我想尽可能安全地锁定我的Key Vault。我认为访问控制是谁可以整体上访问和修改Key Vault。访问策略是谁或什么可以访问机密。
我们的管理员组应位于访问控制组中。我们的应用程序服务(具有托管身份)应包含在访问策略中。我认为没有其他需要吗?
答案 0 :(得分:1)
是的,您是正确的。
Desired Output:
Cust_Id trtmnt_cd dt offr_proposed cust_response
A A123 2019-01-20 1 1
在管理平面中,Access control (IAM)在数据平面中。
对于您的情况,您应该注意,如果您的管理员组仅位于Access policies中,即使它是Access control (IAM),该组中的用户也将无法直接访问机密,除非用户添加自己去Owner/Contributor。
类似地,如果您不希望用户/服务主体/组访问机密,则不要像Access policies这样的角色将其添加到Access policies中,因为它们可以添加自己Owner/Contributor。