# Migración de RBAC de Key Vault Microsoft está cambiando Azure Key Vault hacia Azure RBAC como modelo predeterminado de control de acceso para todos los nuevos Key Vaults a partir de la versión de API **2026‑02‑01**. Leer más [aquí](https://learn.microsoft.com/en-us/azure/key-vault/general/access-control-default?tabs=azure-cli). Aunque RBAC no es estrictamente obligatorio y **los Key Vaults existentes que usan directivas de acceso pueden seguir funcionando tal como están,** los tenants que creen un nuevo Key Vault después de actualizar a la nueva API obtendrán RBAC de forma predeterminada, salvo que las directivas de acceso se configuren explícitamente. Puede ser una buena idea migrar a RBAC de todos modos, ya que proporciona un modelo de permisos más unificado y escalable, alineado con Microsoft Entra ID, y prepara su configuración para el futuro en caso de que Microsoft deje de dar soporte a las directivas de acceso de Key Vault. ## Guía de migración {% hint style="warning" %} Tenga en cuenta el tiempo de inactividad antes de continuar. SCEPman no podrá emitir ni verificar certificados hasta que los permisos se hayan migrado correctamente. {% endhint %} {% stepper %} {% step %} ### Vaya a su SCEPman Key Vault Vaya a Azure > Key Vaults > *Su SCEPman Key Vault*

{% endstep %} {% step %} ### Revise sus Access Policies existentes Navega a **Directivas de acceso** y documente las Access Policies de su SCEPman en **Application***.* Las Access Policies de SCEPman deben compartir el mismo nombre que su SCEPman App Service (y cualquier SCEPman App Service con redundancia geográfica). *Usuario* las Access Policies no necesitan migrarse, ya que no afectarán la funcionalidad de SCEPman. Los usuarios que requieran acceso continuo deben tener sus Access Policies revisadas y migradas a roles de Azure según la siguiente tabla:

{% endstep %} {% step %} ### Cambiar el modelo de permisos Cambie el modelo de permisos de **Vault access policy** a **Azure role-based access control**

Al pulsar **Apply** se desconectará su instancia de SCEPman del Key Vault hasta que se asignen los Azure Roles. Las Access Policies anteriores también se eliminarán. {% endstep %} {% step %} ### Asignar Azure Roles Vaya a Access control (IAM) y asigne los siguientes roles a la **identidad administrada** de su SCEPman App Service (y de cualquier SCEPman App Service con redundancia geográfica): * Key Vault Certificates Officer * Key Vault Crypto Officer * Key Vault Secrets User

Los roles deben asignarse de uno en uno; sin embargo, se pueden asignar varias identidades a un mismo rol.

La identidad administrada del Certificate Master (con -cm en su nombre) **no** requiere acceso al Key Vault. {% endstep %} {% step %} ### Comprobar la conectividad con Key Vault Reinicie su SCEPman App Service; después, vaya a la página principal de SCEPman y asegúrese de que su Key Vault esté conectado.

{% endstep %} {% endstepper %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/es/otros/faqs/migracion-de-rbac-de-key-vault.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.