Asigne una directiva de acceso de Key Vault (heredada)

Warning

Para mejorar la seguridad, use el modelo de permisos Role-Based Access Control (RBAC) en lugar de las directivas de acceso al administrar Azure Key Vault. RBAC restringe la administración de permisos solo a los roles "Propietario" y "Administrador de acceso de usuario", lo que garantiza una separación clara entre las tareas administrativas y de seguridad. Para obtener más información, vea ¿Qué es Azure RBAC? y la Guía de RBAC de Key Vault.

Con el modelo de permisos de directiva de acceso, los usuarios que tengan permisos de Contributor, Key Vault Contributor, o cualquier rol que incluya permisos de Microsoft.KeyVault/vaults/write pueden concederse acceso al plano de datos mediante la configuración de una directiva de acceso de Key Vault. Esto puede dar lugar a acceso y administración no autorizados de los almacenes de claves, las claves, los secretos y los certificados. Para reducir este riesgo, limite el acceso de rol colaborador a los almacenes de claves al usar el modelo de directiva de acceso.

Importante

Las directivas de acceso son un modelo de autorización heredado para Azure Key Vault. En el caso de las nuevas implementaciones, use Azure control de acceso basado en rol (RBAC) en su lugar. Consulte Proporcione acceso a las claves, los certificados y los secretos de Key Vault con el control de acceso basado en roles de Azure y Proteja su Azure Key Vault.

Una directiva de acceso Key Vault determina si una entidad de seguridad determinada, es decir, un usuario, una aplicación o un grupo de usuarios, puede realizar diferentes operaciones en Key Vault secrets, keys y certificates. Puede asignar directivas de acceso mediante el portal de Azure, el CLI de Azure o Azure PowerShell.

Key Vault admite hasta 1024 entradas de directiva de acceso, donde cada entrada concede un conjunto de permisos distinto a una entidad de servicio particular: Debido a esta limitación, se recomienda asignar directivas de acceso a grupos de usuarios, siempre que sea posible, en lugar de a usuarios individuales. El uso de grupos facilita la administración de permisos para varias personas de la organización. Para obtener más información, consulte Administrar acceso a recursos y aplicaciones mediante grupos de Microsoft Entra.

Asignación de directivas de acceso

En el portal Azure, vaya al recurso Key Vault.
Seleccione Directivas de acceso y, luego, Crear:
Seleccione los permisos que quiera en Permisos de las claves, Permisos de los secretos y Permisos de los certificados.
En el panel de selección Principal, escriba el nombre del usuario, la aplicación o entidad de servicio en el campo de búsqueda y seleccione el resultado adecuado.

Si usa una identidad administrada para la aplicación, busque y seleccione el nombre de la propia aplicación Para obtener más información sobre las entidades de seguridad, consulte Autenticación de Key Vault.
Revise los cambios de la directiva de acceso y seleccione Crear para guardar la directiva de acceso.
De nuevo en la página Directivas de acceso, compruebe que aparece la directiva de acceso.

Para obtener más información sobre cómo crear grupos en Microsoft Entra ID mediante el CLI de Azure, vea az ad group create y az ad group member add.

Para ejecutar CLI de Azure comandos localmente, instale el CLI de Azure.

Para ejecutar comandos directamente en la nube, use el Azure Cloud Shell.
Solo la CLI local: inicie sesión en Azure con az login:
```
az login
```
El comando az login abre una ventana del explorador que recopila sus credenciales, en caso de que sea necesario.

Obtención del identificador del objeto

Determine el identificador del objeto de la aplicación, el grupo o el usuario al que desea asignar la directiva de acceso:

Aplicaciones y otras entidades de servicio: use el comando az ad sp list para recuperar las entidades de servicio. Examine la salida del comando para determinar el identificador de objeto de la entidad de seguridad a la que desea asignar la directiva de acceso.
```
az ad sp list --show-mine
```
Grupos: use el comando az ad group list y filtre los resultados con el parámetro --display-name:
```
az ad group list --display-name <search-string>
```
Usuarios: use el comando az ad user show y pase la dirección de correo electrónico del usuario en el parámetro --id :
```
az ad user show --id <email-address-of-user>
```

Asignación de una directiva de acceso

Use el comando az keyvault set-policy para asignar los permisos que desee:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Reemplace <object-id> por el identificador de objeto de la entidad de seguridad.

Solo necesita incluir --secret-permissions, --key-permissions y --certificate-permissions al asignar permisos a esos tipos concretos. Los valores que se permiten para <secret-permissions>, <key-permissions>y <certificate-permissions> se especifican en la documentación de az keyvault set-policy.

Para obtener más información sobre cómo crear grupos en Microsoft Entra ID mediante Azure PowerShell, vea New-AzADGroup y Add-AzADGroupMember.

Para ejecutar comandos localmente, instale Azure PowerShell si aún no lo ha hecho.

Para ejecutar comandos directamente en la nube, use el Azure Cloud Shell.
Solo PowerShell local:
1. Instale el módulo Microsoft Entra ID PowerShell.
2. Inicie sesión en Azure:
```
Connect-AzAccount
```

Obtención del identificador del objeto

Determine el identificador del objeto de la aplicación, el grupo o el usuario al que desea asignar la directiva de acceso:

Aplicaciones y otras entidades de servicio: use el cmdlet Get-AzADServicePrincipal con el parámetro -SearchString para filtrar los resultados por el nombre de la entidad de servicio deseada:
```
Get-AzADServicePrincipal -SearchString "<search-string>"
```
Grupos: use el cmdlet Get-AzADGroup con el parámetro -SearchString para filtrar los resultados por el nombre del grupo deseado:
```
Get-AzADGroup -SearchString "<search-string>"
```
En la salida, el identificador de objeto aparece como Id.
Usuarios: use el cmdlet Get-AzADUser y pase la dirección de correo electrónico del usuario al parámetro -UserPrincipalName.
```
 Get-AzAdUser -UserPrincipalName <email-address-of-user>
```
En la salida, el identificador de objeto aparece como Id.

Asignación de una directiva de acceso

Use el cmdlet Set-AzKeyVaultAccessPolicy para asignar la directiva de acceso:

Set-AzKeyVaultAccessPolicy -VaultName "<vault-name>" -ObjectId "<object-id>" -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions>

Solo necesita incluir -PermissionsToSecrets, -PermissionsToKeys y -PermissionsToCertificates al asignar permisos a esos tipos concretos. Los valores permitidos para <secret-permissions>, <key-permissions> y <certificate-permissions> se proporcionan en la documentación de Set-AzKeyVaultAccessPolicy: Parámetros.

Pasos siguientes

Azure Key Vault seguridad
Azure Key Vault guía del desarrollador

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-12

Asigne una directiva de acceso de Key Vault (heredada)

Asignación de directivas de acceso

Pasos siguientes

Comentarios

Recursos adicionales