Control de acceso basado en roles de Azure (RBAC de Azure) frente a las directivas de acceso (heredado)
Importante
Cuando se usa el modelo de permisos de directiva de acceso, un usuario con el Contributor
, Key Vault Contributor
o cualquier otro rol que incluya Microsoft.KeyVault/vaults/write
permisos para el plano de administración del almacén de claves puede concederse acceso al plano de datos estableciendo una directiva de acceso de Key Vault. Para evitar el acceso y la administración no autorizados de los almacenes de claves, las claves, los secretos y los certificados, es esencial limitar el acceso de rol Colaborador a los almacenes de claves en el modelo de permisos de Directiva de acceso. Para mitigar este riesgo, se recomienda usar el Modelo de permisos de control de acceso basado en rol (RBAC) , que restringe la administración de permisos a los roles "Propietario" y "Administrador de acceso de usuario", lo que permite una separación clara entre las operaciones de seguridad y las tareas administrativas. Consulte la Guía de RBAC de Key Vault y ¿Qué es Azure RBAC? para más información.
Azure Key Vault ofrece dos sistemas de autorización: el control de acceso basado en roles de Azure (Azure RBAC), que opera en los planos de control y de datos de Azure, y el modelo de política de acceso, que opera solo en el plano de datos.
El control de acceso basado en roles de Azure se basa en Azure Resource Manager y proporciona una administración centralizada del acceso de los recursos de Azure. Con Azure RBAC, puede controlar el acceso a los recursos mediante la creación de asignaciones de roles, que constan de tres elementos: una entidad de seguridad, una definición de roles (conjunto predefinido de permisos) y un ámbito (grupo de recursos o recurso individual).
Azure Key Vault ofrece dos sistemas de autorización: el control de acceso basado en roles de Azure (Azure RBAC), que opera en los planos de control y de datos de Azure, y el modelo de política de acceso, que opera solo en el plano de datos. Puede controlar el acceso asignando permisos individuales a entidades principales de seguridad (usuarios, grupos, entidades principales de servicio e identidades administradas) en el ámbito de Key Vault.
Recomendación de control de acceso al plano de datos
RBAC de Azure es el sistema de autorización recomendado para el plano de datos de Azure Key Vault. Ofrece varias ventajas sobre las políticas de acceso a Key Vault:
- Azure RBAC proporciona un modelo de control de acceso unificado para los recursos de Azure: se utilizan las mismas API en todos los servicios de Azure.
- La administración del acceso está centralizada, lo que brinda a los administradores una vista coherente del acceso otorgado a los recursos de Azure.
- El derecho a otorgar acceso a claves, secretos y certificados está mejor controlado, lo que requiere ser miembro del rol de propietario o administrador de acceso de usuario.
- Azure RBAC se integra con Privileged Identity Management, lo que garantiza que los derechos de acceso con privilegios están limitados por el tiempo y expiran automáticamente.
- El acceso de las entidades de seguridad se puede excluir en ámbitos dados mediante el uso de asignaciones de denegación.
Para realizar la transición del control de acceso del plano de datos de Key Vault de directivas de acceso a RBAC, consulte Migración de la directiva de acceso del almacén a un modelo de permisos de control de acceso basado en roles de Azure.