Preparación de Key Vault API versión 2026-02-01 y posteriores: Azure RBAC como control de acceso predeterminado

La versión 2026-02-01 y las versiones posteriores de API de Azure Key Vault cambian el modelo de control de acceso predeterminado para los nuevos almacenes a Azure RBAC, de forma coherente con la experiencia de Azure Portal. Tanto Azure RBAC como las directivas de acceso siguen siendo totalmente compatibles. La versión de API 2026-02-01 está disponible en regiones de Azure públicas, Azure operada por 21Vianet y Azure Government.

Nuevo comportamiento de creación del almacén de claves: al crear un almacén con la versión de API 2026-02-01 o posterior, el modelo de control de acceso predeterminado es Azure RBAC (enableRbacAuthorization = true). Este valor predeterminado solo se aplica a las operaciones de creación . Para usar directivas de acceso para nuevos almacenes, en enableRbacAuthorization use false durante la creación.
Comportamiento de los almacenes de claves existentes: los almacenes existentes mantienen su modelo de control de acceso actual a menos que se cambie explícitamente enableRbacAuthorization. El uso de la versión 2026-02-01 de la API o posterior para actualizar una bóveda no cambia automáticamente el control de acceso. Los almacenes donde enableRbacAuthorization equivale a null (en versiones anteriores de la API) siguen usando políticas de acceso.

Importante

Todas las versiones de API del plano de control de Key Vault anteriores al 2026-02-01 se retirarán el 27 de febrero de 2027. Tus bóvedas de claves seguirán existiendo y solo serán accesibles con las versiones de la API del plano de control 2026-02-01 o posteriores. Las API del plano de datos no se ven afectadas.

Las versiones preliminares de la API (excepto 2026-04-01-preview) están en desuso con un período de aviso de 90 días. Azure Cloud Shell siempre usa la versión más reciente de la API. Si tiene scripts que se ejecutan en Cloud Shell, asegúrese de que son compatibles con la versión de API 2026-02-01 o posterior. Para obtener una lista de las versiones de API admitidas, consulte Versiones admitidas de la API del plano de control. Para obtener más información sobre el paquete del SDK, consulte Novedades de Azure Key Vault.

Le animamos a migrar almacenes de claves que usan actualmente directivas de acceso (heredadas) a Azure RBAC para mejorar la seguridad. Para obtener más información sobre por qué se recomienda Azure RBAC, consulte Azure control de acceso basado en rol (Azure RBAC) frente a directivas de acceso.

Lo que usted debe hacer

Si ya conoce el modelo de control de acceso del almacén, vaya a Cuáles son los pasos siguientes. De lo contrario, compruebe primero la configuración actual .

Importante

Para cambiar la enableRbacAuthorization propiedad de una bóveda clave, debes tener el Microsoft.KeyVault/vaults/write permiso (incluido en roles como Contribuyente y Propietario). El portal de Azure también requiere Microsoft.Authorization/roleAssignments/write (incluido en roles como Propietario y Administrador de Acceso al Usuario) asegurarse de que puedas asignar roles RBAC en Key Vault tras el cambio y evitar el bloqueo. Para obtener más información, consulte Habilitar permisos RBAC de Azure en Key Vault.

Comprobación de la configuración actual

Compruebe si la configuración de acceso del almacén está establecida en Azure RBAC o directivas de acceso. Compruebe esta configuración mediante los comandos CLI de Azure o PowerShell.

Después de comprobar la configuración:

Si los almacenes usan RBAC de Azure (enableRbacAuthorization = true), vaya a Almacenes con RBAC de Azure.
Si los almacenes utilizan directivas de acceso (heredadas) (enableRbacAuthorization = false o null), vaya a Almacenes con directivas de acceso.

Use el comando az keyvault show para recuperar los detalles del almacén:

az keyvault show --name <vault-name> --resource-group <resource-group>

Verifique la propiedad Habilitado para la autorización de RBAC (enableRbacAuthorization) para el almacén de claves.

Utilice el cmdlet Get-AzKeyVault para obtener los detalles del almacén:

Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

Verifique la propiedad Habilitado para la autorización de RBAC (enableRbacAuthorization) para el almacén de claves.

Verificar varios almacenes por grupo de recursos

CLI de Azure
PowerShell

Utiliza el comando az keyvault list para enumerar todas las bóvedas de un grupo de recursos y comprobar su estado de autorización de RBAC.

# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Cree la siguiente función en PowerShell:

function Get-KeyVaultsFromResourceGroup {
    # Get all key vaults in the specified resource group (basic information)
    $keyVaults = Get-AzKeyVault -ResourceGroupName $resourceGroupName

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Nombre el grupo de recursos para el que desea ejecutar su función:
```
$resourceGroupName = "<resource-group>"
```
Ejecute la función Get-KeyVaultsFromResourceGroup para ver qué almacenes del grupo de recursos del paso 2 tienen habilitadas directivas de acceso o RBAC de Azure.

Revisa varias bóvedas en tu suscripción

CLI de Azure
PowerShell

Utilice el comando az keyvault list para enumerar todas las bóvedas en su suscripción y comprobar su estado de autorización RBAC.

# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table

Cree la siguiente función en PowerShell:

function Get-KeyVaultsFromSubscription {
    # Get all key vaults in the subscription (basic information)
    $keyVaults = Get-AzKeyVault

    # Iterate through each key vault by name and fetch full properties
    foreach ($keyVault in $keyVaults) {
        $keyVaultName = $keyVault.VaultName
        $resourceGroupName = $keyVault.ResourceGroupName

        # Get the full key vault properties
        $keyVaultDetails = Get-AzKeyVault -ResourceGroupName $resourceGroupName -VaultName $keyVaultName

        # Access the 'EnableRbacAuthorization' property
        $enabledForRbac = $keyVaultDetails.EnableRbacAuthorization

        # Output key vault status based on the 'EnableRbacAuthorization' property
        if ($enabledForRbac -eq $true) {
            Write-Output "${keyVaultName}: RBAC is enabled"
        } else {
            Write-Output "${keyVaultName}: Access Policies are enabled (enableRbacAuthorization is false or null)"
        }
    }
}

Llame a la función Get-KeyVaultsFromSubscription para ver qué almacenes de la suscripción tienen habilitadas directivas de acceso o Azure RBAC. En función del número de almacenes de su suscripción, la función puede tardar más de 10 minutos en ejecutarse.

Determinación de los pasos siguientes

En función del modelo de control de acceso actual, siga las instrucciones adecuadas a continuación.

Almacenes con RBAC de Azure

Si los almacenes de claves ya usan Azure RBAC, no se necesitan cambios de control de acceso. Sin embargo, debes actualizar todos los SDKs de gestión del plano de control de Key Vault, ARM, Bicep, plantillas Terraform y llamadas a la API REST para usar la versión 2026-02-01 o posterior antes del 27 de febrero de 2027, cuando se retiren versiones anteriores de la API del plano de control.

Almacenes con directivas de acceso

Si los almacenes de claves usan directivas de acceso (heredadas) (enableRbacAuthorization = false o null), decida si desea migrar al acceso basado en rol (recomendado) o seguir usando directivas de acceso. Para obtener más información sobre los modelos de control de acceso, consulte Use Azure RBAC para administrar el acceso a Key Vault y Azure Key Vault procedimientos recomendados.

Elija la ruta de acceso:

Azure RBAC (recomendado): Migrate a Azure RBAC para mejorar la seguridad.
Directivas de acceso (heredadas): Continúe usando directivas de acceso estableciendo enableRbacAuthorization en false al crear nuevos almacenes.

Migración a Azure RBAC (recomendado)

Aproveche esto para reforzar la posición de seguridad mediante la migración de directivas de acceso de almacenes a RBAC de Azure. Para obtener instrucciones detalladas sobre la migración, consulte Migrar de la directiva de acceso de la bóveda a un modelo de permisos de control de acceso basado en roles de Azure.

Una vez realizada la migración, actualice todos los SDK de administración del plano de control de Key Vault, ARM, Bicep, plantillas de Terraform y llamadas a la API REST para usar la versión 2026-02-01 o posterior.

Continuar usando directivas de acceso

Las directivas de acceso siguen siendo un modelo de control de acceso totalmente compatible.

Almacenes existentes: Los almacenes que ya utilizan directivas de acceso continúan funcionando sin cambios. Solo tiene que asegurarse de que los SDK de administración del plano de control, ARM, Bicep, las plantillas de Terraform y las llamadas API REST usan la versión de API 2026-02-01 o posterior antes del 27 de febrero de 2027.
Nuevas bóvedas: al crear nuevas bóvedas con la versión de API 2026-02-01 o posterior, debe establecer enableRbacAuthorization explícitamente en false para usar directivas de acceso, como se describe a continuación.

Elija uno de los métodos siguientes en función de su escenario:

Utilización de ARM, Bicep, plantillas de Terraform
Usando comandos Crear Key Vault
Uso de comandos Create Resource

Uso de ARM, Bicep, plantillas de Terraform

Al crear nuevas bóvedas de claves usando la versión API 2026-02-01 o posterior, configúrase enableRbacAuthorization en false todas las plantillas ARM, Bicep, Terraform y llamadas a la API REST de Key Vault para usar políticas de acceso (legacy).

Uso de los comandos Create Key Vault

Al crear nuevos almacenes de claves mediante la versión de API 2026-02-01 o posterior, debe especificar la configuración de directivas de acceso para evitar que se utilice por defecto Azure RBAC.

Asegúrese de que tiene la versión más reciente de los módulos de CLI de Azure o PowerShell.

CLI de Azure
PowerShell

Actualice CLI de Azure a la versión más reciente. Para obtener más información, vea How to update the CLI de Azure.

Use el comando adecuado para crear un almacén de claves con directivas de acceso:

CLI de Azure
PowerShell

Use el comando az keyvault create y establezca --enable-rbac-authorization false:

az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false

Use el cmdlet New-AzKeyVault y establezca -DisableRbacAuthorization:

New-AzKeyVault -Name "testCreateTutorial" -ResourceGroupName "testResourceGroup" -Location "EastUS" -DisableRbacAuthorization

Uso de comandos Crear recurso

Al crear nuevos almacenes de claves mediante la versión de API 2026-02-01 o posterior, establezca enableRbacAuthorization en false para usar directivas de acceso (heredadas). Si no especifica esta propiedad, el valor predeterminado es true (Azure RBAC).

CLI de Azure
PowerShell

Use el comando az resource create y establezca "enableRbacAuthorization": false y --api-version "2026-02-01":

az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"

Use el cmdlet New-AzResource y establezca enableRbacAuthorization = $false y -ApiVersion "2026-02-01":

New-AzResource `
    -ResourceGroupName $resourceGroupName `
    -ResourceType "Microsoft.KeyVault/vaults" `
    -ResourceName $keyVaultName `
    -Location $location `
    -ApiVersion "2026-02-01" `
    -Properties @{
        sku = @{ family = "A"; name = "standard" }
        tenantId = $TenantId
        enableRbacAuthorization = $false
        accessPolicies = @()}

Pasos siguientes

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-16