# Migração de RBAC do Key Vault

A Microsoft está a mudar o Azure Key Vault para o Azure RBAC como modelo de controlo de acesso predefinido para todos os novos Key Vaults a partir da versão da API **2026‑02‑01**. Leia mais [aqui](https://learn.microsoft.com/en-us/azure/key-vault/general/access-control-default?tabs=azure-cli). 

Embora o RBAC não seja estritamente obrigatório e **os Key Vaults existentes que utilizam políticas de acesso possam continuar a funcionar tal como estão,** os tenants que criarem um novo Key Vault após atualizarem para a nova API obterão RBAC por predefinição, a menos que as políticas de acesso sejam configuradas explicitamente.

Pode ser uma boa ideia migrar para RBAC de qualquer forma, uma vez que fornece um modelo de permissões mais unificado e escalável, alinhado com o Microsoft Entra ID, e prepara a sua configuração para o futuro caso a Microsoft descontinue as políticas de acesso do Key Vault.

## Guia de Migração

{% hint style="warning" %}
Considere o tempo de indisponibilidade antes de prosseguir. O SCEPman não conseguirá emitir nem verificar certificados até que as permissões tenham sido migradas com sucesso.
{% endhint %}

{% stepper %}
{% step %}

### Navegue até ao seu Key Vault do SCEPman

Navegue para Azure > Key Vaults > *O seu Key Vault do SCEPman* 

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F9bKH9aF9Q6kydSEieT2V%2Fimage.png?alt=media&#x26;token=23dcdccb-c2c5-4514-8372-ab21f4aacaee" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Revise as suas Access Policies existentes

Navegue até **políticas de acesso** e documente as políticas de acesso do seu SCEPman em **Application***.* As políticas de acesso do SCEPman devem partilhar o mesmo nome que o seu App Service do SCEPman (e quaisquer App Services do SCEPman georredundantes).&#x20;

*Utilizador* as políticas de acesso não precisam de ser migradas, pois não afetarão a funcionalidade do SCEPman. Os utilizadores que necessitem de acesso contínuo devem ter as suas políticas de acesso revistas e migradas para funções do Azure com base na tabela seguinte: <https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mapping>

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F2UbFjoOgavF5Igu7miQm%2Fimage.png?alt=media&#x26;token=960b3d8d-bfe6-4b21-a333-bd76f1cec7f1" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Alterar o Modelo de Permissões

Alterar o Modelo de Permissões de **Vault access policy** para **Azure role-based access control**

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FfyT4DqTi3pkfZxT1IgjI%2Fimage.png?alt=media&#x26;token=089ef0fd-77f7-46bc-8658-bff619006329" alt=""><figcaption></figcaption></figure>

Premir **Apply** irá desligar a sua instância do SCEPman do Key Vault até que as Funções do Azure sejam atribuídas. As políticas de acesso anteriores também serão removidas.
{% endstep %}

{% step %}

### Atribuir Funções do Azure

Navegue até Controlo de acesso (IAM) e atribua as seguintes funções à **identidade gerida** do seu App Service do SCEPman (e de quaisquer App Services do SCEPman georredundantes):

* Key Vault Certificates Officer
* Key Vault Crypto Officer
* Key Vault Secrets User

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FFfkpt5imnAJVZrgVlbCt%2Fimage.png?alt=media&#x26;token=afdda1b3-6353-4f2c-90eb-d99c20c4d9a9" alt=""><figcaption></figcaption></figure>

As funções devem ser atribuídas uma de cada vez; no entanto, podem ser atribuídas várias identidades a uma função.

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FzHWUGaIvBJDlZLB1aNIV%2Fimage.png?alt=media&#x26;token=db111569-53c0-4c79-9b76-3d176b304733" alt=""><figcaption></figcaption></figure>

A identidade gerida do Certificate Master (com -cm no nome) **não** requer acesso ao Key Vault.
{% endstep %}

{% step %}

### Verificar a Conectividade do Key Vault

Reinicie o seu App Service do SCEPman e, em seguida, navegue até à página inicial do SCEPman e certifique-se de que o seu Key Vault está ligado.

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F3a2szozK7DVq7CGIvzYL%2Fimage.png?alt=media&#x26;token=144cf4b0-e176-461c-8327-6836010d5d59" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}