Configurar el acceso a Key Vault, incluidas las directivas de acceso al almacén y el control de acceso basado en rol de Azure
El control de acceso basado en rol de Azure (RBAC de Azure) es un sistema de autorización basado en Azure Resource Manager que proporciona una administración de acceso específica de los recursos de Azure.
Azure RBAC permite a los usuarios administrar los permisos clave, secretos y certificados. Proporciona un lugar para administrar todos los permisos en todos los almacenes de claves.
El modelo RBAC de Azure permite usar para establecer permisos en distintos niveles de ámbito: grupo de administración, suscripción, grupo de recursos o recursos individuales. RBAC de Azure para "key vault" también permite a los usuarios tener permisos independientes en claves, secretos y certificados individuales.
Procedimientos recomendados para las asignaciones de roles de claves, secretos y certificados individuales
Nuestra recomendación es usar una bóveda por aplicación por entorno (desarrollo, preproducción y producción).
Los permisos de claves, secretos y certificados individuales solo deben usarse para escenarios específicos:
- Uso compartido de secretos individuales entre varias aplicaciones, por ejemplo, una aplicación necesita acceder a los datos de la otra aplicación.
Roles integrados de Azure para las operaciones del plano de datos de Key Vault
Nota
El rol de Colaborador de Key Vault es únicamente para las operaciones del plano de administración y se utiliza para gestionar almacenes de claves. No permite el acceso a claves, secretos y certificados.
| función integrada | Descripción | id. de |
|---|---|---|
| Administrador de Key Vault | Realice todas las operaciones del plano de datos en un almacén de claves y en todos los objetos en él, incluidos los certificados, las claves y los secretos. No se pueden administrar los recursos del almacén de claves ni administrar las asignaciones de roles. Es compatible únicamente con almacenes de claves que usan el modelo de permisos "Control de acceso basado en roles de Azure". | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Oficial de certificados de Key Vault | Realice cualquier acción en los certificados de una bóveda de claves, excepto administrar permisos. Solo funciona para almacenes de claves que utilizan el modelo de permisos de "Control de acceso basado en roles de Azure". | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Agente criptográfico de Key Vault | Realice cualquier acción en las claves de un almacén de claves, excepto administrar permisos. Solo funciona para bóvedas de claves que usan el modelo de permisos 'Control de acceso basado en roles de Azure'. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Usuario de cifrado del servicio criptográfico de Key Vault | Leer los metadatos de las claves y realizar operaciones de envoltura y desenvoltura. Solo funciona para bóvedas de claves que usan el modelo de permisos "Control de acceso basado en roles de Azure". | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Usuario criptográfico de Key Vault | Realizar operaciones criptográficas mediante claves. Solo funciona para almacenes de claves que utilizan el modelo de permisos de 'Control de acceso basado en roles de Azure'. | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Lector de Key Vault | Leer los metadatos de las bóvedas de claves y sus certificados, claves y secretos. No se pueden leer valores confidenciales, como los contenidos secretos o el material criptográfico. Solo funciona para bóvedas de claves que utilizan el modelo de permisos "Control de acceso basado en roles de Azure". | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Director de secretos de Key Vault | Realice cualquier acción en los secretos de una bóveda de claves, excepto administrar permisos. Solo funciona con almacenes de claves que utilizan el modelo de permisos "Control de acceso basado en roles de Azure". | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Usuario de secretos de Key Vault | Lea los contenidos secretos, incluyendo la parte secreta de un certificado con clave privada. Solo funciona para los almacenes de claves que utilizan el modelo de permisos de "Control de acceso basado en roles de Azure". | 4633458b-17de-408a-b874-0445c86b69e6 |
Nota
No hay ningún usuario de certificado de Key Vault porque las aplicaciones requieren la parte de secretos del certificado con clave privada. El rol Usuario de secretos de Key Vault debe usarse para que las aplicaciones recuperen el certificado.
Administración de asignaciones de roles integradas del plano de datos de Key Vault (versión preliminar)
| rol integrado | Descripción | id. |
|---|---|---|
| Administrador de acceso a datos de Key Vault (versión preliminar) | Administre el acceso a Azure Key Vault mediante la adición o eliminación de asignaciones de roles para el administrador de Key Vault, el oficial de certificados de Key Vault, el oficial de cifrado de Key Vault, el usuario de cifrado del servicio criptográfico de Key Vault, el usuario criptográfico de Key Vault, el lector de Key Vault, el oficial de secretos de Key Vault o los roles de usuario de secretos de Key Vault. Incluye una condición ABAC para restringir la asignación de roles. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Uso de permisos de secreto, clave y certificado de RBAC de Azure con Key Vault
El nuevo modelo de permisos de RBAC de Azure para bóveda de claves proporciona una alternativa al modelo de permisos de política de acceso del almacén.
Prerrequisitos
Debe tener una suscripción de Azure. Si no lo hace, puede crear una cuenta gratuita antes de comenzar.
Para agregar asignaciones de roles, debe tener permisos de Microsoft.Authorization/roleAssignments/write y Microsoft.Authorization/roleAssignments/delete, como Administrador de acceso a datos de Key Vault (versión preliminar), Administrador de acceso de usuario o Propietario.