Prepare-se para Key Vault API versão 2026-02-01 e posterior: Azure RBAC como controle de acesso padrão

A versão 2026-02-01 e posteriores da API do Azure Key Vault alteram o modelo padrão de controle de acesso para novos cofres para o Azure RBAC, em consonância com a experiência do Portal do Azure. Tanto o Azure RBAC quanto as políticas de acesso permanecem totalmente suportados. A API versão 2026-02-01 está disponível em regiões de Azure públicas, Azure operadas pela 21Vianet e Azure Governamental.

Novo comportamento de criação de cofre de chaves: Quando você cria um novo cofre com a versão da API 2026-02-01 ou posterior, o modelo de controle de acesso padrão é Azure RBAC (enableRbacAuthorization = true). Esse padrão se aplica apenas à criação de operações. Para usar políticas de acesso para novos cofres, defina enableRbacAuthorization como false no momento da criação.
Comportamento do cofre de chaves existente: os cofres existentes mantêm o modelo de controle de acesso atual, a menos que você altere enableRbacAuthorizationexplicitamente. Usar a versão 2026-02-01 da API ou posterior para atualizar um cofre não altera automaticamente o controle de acesso. Os cofres de dados onde enableRbacAuthorization é null (de versões mais antigas da API) continuam a usar políticas de acesso.

Importante

Todas as versões da API do plano de controle do Key Vault anteriores a 2026-02-01 serão descontinuadas em 27 de fevereiro de 2027. Seus cofres de chaves continuarão a existir e só estarão acessíveis com as versões da API do painel de controle 2026-02-01 ou posterior. As APIs do plano de dados não são afetadas.

Versões prévias da API (exceto 2026-04-01-preview) estão sendo preteridas com um período de aviso prévio de 90 dias. Azure Cloud Shell sempre usa a versão mais recente da API. Se você tiver scripts executados em Cloud Shell, verifique se eles são compatíveis com a API versão 2026-02-01 ou posterior. Para obter uma lista de versões de API com suporte, consulte versões da API do painel de controle com suporte. Para obter detalhes do pacote do SDK, consulte O que há de novo para Azure Key Vault.

Incentivamos você a migrar cofres de chaves que atualmente usam políticas de acesso (herdadas) para Azure RBAC para melhorar a segurança. Para obter mais informações sobre por que Azure RBAC é recomendado, consulte Azure controle de acesso baseado em função (Azure RBAC) versus políticas de acesso.

O que você precisa fazer

Se você já conhece o modelo de controle de acesso do cofre, vá para Determinar as próximas etapas. Caso contrário, verifique a configuração atual primeiro.

Importante

Para alterar a propriedade enableRbacAuthorization de um key vault, você deve ter a permissão Microsoft.KeyVault/vaults/write (incluída em funções como Colaborador e Proprietário). Além disso, o portal do Azure requer Microsoft.Authorization/roleAssignments/write (incluído em funções como Proprietário e Administrador de Acesso do Usuário) para garantir que você possa atribuir funções de RBAC do Key Vault após a alteração e evitar o bloqueio de conta. Para obter mais informações, consulte Habilitar permissões de RBAC do Azure no Key Vault.

Verificar sua configuração atual

Confira se a configuração de acesso do cofre está definida como RBAC do Azure ou políticas de acesso. Verifique essa configuração por meio dos comandos do CLI do Azure ou do PowerShell.

Depois de verificar sua configuração:

Se os cofres usarem o RBAC do Azure (enableRbacAuthorization = true), vá para Cofres usando o RBAC do Azure.
Se seus cofres usarem políticas de acesso (herdadas) (enableRbacAuthorization = false ou null), vá para Cofres usando políticas de acesso.

Use o comando az keyvault show a fim de recuperar os detalhes do cofre:

az keyvault show --name <vault-name> --resource-group <resource-group>

Confira a propriedade Habilitado para Autorização RBAC (enableRbacAuthorization) do cofre de chaves.

Utilize o cmdlet Get-AzKeyVault para obter detalhes do cofre:

Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

Confira a propriedade Habilitado para Autorização RBAC (enableRbacAuthorization) do cofre de chaves.

Verificar vários cofres por grupo de recursos

CLI do Azure
PowerShell

Use o comando az keyvault list a fim de listar todos os cofres em um grupo de recursos e conferir o status da autorização RBAC deles:

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Crie a seguinte função no PowerShell:

function Get-KeyVaultsFromResourceGroup {
    # Get all key vaults in the specified resource group (basic information)
    $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Nomeie o grupo de recursos para o qual você deseja executar sua função:
```
$resourceGroupName = "<resource-group>"
```
Chame a função Get-KeyVaultsFromResourceGroup a fim de ver quais cofres no grupo de recursos da etapa 2 têm as políticas de acesso contra aqueles que têm o recurso RBAC do Azure habilitado.

Verificar diversos cofres em sua assinatura

CLI do Azure
PowerShell

Use o comando az keyvault list a fim de listar todos os cofres na assinatura e conferir o status da autorização RBAC deles:

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Crie a seguinte função no PowerShell:

function Get-KeyVaultsFromSubscription {
    # Get all key vaults in the subscription (basic information)
    $keyVaults = Get-AzKeyVault

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName
        $resourceGroupName = $keyVault.ResourceGroupName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Chame a função Get-KeyVaultsFromSubscription a fim de ver quais cofres na assinatura têm as políticas de acesso habilitadas contra o recurso RBAC do Azure. A função pode levar mais de 10 minutos para ser executada dependendo do número de cofres na assinatura.

Determinar suas próximas etapas

Com base no modelo de controle de acesso atual, siga as diretrizes apropriadas abaixo.

Cofres usando Azure RBAC

Se os cofres de chaves já usarem Azure RBAC, nenhuma alteração de controle de acesso será necessária. Você deve atualizar todos os SDKs de gerenciamento do plano de controle do Key Vault, incluindo ARM, Bicep, modelos Terraform e chamadas da API REST, para usar a versão 2026-02-01 ou posterior da API, antes de 27 de fevereiro de 2027. Após essa data, as versões antigas da API do plano de controle serão descontinuadas.

Cofres usando políticas de acesso

Se os cofres de chaves usarem políticas de acesso (herdadas) (enableRbacAuthorization = false ou null), decida se você deseja migrar para o acesso baseado em função (recomendado) ou continuar usando políticas de acesso. Para obter mais informações sobre modelos de controle de acesso, consulte Use Azure RBAC para gerenciar o acesso a Key Vault e Azure Key Vault práticas recomendadas.

Escolha seu caminho:

Azure RBAC (recomendado): Igrate para Azure RBAC para melhorar a segurança.
Políticas de acesso (herdadas): Continue usando políticas de acesso definindo enableRbacAuthorization como false ao criar novos cofres.

Migrar para Azure RBAC (recomendado)

Aproveite esta oportunidade para reforçar sua postura de segurança, migrando das políticas de acesso ao cofre para o RBAC do Azure. Para obter as orientações sobre migração detalhadas, consulte Migrar da política de acesso ao cofre para um modelo de permissão de controle de acesso baseado em função do Azure.

Após a migração, atualize todos os SDKs de gerenciamento do plano de controle Key Vault, ARM, Bicep, modelos do Terraform e chamadas à API REST para usar a API versão 2026-02-01 ou posterior.

Continuar usando políticas de acesso

As políticas de acesso continuam sendo um modelo de controle de acesso totalmente suportado.

Cofres existentes: os cofres que já usam políticas de acesso continuam funcionando sem alterações. Basta garantir que seus SDKs de gerenciamento de plano de controle, ARM, Bicep, modelos do Terraform e chamadas à API REST usem a API versão 2026-02-01 ou posterior antes de 27 de fevereiro de 2027.
Novos cofres: ao criar novos cofres com a API versão 2026-02-01 ou posterior, você deve definir enableRbacAuthorization explicitamente como false para usar políticas de acesso, conforme descrito abaixo.

Escolha um dos seguintes métodos com base em seu cenário:

Usando templates ARM, Bicep, Terraform
Usando comandos de criação do Key Vault
Usando comandos de Criar Recurso

Usando modelos ARM, Bicep, Terraform

Quando for criar novos cofres de chaves usando a versão 2026-02-01 da API ou posterior, defina enableRbacAuthorization como false em todos os modelos do Key Vault ARM, Bicep, Terraform e nas chamadas à API REST para usar as políticas de acesso (legado).

Uso de comandos para Criar Cofre de Chaves

Ao criar novos cofres de chaves usando a versão 2026-02-01 da API ou posterior, é necessário especificar a configuração das políticas de acesso para evitar que o padrão seja o RBAC do Azure.

Verifique se você tem a versão mais recente dos módulos do CLI do Azure ou do PowerShell.

CLI do Azure
PowerShell

Atualize CLI do Azure para a versão mais recente. Para obter mais informações, consulte Como atualizar o CLI do Azure.

Use o comando apropriado para criar um cofre de chaves com políticas de acesso:

CLI do Azure
PowerShell

Use o comando az keyvault create e defina --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

Use o cmdlet New-AzKeyVault e defina -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Usando os comandos de Criar Recurso

Ao criar novos cofres de chaves usando a API versão 2026-02-01 ou posterior, defina enableRbacAuthorization para false, para usar políticas de acesso (legado). Se você não especificar essa propriedade, o padrão será true (Azure RBAC).

CLI do Azure
PowerShell

Use o comando az resource create e configure "enableRbacAuthorization": false e --api-version "2026-02-01":

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

Use o cmdlet New-AzResource e defina enableRbacAuthorization = $false e -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Próximas etapas

Comentários

Esta página foi útil?

Last updated on 2026-04-16