circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Migración de RBAC de Key Vault

Microsoft está orientando Azure Key Vault hacia Azure RBAC como el modelo de control de acceso predeterminado para todos los nuevos Key Vaults a partir de la versión de API 2026‑02‑01. Lee más aquíarrow-up-right.

Aunque RBAC no es estrictamente obligatorio y los Key Vaults existentes que usan políticas de acceso pueden seguir funcionando tal como están, los inquilinos que creen un nuevo Key Vault después de actualizar a la nueva API obtendrán RBAC por defecto a menos que las políticas de acceso se configuren explícitamente.

Puede ser una buena idea migrar a RBAC de todos modos, ya que proporciona un modelo de permisos más unificado y escalable alineado con Microsoft Entra ID y protege su configuración a futuro en caso de que Microsoft desapruebe las políticas de acceso de Key Vault.

hashtag
Guía de migración

circle-exclamation

Tenga en cuenta el tiempo de inactividad antes de proceder. SCEPman no podrá emitir ni verificar certificados hasta que los permisos se hayan migrado correctamente.

1

hashtag
Navegue hasta su Key Vault de SCEPman

Vaya a Azure > Key Vaults > Su Key Vault de SCEPman

2

hashtag
Revise sus políticas de acceso existentes

Vaya a Políticas de acceso y documente las políticas de acceso de su SCEPman bajo Aplicación. Las políticas de acceso de SCEPman deben tener el mismo nombre que su App Service de SCEPman (y cualquier App Service de SCEPman geo-redundante).

Usuario las políticas de acceso de usuario no necesitan migrarse ya que no afectarán la funcionalidad de SCEPman. Los usuarios que requieran acceso continuado deben tener sus políticas de acceso revisadas y migradas a roles de Azure según la siguiente tabla: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mappingarrow-up-right

3

hashtag
Cambiar el modelo de permisos

Cambiar el modelo de permisos de Política de acceso del almacén a Control de acceso basado en roles de Azure

Al pulsar Aplicar desconectará su instancia de SCEPman del Key Vault hasta que se asignen los Roles de Azure. Las políticas de acceso anteriores también se eliminarán.

4

hashtag
Asignar Roles de Azure

Vaya a Control de acceso (IAM) y asigne los siguientes roles a la identidad administrada de su App Service de SCEPman (y de cualquier App Service de SCEPman geo-redundante):

  • Responsable de certificados de Key Vault

  • Responsable criptográfico de Key Vault

  • Usuario de secretos de Key Vault

Los roles deben asignarse uno por uno; sin embargo, varias identidades pueden asignarse a un mismo rol.

La identidad administrada del Certificate Master (con -cm en su nombre) no requiere acceso al Key Vault.

5

hashtag
Comprobar la conectividad con Key Vault

Reinicie su App Service de SCEPman, luego vaya a la página principal de SCEPman y asegúrese de que su Key Vault esté conectado.

Última actualización

¿Te fue útil?