circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search
Ctrlk

Migración de RBAC de Key Vault

Microsoft está cambiando Azure Key Vault hacia Azure RBAC como modelo predeterminado de control de acceso para todos los nuevos Key Vaults a partir de la versión de API 2026‑02‑01. Leer más aquíarrow-up-right.

Aunque RBAC no es estrictamente obligatorio y los Key Vaults existentes que usan directivas de acceso pueden seguir funcionando tal como están, los tenants que creen un nuevo Key Vault después de actualizar a la nueva API obtendrán RBAC de forma predeterminada, salvo que las directivas de acceso se configuren explícitamente.

Puede ser una buena idea migrar a RBAC de todos modos, ya que proporciona un modelo de permisos más unificado y escalable, alineado con Microsoft Entra ID, y prepara su configuración para el futuro en caso de que Microsoft deje de dar soporte a las directivas de acceso de Key Vault.

hashtag
Guía de migración

circle-exclamation

Tenga en cuenta el tiempo de inactividad antes de continuar. SCEPman no podrá emitir ni verificar certificados hasta que los permisos se hayan migrado correctamente.

1

hashtag
Vaya a su SCEPman Key Vault

Vaya a Azure > Key Vaults > Su SCEPman Key Vault

2

hashtag
Revise sus Access Policies existentes

Navega a Directivas de acceso y documente las Access Policies de su SCEPman en Application. Las Access Policies de SCEPman deben compartir el mismo nombre que su SCEPman App Service (y cualquier SCEPman App Service con redundancia geográfica).

Usuario las Access Policies no necesitan migrarse, ya que no afectarán la funcionalidad de SCEPman. Los usuarios que requieran acceso continuo deben tener sus Access Policies revisadas y migradas a roles de Azure según la siguiente tabla: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mappingarrow-up-right

3

hashtag
Cambiar el modelo de permisos

Cambie el modelo de permisos de Vault access policy a Azure role-based access control

Al pulsar Apply se desconectará su instancia de SCEPman del Key Vault hasta que se asignen los Azure Roles. Las Access Policies anteriores también se eliminarán.

4

hashtag
Asignar Azure Roles

Vaya a Access control (IAM) y asigne los siguientes roles a la identidad administrada de su SCEPman App Service (y de cualquier SCEPman App Service con redundancia geográfica):

  • Key Vault Certificates Officer

  • Key Vault Crypto Officer

  • Key Vault Secrets User

Los roles deben asignarse de uno en uno; sin embargo, se pueden asignar varias identidades a un mismo rol.

La identidad administrada del Certificate Master (con -cm en su nombre) no requiere acceso al Key Vault.

5

hashtag
Comprobar la conectividad con Key Vault

Reinicie su SCEPman App Service; después, vaya a la página principal de SCEPman y asegúrese de que su Key Vault esté conectado.

Última actualización

¿Te fue útil?