Asignación de una directiva de acceso de Key Vault (heredado)

Importante

Cuando se usa el modelo de permisos de Directiva de acceso, un usuario con el Contributor, Key Vault Contributor, o cualquier otro rol que incluya Microsoft.KeyVault/vaults/write permisos para el plano de administración del almacén de claves puede concederse acceso al plano de datos estableciendo una directiva de acceso de Key Vault. Para evitar el acceso y la administración no autorizados de los almacenes de claves, las claves, los secretos y los certificados, es esencial limitar el acceso de rol colaborador a los almacenes de claves en el modelo de permisos de Directiva de acceso. Para mitigar este riesgo, se recomienda usar el Modelo de permisos de control de acceso basado en rol (RBAC) , que restringe la administración de permisos a los roles "Propietario" y "Administrador de acceso de usuario", lo que permite una separación clara entre las operaciones de seguridad y las tareas administrativas. Consulte la Guía de RBAC de Key Vault y ¿Qué es Azure RBAC? para más información.

Una directiva de acceso de Key Vault determina si una entidad de seguridad concreta, es decir, un usuario, una aplicación o un grupo de usuarios, puede realizar distintas operaciones en los secretos, las claves y los certificados de Key Vault. Las directivas de acceso se pueden asignar mediante Azure Portal, la CLI de Azure o Azure PowerShell.

Key Vault admite hasta 1024 entradas de directiva de acceso, donde cada entrada concede un conjunto de permisos distinto a una entidad de servicio particular: Debido a esta limitación, se recomienda asignar directivas de acceso a grupos de usuarios, siempre que sea posible, en lugar de a usuarios individuales. El uso de grupos facilita la administración de permisos para varias personas de la organización. Para obtener más información, consulta Administración del acceso a aplicaciones y recursos mediante grupos de Microsoft Entra.

Asignación de directivas de acceso

  1. En Azure Portal, vaya al recurso Key Vault.

  2. Seleccione Directivas de acceso y, luego, Crear:

    Seleccionar directivas de acceso mediante la elección de Agregar asignación de roles

  3. Seleccione los permisos que quiera en Permisos de las claves, Permisos de los secretos y Permisos de los certificados.

    Especificación de permisos de la directiva de acceso

  4. En el panel de selección Principal, escriba el nombre del usuario, la aplicación o entidad de servicio en el campo de búsqueda y seleccione el resultado adecuado.

    Selección de la entidad de seguridad para la directiva de acceso

    Si usa una identidad administrada para la aplicación, busque y seleccione el nombre de la propia aplicación Para obtener más información sobre las entidades de seguridad, consulte Autenticación de Key Vault.

  5. Revise los cambios de la directiva de acceso y seleccione Crear para guardar la directiva de acceso.

    Adición de la directiva de acceso con la entidad de seguridad asignada

  6. De nuevo en la página Directivas de acceso, compruebe que aparece la directiva de acceso.

    Almacenamiento de los cambios en las directivas de acceso

Pasos siguientes