Incorporación o edición de condiciones de asignación de roles de Azure mediante Azure Portal

Una condición de asignación de roles de Azure es una comprobación opcional que puede agregar a la asignación de roles para proporcionar un control de acceso más específico. Por ejemplo, puede agregar una condición que requiera que un objeto tenga una etiqueta específica para leer el objeto. En este artículo se describe cómo agregar, editar, ver o eliminar condiciones para las asignaciones de roles mediante Azure Portal.

Requisitos previos

Para obtener información sobre los requisitos previos para agregar o editar condiciones de asignación de roles, consulte Requisitos previos de las condiciones.

Paso 1: Determinar la condición que necesita

Para obtener algunas ideas sobre las condiciones que podrían resultarle útiles, revise los ejemplos de Condiciones de asignación de roles de Azure de ejemplo para Blob Storage.

Actualmente, se pueden agregar condiciones a asignaciones de roles integradas o personalizadas que tengan acciones de datos de Blob Storage o acciones de datos de Queue Storage. Entre estas se incluyen los siguientes roles integrados:

• Colaborador de datos de blobs de almacenamiento
• Propietario de datos de blobs de almacenamiento
• Lector de datos de blobs de almacenamiento
• Colaborador de datos de la cola de Storage
• Procesador de mensajes de datos de la cola de Storage
• Emisor de mensajes de datos de la cola de Storage
• Lector de datos de la cola de Storage

Paso 2: Decidir cómo agregar una condición

Puede agregar una condición de dos maneras. Puede agregar una condición cuando agregue una nueva asignación de roles, o puede agregar una condición a una asignación de roles existente.

Nueva asignación de rol

1. Siga los pasos de Asignación de roles de Azure mediante Azure Portal.

2. En la pestaña Condiciones (opcional) , haga clic en Agregar condición.

   Si no aparece la pestaña Condición (opcional), asegúrese de haber seleccionado un rol que admita condiciones.

   

   Aparece la página de condiciones de Agregar asignación de roles.

Asignación de roles existente

1. En Azure Portal, abra Control de acceso (IAM) en el ámbito en el que quiere agregar una condición. Por ejemplo, puede abrir una suscripción, un grupo de recursos o un recurso.

   Actualmente, no puede usar Azure Portal para agregar, ver, editar o eliminar una condición en un ámbito de grupo de administración.

2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

3. Busque una asignación de roles que tenga acciones de datos de almacenamiento a las que quiera agregar una condición.

4. En la columna Condición, haga clic en Agregar.

   Si no ve el vínculo Agregar, asegúrese de estar viendo el mismo ámbito de la asignación de roles.

   

   Aparece la página de condiciones de Agregar asignación de roles.

Paso 3: Revisar los aspectos básicos

Una vez abierta la página para agregar una condición de asignación de roles, puede revisar los aspectos básicos de la condición. Rol indica el rol al que se agregará la condición.

1. En la opción Editor type (tipo de editor), deje seleccionada la opción predeterminada Visual.

   Una vez que haya agregado una condición, podrá alternar entre Visual y Código.

2. (Opcional) Si aparece el cuadro Descripción, escriba una descripción.

   En función de cómo haya elegido agregar la condición, es posible que no se muestre el cuadro Descripción. Una descripción puede ayudarle a comprender y recordar el propósito de la condición.

   

Paso 4: Agregar acciones

1. En la sección Agregar acción, haga clic en Agregar acción.

   Se muestra el panel Selección de una acción. Este panel es una lista filtrada de acciones de datos basada en la asignación de roles que será el destino de la condición. Para más información, consulte Formato y sintaxis de la condición de asignación de roles de Azure.

   

2. Seleccione las acciones que quiera permitir si se cumple la condición pertinente.

   Si selecciona varias acciones para una sola condición, puede que haya menos atributos para elegir para la condición, ya que los atributos deben estar disponibles en las acciones seleccionadas.

3. Haga clic en Seleccionar.

   Las acciones seleccionadas aparecen en la lista de acciones.

Paso 5: Generar expresiones

1. En la sección Build expression (generación de expresión), haga clic en Agregar expresión.

   Se expandirá la sección Expresiones.

2. En la lista Origen del atributo, seleccione dónde se puede encontrar el atributo.

   • Entorno indica que el atributo está asociado al entorno de red a través del cual se accede al recurso, como un vínculo privado, o la fecha y hora actuales.
   • Recurso indica que el atributo está en el recurso, como el nombre del contenedor.
   • Solicitud indica que el atributo forma parte de la solicitud de acción, como establecer la etiqueta de índice de blobs.
   • Entidad de seguridad indica que el atributo es una entidad de seguridad personalizada de Microsoft Entra, como un usuario, una aplicación empresarial (entidad de servicio) o una identidad administrada.

3. En la lista Atributo, seleccione un atributo para el lado izquierdo de la expresión.

   Para obtener más información sobre los orígenes de atributos admitidos y los atributos individuales, vea Atributos.

   Dependiendo del atributo seleccionado, es posible que se agreguen cuadros para especificar detalles u operadores de atributos adicionales. Por ejemplo, algunos atributos admiten el operador de función Exists, que puede usar para probar si el atributo está asociado actualmente al recurso, como un ámbito de cifrado.

4. En la lista Operador, seleccione un operador.

   Para más información, consulte Formato y sintaxis de la condición de asignación de roles de Azure.

5. En el cuadro Valor, escriba un valor para el lado derecho de la expresión.

   

6. Agregue más expresiones según sea necesario.

   Si agrega tres o más expresiones, es posible que tenga que agruparlas entre paréntesis para que los operadores lógicos de conexión se evalúen correctamente. Agregue marcas de verificación junto a las expresiones que quiera agrupar y, a continuación, haga clic en Agrupar. Para quitar la agrupación, seleccione Desagrupar.

   

Paso 6: Revisar y agregar una condición

1. Desplácese hacia arriba hasta Editor type (tipo de editor) y haga clic en Código.

   La condición se muestra en forma de código. En este editor de código se pueden realizar cambios en la condición. El editor de código puede ser útil para pegar código de ejemplo o para agregar más operadores o lógica para crear condiciones más complejas. Para volver al editor de objetos visuales, haga clic en Objeto visual.

   

2. Haga clic en Guardar para agregar la condición a la asignación de roles.

Visualización, edición o eliminación de una condición

1. En Azure Portal, abra Control de acceso (IAM) para la asignación de roles que tiene una condición que quiera ver, editar o eliminar.

2. Haga clic en la pestaña Asignaciones de roles y busque la asignación de roles.

3. En la columna Condición, haga clic en Ver/Editar.

   Si no ve el vínculo Ver/Editar, asegúrese de estar viendo el mismo ámbito de la asignación de roles.

   

   Aparece la página de condiciones de Agregar asignación de roles.

4. Use el editor para ver o editar la condición.

   

5. Cuando termine, haga clic en Guardar. Para eliminar toda la condición, haga clic en Eliminar condición. Al eliminar la condición no se quita la asignación de roles.

Pasos siguientes

• Ejemplo de condiciones de asignación de roles de Azure para Blob Storage
• Tutorial: Adición de una condición de asignación de roles para restringir el acceso a blobs mediante Azure Portal
• Solución de problemas de las condiciones de asignación de roles de Azure