Uso de Access Control basados en roles para administrar Virtual Machines de Azure Stack HCI

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo usar el Access Control basado en rol (RBAC) para controlar el acceso a máquinas virtuales (VM) de Arc que se ejecutan en el clúster de Azure Stack HCI.

Puede usar los roles RBAC integrados para controlar el acceso a máquinas virtuales y recursos de máquina virtual, como discos virtuales, interfaces de red, imágenes de máquina virtual, redes lógicas y rutas de acceso de almacenamiento. Puede asignar estos roles a usuarios, grupos, entidades de servicio e identidades administradas.

Importante

Esta característica actualmente está en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Acerca de los roles RBAC integrados

Para controlar el acceso a máquinas virtuales y recursos de máquina virtual en Azure Stack HCI, puede usar los siguientes roles de RBAC:

• Administrador de Azure Stack HCI : este rol concede acceso total al clúster de Azure Stack HCI y a sus recursos. Un administrador de Azure Stack HCI puede registrar el clúster, así como asignar roles de colaborador de máquina virtual de Azure Stack HCI y lector de máquinas virtuales de Azure Stack HCI a otros usuarios. También pueden crear recursos compartidos de clúster, como redes lógicas, imágenes de máquina virtual y rutas de acceso de almacenamiento.
• Colaborador de máquina virtual de Azure Stack HCI : este rol concede permisos para realizar todas las acciones de máquina virtual, como iniciar, detener y reiniciar las máquinas virtuales. Un colaborador de máquina virtual de Azure Stack HCI puede crear y eliminar máquinas virtuales, así como los recursos y las extensiones asociadas a las máquinas virtuales. Un colaborador de máquina virtual de Azure Stack HCI no puede registrar el clúster ni asignar roles a otros usuarios, ni crear recursos compartidos de clúster, como redes lógicas, imágenes de máquina virtual y rutas de acceso de almacenamiento.
• Lector de máquina virtual de Azure Stack HCI : este rol concede permisos para ver solo las máquinas virtuales. Un lector de máquina virtual no puede realizar ninguna acción en las máquinas virtuales ni en los recursos y extensiones de la máquina virtual.

Esta es una tabla que describe las acciones de máquina virtual concedidas por cada rol para las máquinas virtuales y los distintos recursos de máquina virtual. Los recursos de máquina virtual se conocen como recursos necesarios para crear una máquina virtual e incluyen discos virtuales, interfaces de red, imágenes de máquina virtual, redes lógicas y rutas de acceso de almacenamiento:

Rol integrado	Máquinas virtuales	Recursos de máquina virtual
Administrador de Azure Stack HCI	Creación, lista y eliminación de máquinas virtuales Iniciar, detener y reiniciar máquinas virtuales	Creación, enumeración y eliminación de todos los recursos de máquina virtual, incluidas las redes lógicas, las imágenes de máquina virtual y las rutas de acceso de almacenamiento
Colaborador de máquina virtual de Azure Stack HCI	Creación, lista y eliminación de máquinas virtuales Iniciar, detener y reiniciar máquinas virtuales	Creación, enumeración, eliminación de todos los recursos de máquina virtual, excepto redes lógicas, imágenes de máquina virtual y rutas de acceso de almacenamiento
Lector de máquina virtual de Azure Stack HCI	Enumerar todas las máquinas virtuales	Enumeración de todos los recursos de máquina virtual

Requisitos previos

Asegúrese de que cumple los siguientes requisitos previos antes de empezar:

1. Asegúrese de que tiene acceso a un clúster de Azure Stack HCI que está implementado y registrado. Durante la implementación, también se crea un puente de recursos de Arc y una ubicación personalizada.

   Vaya al grupo de recursos en Azure. Puede ver la ubicación personalizada y El puente de recursos de Azure Arc creado para el clúster de Azure Stack HCI. Anote la suscripción, el grupo de recursos y la ubicación personalizada a medida que los use más adelante en este escenario.

2. Asegúrese de que tiene acceso a la suscripción de Azure como propietario o administrador de acceso de usuario para asignar roles a otros usuarios.

Asignación de roles de RBAC a los usuarios

Puede asignar roles RBAC al usuario a través de la Azure Portal. Siga estos pasos para asignar roles de RBAC a los usuarios:

1. En Azure Portal, busque el ámbito al que se va a conceder acceso, por ejemplo, busque suscripciones, grupos de recursos o un recurso específico. En este ejemplo, se usa la suscripción en la que se implementa el clúster de Azure Stack HCI.

2. Vaya a la suscripción y, a continuación, vaya a Asignaciones de roles de Control de acceso (IAM). > En la barra de comandos superior, seleccione + Agregar y, a continuación, seleccione Agregar asignación de roles.

   Si no tiene permisos para asignar roles, la opción Agregar asignación de roles está deshabilitada.

   

3. En la pestaña Rol , seleccione un rol RBAC para asignar y elija uno de los siguientes roles integrados:

   • Administrador de Azure Stack HCI
   • Colaborador de máquina virtual de Azure Stack HCI
   • Lector de máquina virtual de Azure Stack HCI

   

4. En la pestaña Miembros , seleccione usuario , grupo o entidad de servicio. Seleccione también un miembro para asignar el rol.

   

5. Revise el rol y asígnelo.

   

6. Compruebe la asignación de roles. Vaya a Control de acceso (IAM) > Compruebe el acceso > Ver mi acceso. Debería ver la asignación de roles.

   

Para más información sobre la asignación de roles, consulte Asignación de roles de Azure mediante el Azure Portal.

Pasos siguientes

• Cree una ruta de acceso de almacenamiento para la máquina virtual de Azure Stack HCI.