Asignación de roles de Azure mediante Azure Portal

El control de acceso basado en rol (RBAC) de Azure es el sistema de autorización que puede utilizar para administrar el acceso a los recursos de Azure. Para conceder acceso, debe asignar roles a usuarios, grupos, entidades de servicio o identidades administradas en un ámbito determinado. En este artículo se describe cómo asignar roles con Azure Portal.

Si necesita asignar roles de administrador en Azure Active Directory, consulte Asignación de roles de Azure AD a usuarios.

Requisitos previos

Para asignar roles de Azure, debe tener:

  • Permisos Microsoft.Authorization/roleAssignments/write, como Microsoft.Authorization/roleAssignments/write o Propietario

Paso 1: identificar el ámbito necesario

Al asignar roles, debe especificar un ámbito. El ámbito es el conjunto de recursos al que se aplica el acceso. En Azure, puede especificar un ámbito en cuatro niveles, del más amplio al más limitado: grupo de administración, suscripción, grupo de recursos y recurso. Para obtener más información, consulte Comprender el ámbito.

Diagram showing the scope levels for Azure RBAC.

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda de la parte superior, busque el ámbito al que quiere conceder acceso. Por ejemplo, busque Grupos de administración, Suscripciones, Grupos de recursos o un recurso específico.

  3. Haga clic en el recurso específico de ese ámbito.

    A continuación se muestra un grupo de recursos de ejemplo.

    Screenshot of resource group overview page.

Paso 2: Abrir la página Agregar asignación de roles

Control de acceso (IAM) es la página que se usa normalmente para asignar roles y conceder acceso a los recursos de Azure. También se conoce como administración de identidad y acceso (IAM) y aparece en varias ubicaciones de Azure Portal.

  1. Haga clic en Control de acceso (IAM).

    A continuación se muestra un ejemplo de la página Control de acceso (IAM) de un grupo de recursos.

    Screenshot of Access control (IAM) page for a resource group.

  2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

  3. Haga clic en AgregarAgregar asignación de roles.

    Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.

    Screenshot of Add > Add role assignment menu.

    Se abre la página Agregar asignación de roles.

Paso 3: seleccionar el rol apropiado

  1. En la pestaña Roles, seleccione el rol que quiera usar.

    Puede buscar un rol por nombre o por descripción. También puede filtrar los roles por tipo y categoría.

    Screenshot of Add role assignment page with Roles tab.

  2. En la columna Detalles haga clic en Ver para obtener más información sobre un rol.

    Screenshot of View role details pane with Permissions tab.

  3. Haga clic en Next.

Paso 4: elegir quién necesita acceso

  1. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio para asignar el rol seleccionado a uno o varios usuarios, grupos o entidades de servicio (aplicaciones) de Azure AD.

    Screenshot of Add role assignment page with Members tab.

  2. Haga clic en Seleccionar miembros.

  3. Busque y seleccione los usuarios, grupos o entidades de servicio.

    Puede escribir en el cuadro Seleccionar para buscar en el directorio por nombre para mostrar o dirección de correo electrónico.

    Screenshot of Select members pane.

  4. Haga clic en Seleccionar para agregar los usuarios, grupos o entidades de servicio a la lista Miembros.

  5. Para asignar el rol seleccionado a una o varias identidades administradas, seleccione Identidad administrada.

  6. Haga clic en Seleccionar miembros.

  7. En el panel Select managed identities (Selección de identidades administradas), seleccione si el tipo es una identidad administrada asignada por el usuario o una identidad administrada asignada por el sistema.

  8. Busque y seleccione las identidades administradas.

    Para las identidades administradas asignadas por el sistema, puede seleccionar identidades administradas por instancia de servicio de Azure.

    Screenshot of Select managed identities pane.

  9. Haga clic en Seleccionar para agregar las identidades administradas a la lista Miembros.

  10. En el cuadro de texto Descripción, escriba una descripción opcional para esta asignación de roles.

    Más adelante puede mostrar esta descripción en la lista de asignaciones de roles.

  11. Haga clic en Next.

Paso 5: (Opcional) Agregar condición (versión preliminar)

Si seleccionó un rol que admite condiciones, aparecerá una pestaña Condiciones (opcional) y tendrá la opción de agregar una condición a la asignación de roles. Una condición es una comprobación adicional que puede agregar opcionalmente a la asignación de roles para proporcionar un control de acceso más preciso.

Actualmente, se pueden agregar condiciones a asignaciones de roles integradas o personalizadas que tienen acciones de datos de Storage Blob. Entre estas se incluyen los siguientes roles integrados:

  1. Haga clic en Agregar condición si desea refinar aún más las asignaciones de roles en función de los atributos de Blob Storage. Para más información, consulte Adición o edición de condiciones de asignación de roles de Azure.

    Screenshot of Add role assignment page with Add condition tab.

  2. Haga clic en Next.

Paso 6: Asignar un rol

  1. En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.

    Screenshot of Assign a role page with Review + assign tab.

  2. Haga clic en Revisión y asignación para asignar el rol.

    Transcurridos unos instantes, se asigna el rol a la entidad de seguridad en el ámbito seleccionado.

    Screenshot of role assignment list after assigning role.

  3. Si no ve la descripción de la asignación de roles, haga clic en Editar columnas para agregar la columna Descripción.

Pasos siguientes