Control de acceso basado en roles de Azure (RBAC de Azure) frente a las directivas de acceso (heredado)
Azure Key Vault ofrece dos sistemas de autorización: el control de acceso basado en roles de Azure (Azure RBAC), que opera en los planos de control y de datos de Azure, y el modelo de política de acceso, que opera solo en el plano de datos.
El control de acceso basado en roles de Azure se basa en Azure Resource Manager y proporciona una administración centralizada del acceso de los recursos de Azure. Con Azure RBAC, puede controlar el acceso a los recursos mediante la creación de asignaciones de roles, que constan de tres elementos: una entidad de seguridad, una definición de roles (conjunto predefinido de permisos) y un ámbito (grupo de recursos o recurso individual).
Azure Key Vault ofrece dos sistemas de autorización: el control de acceso basado en roles de Azure (Azure RBAC), que opera en los planos de control y de datos de Azure, y el modelo de política de acceso, que opera solo en el plano de datos. Puede controlar el acceso asignando permisos individuales a entidades principales de seguridad (usuarios, grupos, entidades principales de servicio e identidades administradas) en el ámbito de Key Vault.
Recomendación de control de acceso al plano de datos
RBAC de Azure es el sistema de autorización recomendado para el plano de datos de Azure Key Vault. Ofrece varias ventajas sobre las políticas de acceso a Key Vault:
- Azure RBAC proporciona un modelo de control de acceso unificado para los recursos de Azure: se utilizan las mismas API en todos los servicios de Azure.
- La administración del acceso está centralizada, lo que brinda a los administradores una vista coherente del acceso otorgado a los recursos de Azure.
- El derecho a otorgar acceso a claves, secretos y certificados está mejor controlado, lo que requiere ser miembro del rol de propietario o administrador de acceso de usuario.
- Azure RBAC se integra con Privileged Identity Management, lo que garantiza que los derechos de acceso con privilegios están limitados por el tiempo y expiran automáticamente.
- El acceso de las entidades de seguridad se puede excluir en ámbitos dados mediante el uso de asignaciones de denegación.
Para realizar la transición del control de acceso del plano de datos de Key Vault de directivas de acceso a RBAC, consulte Migración de la directiva de acceso del almacén a un modelo de permisos de control de acceso basado en roles de Azure.