar Azure RBAC, dit is consistent met de Azure portal-ervaring. Zowel Azure RBAC- als toegangsbeleid blijft volledig ondersteund. API-versie 2026-02-01 is beschikbaar in openbare Azure regio's, Azure beheerd door 21Vianet en Azure Government.

Nieuw gedrag voor het maken van een sleutelkluis: wanneer u een nieuwe kluis maakt met API-versie 2026-02-01 of hoger, wordt het standaardmodel voor toegangsbeheer Azure RBAC (enableRbacAuthorization = true). Deze standaardwaarde geldt alleen voor het maken van bewerkingen. Als u toegangsbeleid wilt gebruiken voor nieuwe kluizen, stelt u het enableRbacAuthorization in op false bij aanmaaktijd.
Bestaand gedrag van de sleutelkluis: bestaande kluizen behouden hun huidige model voor toegangsbeheer, tenzij u expliciet wijzigt enableRbacAuthorization. Als u een API-versie 2026-02-01 of hoger gebruikt om een kluis bij te werken, wordt het toegangsbeheer niet automatisch gewijzigd. Kluizen waar enableRbacAuthorizationnull zich bevinden (van oudere API-versies) blijven een toegangsbeleid gebruiken.

Belangrijk

Alle Key Vault API-versies van het besturingsvlak vóór 2026-02-01 worden buiten gebruik gesteld op 27 februari 2027. Uw sleutelkluizen blijven bestaan en zijn alleen toegankelijk met API-versies van het besturingsvlak 2026-02-01 of hoger. Api's voor het gegevensvlak worden niet beïnvloed.

Preview-API-versies (met uitzondering van 2026-04-01-preview) worden afgeschaft met een kennisgevingsperiode van 90 dagen. Azure Cloud Shell altijd de nieuwste API-versie gebruikt. Als u scripts hebt die worden uitgevoerd in Cloud Shell, controleert u of deze compatibel zijn met API-versie 2026-02-01 of hoger. Zie Ondersteunde API-versies van het besturingsvlak voor een lijst met ondersteunde API-versies. Zie What's new for Azure Key Vault voor meer informatie over SDK-pakketten.

Wij raden u aan sleutelkluizen te migreren die momenteel gebruikmaken van toegangsbeleid (verouderd) naar Azure RBAC voor verbeterde beveiliging. Zie voor meer informatie over waarom Azure RBAC wordt aanbevolen Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) versus toegangsbeleid.

Wat u moet doen

Als u het toegangsbeheermodel van uw kluis al kent, gaat u verder met de volgende stappen. Anders controleert u eerst de huidige configuratie .

Belangrijk

Als u de eigenschap enableRbacAuthorization voor een sleutelkluis wilt wijzigen, moet u de machtiging Microsoft.KeyVault/vaults/write hebben (opgenomen in rollen zoals Inzender en Eigenaar). De Azure-portal vereist bovendien Microsoft.Authorization/roleAssignments/write (opgenomen in rollen zoals Eigenaar en Beheerder voor gebruikerstoegang) om ervoor te zorgen dat u Key Vault RBAC-rollen kunt toewijzen na de wijziging en vergrendeling kunt voorkomen. Zie voor meer informatie Enable Azure RBAC-machtigingen voor Key Vault.

Uw huidige configuratie controleren

Controleer of de toegangsconfiguratie van uw kluis is ingesteld op Azure RBAC- of toegangsbeleid. Controleer deze configuratie via de Azure CLI- of PowerShell-opdrachten.

Na het controleren van uw configuratie:

Als uw kluizen gebruikmaken van Azure RBAC (enableRbacAuthorization = true), gaat u naar Vaults met Azure RBAC.
Als uw kluizen toegangsbeleid (verouderd) (enableRbacAuthorization = false of null) gebruiken, ga naar kluizen die gebruikmaken van toegangsbeleid.

Gebruik de opdracht az keyvault show om kluisdetails op te halen:

az keyvault show --name <vault-name> --resource-group <resource-group>

Controleer de eigenschap Ingeschakeld voor RBAC-autorisatie (enableRbacAuthorization) voor de sleutelkluis.

Gebruik de cmdlet Get-AzKeyVault om kluisdetails op te halen:

Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

Controleer de eigenschap Ingeschakeld voor RBAC-autorisatie (enableRbacAuthorization) voor de sleutelkluis.

Meerdere kluizen per resourcegroep controleren

Azure CLI
PowerShell

Gebruik de opdracht az keyvault list om alle kluizen in een resourcegroep weer te geven en de RBAC-autorisatiestatus te controleren:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Maak de volgende functie in PowerShell:

function Get-KeyVaultsFromResourceGroup {
    # Get all key vaults in the specified resource group (basic information)
    $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Noem de resourcegroep waarvoor u de functie wilt uitvoeren:
```
$resourceGroupName = "<resource-group>"
```
Roep de functie Get-KeyVaultsFromResourceGroup aan om te zien welke kluizen in de resourcegroep uit stap 2 toegangsbeleid hebben versus Azure RBAC is ingeschakeld.

Controleer meerdere kluizen binnen uw abonnement

Azure CLI
PowerShell

Gebruik de opdracht az keyvault list om alle kluizen in uw abonnement weer te geven en hun RBAC-autorisatiestatus te controleren:

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Maak de volgende functie in PowerShell:

function Get-KeyVaultsFromSubscription {
    # Get all key vaults in the subscription (basic information)
    $keyVaults = Get-AzKeyVault

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName
        $resourceGroupName = $keyVault.ResourceGroupName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Roep de functie Get-KeyVaultsFromSubscription aan om te zien welke kluizen in het abonnement waarvoor toegangsbeleid is geconfigureerd, of waarvoor Azure RBAC is ingeschakeld. Afhankelijk van het aantal kluizen in uw abonnement kan het langer dan tien minuten duren voordat de functie wordt uitgevoerd.

De volgende stappen bepalen

Volg de onderstaande richtlijnen op basis van uw huidige model voor toegangsbeheer.

Kluizen met Azure RBAC

Als uw sleutelkluizen al gebruikmaken van Azure RBAC, zijn er geen wijzigingen in toegangsbeheer nodig. U moet echter alle Key Vault control plane beheer-SDK's, ARM, Bicep, Terraform-sjablonen en REST API oproepen bijwerken naar API-versie 2026-02-01 of hoger voor 27 februari 2027, omdat oudere besturingsvlak-API-versies buiten gebruik worden gesteld.

Kluizen waarbij gebruik wordt gemaakt van toegangsbeleid

Als uw sleutelkluizen toegangsbeleid (verouderd) (enableRbacAuthorization = false of null) gebruiken, moet u beslissen of u wilt migreren naar op rollen gebaseerde toegang (aanbevolen) of toegangsbeleid wilt blijven gebruiken. Zie Gebruik Azure RBAC voor het beheren van toegang tot Key Vault en Azure Key Vault best practices voor meer informatie over toegangsbeheermodellen.

Kies uw pad:

Azure RBAC (aanbevolen): Migrate to Azure RBAC voor een betere beveiliging.
Toegangsbeleid (verouderd): Blijf toegangsbeleid gebruiken door enableRbacAuthorization op false in te stellen bij het maken van nieuwe kluizen.

Migreren naar Azure RBAC (aanbevolen)

Gebruik deze mogelijkheid om uw beveiligingspostuur te verhogen door te migreren van kluistoegangsbeleid naar Azure RBAC. Zie Migrate from vault access policy to an Azure role-based access control permission model voor gedetailleerde migratierichtlijnen.

Werk na de migratie alle Key Vault beheer-SDK's voor besturingsvlakken, ARM, Bicep, Terraform-sjablonen en REST API-aanroepen bij om API-versie 2026-02-01 of hoger te gebruiken.

Toegangsbeleid blijven gebruiken

Toegangsbeleid blijft een volledig ondersteund model voor toegangsbeheer.

Bestaande kluizen: kluizen die al gebruikmaken van toegangsbeleid, blijven werken zonder wijzigingen. Zorg ervoor dat uw beheer-SDK's voor besturingsvlakken, ARM, Bicep, Terraform-sjablonen en REST API-aanroepen gebruikmaken van API-versie 2026-02-01 of hoger vóór 27 februari 2027.
Nieuwe kluizen: Wanneer u nieuwe kluizen maakt met API-versie 2026-02-01 of hoger, moet u expliciet enableRbacAuthorization instellen op false om toegangsbeleid te gebruiken, zoals hieronder wordt beschreven.

Kies een van de volgende methoden op basis van uw scenario:

Gebruik van ARM-, Bicep- en Terraform-sjablonen
Gebruik maken van de commando's voor het aanmaken van een Key Vault
Resourceopdrachten maken gebruiken

ARM-, Bicep-, Terraform-sjablonen gebruiken

Wanneer u nieuwe sleutelkluizen maakt met api-versie 2026-02-01 of hoger, stelt u enableRbacAuthorization in op false in alle Key Vault ARM-, Bicep-, Terraform-sjablonen en REST-API aanroepen om toegangsbeleid (verouderd) te gebruiken.

Gebruik opdrachten om een Key Vault te maken

Wanneer u nieuwe sleutelkluizen maakt met behulp van API-versie 2026-02-01 of hoger, moet u de configuratie van het toegangsbeleid opgeven om te voorkomen dat standaard Azure RBAC wordt gebruikt.

Zorg ervoor dat u de nieuwste versie van de Azure CLI- of PowerShell-modules hebt.

Azure CLI
PowerShell

Werk Azure CLI bij naar de nieuwste versie. Zie Het bijwerken van de Azure CLI voor meer informatie.

Gebruik de juiste opdracht om een sleutelkluis te maken met toegangsbeleid:

Azure CLI
PowerShell

Gebruik het commando az keyvault create en voer de instellingen uit --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

Gebruik de cmdlet New-AzKeyVault en stel deze in -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Resourceopdrachten maken gebruiken

Wanneer u nieuwe sleutelkluizen maakt met behulp van API-versie 2026-02-01 of hoger, stelt u enableRbacAuthorization in op false om toegangsbeleid (verouderd) te gebruiken. Als u deze eigenschap niet opgeeft, wordt deze standaard ingesteld op true (Azure RBAC).

Azure CLI
PowerShell

Gebruik de opdracht az resource create en stel "enableRbacAuthorization": false en --api-version "2026-02-01" in:

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

Gebruik de cmdlet New-AzResource en stel deze in enableRbacAuthorization = $false en -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Volgende stappen

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-10