Configurar el acceso a Key Vault, incluidas las directivas de acceso de almacén y el control de acceso basado en roles de Azure
El control de acceso basado en rol de Azure es un sistema de autorización basado en Azure Resource Manager que proporciona administración de acceso específico a los recursos de Azure.
Azure RBAC permite a los usuarios administrar los permisos de las claves, secretos y certificados. Proporciona un lugar para administrar todos los permisos en todos los almacenes de claves.
El modelo de Azure RBAC permite establecer permisos en diferentes niveles de ámbito: grupo de administración, suscripción, grupo de recursos o recursos individuales. RBAC de Azure para Key Vault también permite a los usuarios tener permisos independientes en claves, secretos y certificados individuales.
Procedimientos recomendados para las asignaciones de roles de certificados, secretos y claves individuales
Nuestra recomendación es usar un almacén por aplicación y entorno (desarrollo, preproducción y producción).
Los permisos de claves, secretos y certificados individuales solo deben usarse para escenarios concretos:
- El uso compartido de secretos individuales entre varias aplicaciones, por ejemplo, una aplicación necesita acceder a los datos de otra
Roles integrados de Azure para operaciones del plano de datos de Key Vault
Nota:
El rol Colaborador de Key Vault es solo para operaciones en el plano de administración para administrar almacenes de claves. no permite el acceso a claves, secretos y certificados.
| Rol integrado | Descripción | ID |
|---|---|---|
| Administrador de Key Vault | Permite realizar todas las operaciones de plano de datos en un almacén de claves y en todos los objetos que contiene, incluidos los certificados, las claves y los secretos. No permite administrar los recursos del almacén de claves ni administrar las asignaciones de roles. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Agente de certificados de Key Vault | Permite realizar cualquier acción en los certificados de un almacén de claves, excepto administrar permisos. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Agente criptográfico de Key Vault | Permite realizar cualquier acción en las claves de un almacén de claves, excepto administrar permisos. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Usuario de cifrado de servicio criptográfico de Key Vault | Permite leer los metadatos de las claves y realizar operaciones de encapsulado/desencapsulado. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Usuario criptográfico de Key Vault | Permite realizar operaciones criptográficas mediante claves. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Lector de Key Vault | Permite leer metadatos de almacenes de claves y sus certificados, claves y secretos. No se pueden leer valores confidenciales, como el contenido de los secretos o el material de las claves. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Responsable de secretos de Key Vault | Permite realizar cualquier acción en los secretos de un almacén de claves, excepto administrar permisos. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Usuario de secretos de Key Vault | Lea el contenido del secreto, incluida la parte secreta de un certificado con clave privada. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 4633458b-17de-408a-b874-0445c86b69e6 |
Nota:
No hay ningún usuario de certificado de Key Vault porque las aplicaciones requieren la parte de secretos del certificado con clave privada. El rol Usuario de secretos de Key Vault debe usarse para que las aplicaciones recuperen el certificado.
Administración de asignaciones de roles integradas del plano de datos de Key Vault (versión preliminar)
| Rol integrado | Descripción | ID |
|---|---|---|
| Administrador de acceso a datos de Key Vault (versión preliminar) | Administre el acceso a Azure Key Vault mediante la adición o eliminación de asignaciones de roles para el administrador de Key Vault, el oficial de certificados de Key Vault, el oficial de cifrado de Key Vault, el usuario de cifrado del servicio criptográfico de Key Vault, el usuario criptográfico de Key Vault, el lector de Key Vault, el oficial de secretos de Key Vault o los roles de usuario de secretos de Key Vault. Incluye una condición de ABAC para restringir las asignaciones de roles. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Uso de los permisos de secretos, claves y certificados de Azure RBAC con Key Vault
El nuevo modelo de permisos de Azure RBAC para el almacén de claves proporciona una alternativa al modelo de permisos de la directiva de acceso del almacén.
Requisitos previos
Debe tener una suscripción de Azure. Si no la tiene, puede crear una cuenta gratuita antes de empezar.
Para agregar asignaciones de roles, debe tener permisos de Microsoft.Authorization/roleAssignments/write y Microsoft.Authorization/roleAssignments/delete, como administrador de acceso a datos de Key Vault (versión preliminar), administrador de acceso de usuario o propietario.