# Migración de RBAC de Key Vault
Microsoft está cambiando Azure Key Vault hacia Azure RBAC como modelo predeterminado de control de acceso para todos los nuevos Key Vaults a partir de la versión de API **2026‑02‑01**. Leer más [aquí](https://learn.microsoft.com/en-us/azure/key-vault/general/access-control-default?tabs=azure-cli).
Aunque RBAC no es estrictamente obligatorio y **los Key Vaults existentes que usan directivas de acceso pueden seguir funcionando tal como están,** los tenants que creen un nuevo Key Vault después de actualizar a la nueva API obtendrán RBAC de forma predeterminada, salvo que las directivas de acceso se configuren explícitamente.
Puede ser una buena idea migrar a RBAC de todos modos, ya que proporciona un modelo de permisos más unificado y escalable, alineado con Microsoft Entra ID, y prepara su configuración para el futuro en caso de que Microsoft deje de dar soporte a las directivas de acceso de Key Vault.
## Guía de migración
{% hint style="warning" %}
Tenga en cuenta el tiempo de inactividad antes de continuar. SCEPman no podrá emitir ni verificar certificados hasta que los permisos se hayan migrado correctamente.
{% endhint %}
{% stepper %}
{% step %}
### Vaya a su SCEPman Key Vault
Vaya a Azure > Key Vaults > *Su SCEPman Key Vault*
{% endstep %}
{% step %}
### Revise sus Access Policies existentes
Navega a **Directivas de acceso** y documente las Access Policies de su SCEPman en **Application***.* Las Access Policies de SCEPman deben compartir el mismo nombre que su SCEPman App Service (y cualquier SCEPman App Service con redundancia geográfica).
*Usuario* las Access Policies no necesitan migrarse, ya que no afectarán la funcionalidad de SCEPman. Los usuarios que requieran acceso continuo deben tener sus Access Policies revisadas y migradas a roles de Azure según la siguiente tabla:
{% endstep %}
{% step %}
### Cambiar el modelo de permisos
Cambie el modelo de permisos de **Vault access policy** a **Azure role-based access control**
Al pulsar **Apply** se desconectará su instancia de SCEPman del Key Vault hasta que se asignen los Azure Roles. Las Access Policies anteriores también se eliminarán.
{% endstep %}
{% step %}
### Asignar Azure Roles
Vaya a Access control (IAM) y asigne los siguientes roles a la **identidad administrada** de su SCEPman App Service (y de cualquier SCEPman App Service con redundancia geográfica):
* Key Vault Certificates Officer
* Key Vault Crypto Officer
* Key Vault Secrets User
Los roles deben asignarse de uno en uno; sin embargo, se pueden asignar varias identidades a un mismo rol.
La identidad administrada del Certificate Master (con -cm en su nombre) **no** requiere acceso al Key Vault.
{% endstep %}
{% step %}
### Comprobar la conectividad con Key Vault
Reinicie su SCEPman App Service; después, vaya a la página principal de SCEPman y asegúrese de que su Key Vault esté conectado.
{% endstep %}
{% endstepper %}
