Share via

Roles y recursos de firma de confianza

  • Artículo

La Firma de confianza es un recurso nativo de Azure que ofrece compatibilidad completa con conceptos comunes de Azure, como los recursos. Al igual que con cualquier otro recurso de Azure, la firma de confianza tiene su propio conjunto de recursos y roles diseñados para simplificar la administración del servicio.

En este artículo se presentan los recursos y roles específicos de la firma de confianza.

Tipos de recursos de Firma de confianza

La firma de confianza tiene los siguientes tipos de recursos:

  • Cuenta de Firma de confianza: una cuenta es un contenedor lógico de todos los recursos que necesita para completar la firma y administrar los controles de acceso a los recursos confidenciales.

  • Validaciones de identidades: la validación de identidad realiza la comprobación de la organización o la identidad individual antes de poder firmar el código. La organización verificada o identidad individual es el origen de los atributos de los valores de nombre distintivo del firmante (DN) del perfil de certificado (por ejemplo, CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Los roles de validación de identidad se asignan a las identidades de inquilino para crear estos recursos.

  • Perfiles de certificado: un perfil de certificado es los atributos de configuración que generan los certificados que se usan para firmar el código. También define el modelo de confianza y el escenario en el que los usuarios de confianza consumen contenido firmado. Los roles de firma se asignan a este recurso para autorizar a las identidades de inquilino a solicitar la firma. Un requisito previo para crear cualquier perfil de certificado es que se complete al menos una solicitud de validación de identidad.

En la estructura de ejemplo siguiente, una suscripción de Azure tiene un grupo de recursos. En el grupo de recursos puede tener uno o varios recursos de cuenta de firma de confianza con una o varias validaciones de identidad y perfiles de certificado.

Diagrama que muestra el grupo de recursos del servicio Firma de confianza y la estructura del perfil de certificado.

El servicio admite la directiva de confianza pública, confianza privada, integridad de código (CI), enclave de seguridad basada en virtualización (VBS) y tipos de firma de prueba de confianza pública, por lo que resulta útil tener varias cuentas de Firma de confianza y perfiles de certificado. Para obtener más información sobre los tipos de perfil de certificado y cómo se usan, consulte Tipos de certificado de Firma de confianza y administración.

Nota:

Las validaciones de identidad y los perfiles de certificado se alinean con confianza pública o confianza privada. Una validación de identidad de confianza pública solo se usa para los perfiles de certificado que se usan para el modelo de confianza pública. Para obtener más información, consulte Modelos de confianza de firma de confianza.

Cuenta de firma de confianza

Una cuenta de Firma de confianza es un contenedor lógico de los recursos que se usan para completar la firma de certificados. Las cuentas de firma de confianza se pueden usar para definir límites de un proyecto u organización. Para la mayoría, una sola cuenta de firma de confianza puede satisfacer todas las necesidades de firma de una organización o individual. Es posible que quiera firmar muchos artefactos distribuidos por la misma identidad (por ejemplo, Contoso News, LLC), pero operativamente, puede haber límites que desee dibujar en términos de acceso a la firma. Puede optar por tener una cuenta de firma de confianza por producto o por equipo para aislar cómo se usa una cuenta o para realizar un seguimiento de la firma. Sin embargo, también puede lograr este patrón de aislamiento en el nivel de perfil de certificado.

Validaciones de identidad

Las validaciones de identidad tratan de establecer la identidad en los certificados que se usan para firmar. Hay dos tipos: confianza pública y confianza privada. Lo que define los dos tipos es el nivel de validación de identidad necesaria para completar la creación de un recurso de validación de identidad.

  • Confianza pública significa que todos los valores de identidad deben validarse de acuerdo con la Declaración de prácticas de certificación de terceros (CPS) de servicios PKI de Microsoft. Este requisito se alinea con las expectativas de los certificados de firma de código de confianza pública.

  • Confianza privada está pensado para situaciones en las que existe una confianza establecida en una identidad privada en uno o varios usuarios de confianza (consumidores de firmas) o internamente en escenarios de control de aplicaciones o línea de negocio (LOB). Con las validaciones de identidad de confianza privada, hay una comprobación mínima de los atributos de identidad (por ejemplo, el valorOrganization Unit). La comprobación está estrechamente asociada al inquilino de Azure del suscriptor (por ejemplo, Costoso.onmicrosoft.com). Los valores de los perfiles de certificado de confianza privada no se validan más allá de la información del inquilino de Azure.

Para obtener más información sobre la confianza pública y la confianza privada, consulte Modelos de confianza de Firma de confianza.

Perfiles de certificado

La Firma de confianza proporciona cinco tipos totales de perfil de certificado que todos los suscriptores pueden usar con los recursos de validación de identidad alineados y completados. Estos cinco perfiles de certificado están alineados con las validaciones de identidades de confianza pública o de confianza privada como se indica a continuación:

  • Confianza pública

    • Confianza pública: Se usa para firmar código y artefactos que se pueden distribuir públicamente. Este perfil de certificado es de confianza predeterminada en la plataforma Windows para la firma de código.

    • Enclave de VBS: se usa para firmar Enclaves de seguridad basados en virtualización en Windows.

    • Prueba de confianza pública: Se usa solo para la firma de prueba y no es de confianza pública de forma predeterminada. Considere los perfiles de certificado de prueba de confianza pública como una excelente opción para la firma de compilación de bucle interno.

      Nota:

      Todos los certificados del tipo de perfil de certificado de prueba de confianza pública incluyen la EKU de duración (1.3.6.1.4.1.311.10.3.13), que fuerza la validación a respetar la duración del certificado de firma independientemente de la presencia de una contrafirma de marca de tiempo válida.

  • Confianza privada

Roles admitidos

El control de acceso basado en rol (RBAC) es un concepto fundamental para todos los recursos de Azure. La Firma de confianza agrega dos roles personalizados para satisfacer las necesidades de suscriptor para crear una validación de identidad (el rol comprobador de identidad de Firma de confianza) y firmar con perfiles de certificado (el rol Firmante de perfil de certificado de Firma de confianza). Estos roles personalizados deben asignarse explícitamente para realizar esas dos funciones críticas en el uso de la firma de confianza. En la tabla siguiente se incluye una lista completa de roles que admite la Firma de confianza y sus funcionalidades, incluidos todos los roles estándar de Azure.

Role Administrar y ver la cuenta Administrar perfiles de certificado Firmar mediante un perfil de certificado Visualización del historial de firma Gestionar la asignación de roles Administración de la validación de identidades
Comprobador de identidad de firma de confianza1 X
Firmante de perfil de certificado de firma de confianza2 X X
Owner X X X
Colaborador X X
Lector X
Administrador de acceso de usuarios X

1 Necesario para crear o administrar la validación de identidades. Solo está disponible en Azure Portal.

2 Necesario para firmar correctamente mediante la Firma de confianza.

Contenido relacionado