Proporcione acceso a las claves, certificados y secretos de Key Vault con el control de acceso basado en roles de Azure.

Azure Access Control basado en Roles (Azure RBAC) es un sistema de autorización basado en Azure Resource Manager que proporciona administración centralizada del acceso a los recursos de Azure.

Azure RBAC permite a los usuarios administrar claves, secretos y permisos de certificados, y proporciona un lugar para administrar todos los permisos en todos los almacenes de claves.

El modelo de RBAC de Azure permite a los usuarios establecer permisos en distintos niveles de ámbito: grupo de administración, suscripción, grupo de recursos o recursos individuales. Azure RBAC para bóveda de claves también permite a los usuarios tener permisos independientes en claves, secretos y certificados individuales.

Para obtener más información, consulte Control de acceso basado en roles de Azure (Azure RBAC).

Información general del modelo de Key Vault access

El acceso a un Key Vault se controla a través de dos interfaces: el plano de control y el plano de datos.

El plano de control es donde se administra Key Vault. Las operaciones de este plano incluyen la creación y eliminación de bóvedas de claves, la recuperación de propiedades de la Bóveda de Claves y la actualización de directivas de acceso.

El plano de datos es donde se trabaja con los datos almacenados en una bóveda de claves. Puede agregar, eliminar y modificar claves, secretos y certificados.

Ambos planos usan Microsoft Entra ID para la autenticación. Para la autorización, el plano de control usa control de acceso basado en roles de Azure (Azure RBAC) y el plano de datos usa una directiva de acceso de Key Vault (heredada) o Azure RBAC para operaciones del plano de datos de Key Vault.

Para acceder a un Key Vault en cualquiera de los planos, todos los llamantes (usuarios o aplicaciones) deben tener la autenticación y autorización adecuadas. La autenticación establece la identidad del autor de la llamada. La autorización determina qué operaciones puede ejecutar el autor de la llamada.

Las aplicaciones acceden a los planos a través de puntos de conexión. Los controles de acceso para los dos planos funcionan de forma independiente. Para otorgar acceso a una aplicación para usar claves en una bóveda de claves, se concede acceso al plano de datos mediante Azure RBAC o una directiva de acceso a la bóveda de claves. Para conceder a un usuario acceso de lectura a las propiedades y etiquetas del Key Vault, pero no acceso a los datos (claves, secretos o certificados), se concede acceso al plano de control con Azure RBAC.

puntos de conexión del plano de acceso

En la tabla siguiente se muestran los puntos de conexión para el control y los planos de datos.

Administración de acceso administrativo a Key Vault

Al crear una bóveda de claves en un grupo de recursos, se administra el acceso mediante Microsoft Entra ID. Puede conceder a usuarios o grupos la capacidad de administrar los almacenes de claves en un grupo de recursos. Puede conceder acceso en un nivel de ámbito particular asignando los roles de Azure adecuados. Para conceder acceso a un usuario para que administre bóvedas de claves, asigne un rol predefinido Key Vault Contributor al usuario en un ámbito específico. Los siguientes niveles de ámbitos se pueden asignar a un rol de Azure:

• Subscription: un rol de Azure asignado en el nivel de suscripción se aplica a todos los grupos de recursos y recursos de esa suscripción.
• Resource group: un rol de Azure asignado en el nivel de grupo de recursos se aplica a todos los recursos de ese grupo de recursos.
• Recurso específico: Un rol de Azure asignado a un recurso específico se aplica a ese recurso. En este caso, el recurso es un Key Vault específico.

Hay varios roles predefinidos. Si un rol predefinido no se ajusta a sus necesidades, puede definir uno propio. Para obtener más información, consulte Azure RBAC: Roles integrados.

Procedimientos recomendados para las asignaciones de roles de certificados, secretos y claves individuales

Nuestra recomendación es usar un almacén por aplicación por entorno (Desarrollo, Preproducción y Producción) con roles asignados en el ámbito del almacén de claves.

No se recomienda asignar roles a claves, secretos y certificados individuales. Las excepciones incluyen escenarios en los que:

• Los secretos individuales requieren acceso de usuario individual; por ejemplo, donde los usuarios deben acceder a su clave privada SSH para autenticarse en una máquina virtual mediante Azure Bastion.
• Los secretos individuales deben compartirse entre varias aplicaciones; por ejemplo, donde una aplicación necesita acceder a datos de otra aplicación.

Para obtener más información sobre las directrices de administración de Azure Key Vault, consulte:

• Protege tu Azure Key Vault
• límites del servicio Azure Key Vault

Roles predeterminados de Azure para las operaciones del plano de datos de Key Vault

Para obtener más información sobre las definiciones de roles integrados de Azure, consulte Roles integrados de Azure.

Administración de asignaciones de roles integrados de Key Vault en la plataforma de datos

Uso de permisos de secreto, clave y certificado de RBAC de Azure con Key Vault

El nuevo modelo de permisos de RBAC de Azure para la bóveda de claves proporciona una alternativa al modelo de permisos de directiva de acceso del almacén.

Requisitos previos

Debe tener una suscripción de Azure. Si no lo hace, puede crear una cuenta free antes de comenzar.

Para administrar las asignaciones de roles, debe tener permisos de Microsoft.Authorization/roleAssignments/write y Microsoft.Authorization/roleAssignments/delete, por ejemplo, Administrador de acceso a datos de Key Vault (con permisos restringidos para asignar o quitar roles específicos de Key Vault), Administrador de acceso de usuario o Propietario.

Habilitación de permisos de RBAC de Azure en Key Vault

1. Habilite los permisos de RBAC de Azure en las nuevas bóvedas de claves.

   

2. Habilite los permisos de RBAC de Azure en los almacenes de claves existentes.

   

Asignación de un rol

az role assignment create --role {role-name-or-id} --assignee {assignee-upn}> --scope {scope}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName {role-name} -SignInName {assignee-upn} -Scope {scope}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName Reader -ApplicationId {application-id} -Scope {scope}

Asignación de roles en el ámbito de un grupo de recursos

az role assignment create --role "Key Vault Reader" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Reader' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

La asignación de roles permite enumerar objetos del Key Vault.

Asignación de roles de ámbito de Key Vault

az role assignment create --role "Key Vault Secrets Officer" --assignee {assignee-upn} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {assignee-upn} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {application-id} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Asignación de roles del ámbito de secreto

az role assignment create --role "Key Vault Secrets Officer" --assignee {i.e user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by User Principal Name
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -SignInName {i.e user@microsoft.com} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 00001111-aaaa-2222-bbbb-3333cccc4444} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}/secrets/RBACSecret

Prueba y comprobación

1. Validar la adición de un nuevo secreto sin el rol "Key Vault Secrets Officer" a nivel de key vault.

   1. Vaya a la pestaña de control de acceso (IAM) de Key Vault y quite la asignación del rol "Responsable de secretos de Key Vault" para este recurso.

      

   2. Vaya al secreto creado antes. Puede ver todas las propiedades del secreto.

      

   3. Crear secreto (Secretos +Generar o importar) debe mostrar este error:

      Crear un secreto

2. Valide la edición de secretos sin el rol de "Oficial de Secretos de Key Vault" a nivel de secreto.

   1. Vaya a la pestaña de Control de Acceso (IAM) del secreto creada anteriormente y quite la asignación del rol "Key Vault Secrets Officer" para este recurso.

   2. Vaya al secreto creado antes. Puede ver las propiedades del secreto.

      

3. Valide los secretos leídos sin rol de lector a nivel de bóveda de claves.

   1. Vaya al grupo de recursos del Key Vault y a la pestaña de control de acceso (IAM) y quite la asignación de roles "Key Vault Reader".

   2. Si navega a la pestaña Secretos de Key Vault debe mostrar este error:

      Pestaña Secretos: error

Creación de roles personalizados

az role definition create command - Comando para crear una definición de rol en Azure.

az role definition create --role-definition '{ \
    "Name": "Backup Keys Operator", \
    "Description": "Perform key backup/restore operations", \
    "Actions": [], \
    "DataActions": [ \
        "Microsoft.KeyVault/vaults/keys/read ", \
        "Microsoft.KeyVault/vaults/keys/backup/action", \
        "Microsoft.KeyVault/vaults/keys/restore/action" \
    ], \
    "NotDataActions": [], \
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] \
}'

$roleDefinition = @"
{ 
    "Name": "Backup Keys Operator", 
    "Description": "Perform key backup/restore operations", 
    "Actions": [], 
    "DataActions": [ 
        "Microsoft.KeyVault/vaults/keys/read ", 
        "Microsoft.KeyVault/vaults/keys/backup/action", 
        "Microsoft.KeyVault/vaults/keys/restore/action" 
    ], 
    "NotDataActions": [], 
    "AssignableScopes": ["/subscriptions/{subscriptionId}"] 
}
"@

$roleDefinition | Out-File role.json

New-AzRoleDefinition -InputFile role.json

Para obtener más información sobre cómo crear roles personalizados, consulte:

Azure roles personalizados

Utilizar IA para generar asignaciones de roles en Key Vault

GitHub Copilot puede ayudarle a construir los comandos correctos de CLI de Azure o PowerShell para las asignaciones de roles de Key Vault en función de sus requisitos específicos.

I need to set up Azure RBAC for my Key Vault. Help me create the role assignment commands for the following scenario:
- Key vault name: my-app-keyvault
- Resource group: my-app-rg
- Subscription ID: <my-subscription-id>
- I need to grant a managed identity (client ID: <managed-identity-client-id>) the ability to read and write secrets, but not manage keys or certificates.
Provide both Azure CLI and PowerShell commands, and explain which built-in role is most appropriate for this least-privilege scenario.

GitHub Copilot cuenta con inteligencia artificial, por lo que son posibles sorpresas y errores. Para obtener más información, consulte Preguntas más frecuentes sobre Copilot.

Preguntas más frecuentes

¿Puedo usar las asignaciones de ámbito de objeto de Azure RBAC para proporcionar aislamiento a los equipos de aplicaciones en Key Vault?

No. El modelo de permisos de Azure RBAC permite asignar acceso a objetos individuales de Key Vault a usuarios o aplicaciones, pero cualquier operación administrativa, como el control de acceso de red, la supervisión y la gestión de objetos, requiere permisos de nivel de bóveda, los cuales pueden exponer información segura a los operadores en todos los equipos de aplicaciones.

Más información

• Información general sobre RBAC de Azure
• Asignar roles de Azure mediante el portal de Azure
• Tutorial de roles personalizados
• Protege tu Azure Key Vault