Recursos, roles y control de acceso en Application Insights
Puede controlar quién tiene acceso de lectura y actualización a los datos en Application Insights mediante el uso del control de acceso basado en roles (RBAC de Azure).
Importante
Asigne acceso a los usuarios en el grupo de recursos o la suscripción a los que pertenece el recurso de aplicación, no en el propio recurso. Asigne el rol de colaborador de componentes de Application Insights. Este rol garantiza el control de acceso uniforme a las alertas y las pruebas web junto con su recurso de aplicación. Más información.
Nota
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Recursos, grupos y suscripciones
En primer lugar, vamos a definir algunos términos:
Recurso: instancia de un servicio de Azure. El recurso de Application Insights recopila, analiza y muestra los datos de telemetría enviados desde su aplicación. Otros tipos de recursos de Azure son aplicaciones web, bases de datos y máquinas virtuales.
Para ver todos los recursos, abra Azure Portal, inicie sesión y haga clic en Todos los recursos. Para buscar un recurso, escriba parte del nombre en el campo de filtro.
- Grupo de recursos: cada recurso pertenece a un solo grupo. Un grupo es una forma cómoda de administrar los recursos relacionados, especialmente de cara al control de acceso. Por ejemplo, en un grupo de recursos podría colocar una aplicación web, un recurso de Application Insights para supervisar la aplicación y un recurso de Azure Storage para mantener los datos exportados.
- Suscripción: para usar Application Insights u otros recursos de Azure, inicie sesión en una suscripción de Azure. Cada grupo de recursos pertenece a una suscripción de Azure, donde se elige el paquete de precios. Si se trata de la suscripción de una organización, el propietario puede elegir los miembros y sus permisos de acceso.
- Cuenta Microsoft: el nombre de usuario y la contraseña que usa para iniciar sesión en suscripciones de Azure, XBox Live, Outlook.com y otros servicios de Microsoft.
Control de acceso para el grupo de recursos
Además del recurso que ha creado para su aplicación, también hay recursos ocultos independientes para las alertas y las pruebas web. Estos están conectados al mismo grupo de recursos que el recurso de Application Insights. También podría haber colocado ahí otros servicios de Azure, como sitios web o almacenamiento.
Acceso para otro usuario
Debe tener derechos de propietario a la suscripción o al grupo de recursos.
El usuario debe tener una cuenta Microsoft o acceder a su cuenta Microsoft de la organización. Puede proporcionar acceso individual y también a grupos de usuarios definidos en Microsoft Entra ID.
Vaya al grupo de recursos o directamente al propio recurso.
Asigne el rol Colaborador a RBAC de Azure.
Para obtener los pasos detallados, consulte Asignación de roles de Azure mediante Azure Portal.
Seleccione un rol.
Cuando corresponda, el vínculo se conecta a la documentación de referencia oficial asociada.
| Role | En el grupo de recursos: |
|---|---|
| Propietario | Puede cambiar cualquier cosa, incluido el acceso de usuario. |
| Colaborador | Puede editar cualquier cosa, incluidos todos los recursos. |
| Colaborador de componentes de Application Insights | Puede editar recursos de Application Insights. |
| Lector | Puede ver, pero no puede cambiar nada. |
| Depurador de instantáneas de Application Insights | Concede permiso al usuario para usar las características de Application Insights Snapshot Debugger. Este rol no se incluye en los roles de Propietario ni de Colaborador. |
| Colaborador para la administración de versiones de implementación de servicios de Azure | Rol de colaborador para servicios que se implementan a través de implementación de servicios de Azure. |
| Purgador de datos | Rol especial para purgar datos personales. Para obtener más información, consulte Administración de datos personales en Log Analytics y Application Insights. |
| Administrador de ExpressRoute | Puede crear, eliminar y administrar rutas rápidas. |
| Colaborador de Log Analytics | Un colaborador de Log Analytics puede leer todos los datos de supervisión y editar la configuración de supervisión. La edición de la configuración de supervisión incluye la posibilidad de añadir la extensión de máquina virtual a las máquinas virtuales, leer las claves de las cuentas de almacenamiento para poder configurar la recopilación de registros de Azure Storage, crear y configurar cuentas de Automation, añadir soluciones y configurar Azure Diagnostics en todos los recursos de Azure. Si tiene problemas para configurar los diagnósticos de Azure, consulte Diagnósticos de Azure. |
| Lector de Log Analytics | Un lector de Log Analytics puede ver y buscar todos los datos de supervisión, así como consultar la configuración de supervisión, incluida la de Azure Diagnostics en todos los recursos de Azure. Si tiene problemas para configurar los diagnósticos de Azure, consulte Diagnósticos de Azure. |
| masterreader | Permite a un usuario ver todo el contenido, pero no realizar cambios. |
| Colaborador de supervisión | Puede leer todos los datos de supervisión y actualizar la configuración de esta. |
| Supervisión del publicador de métricas | Permite publicar las métricas de los recursos de Azure. |
| Lector de supervisión | Puede leer todos los datos de supervisión. |
| Colaborador de la directiva de recursos (versión preliminar) | Los usuarios repuestos de Contratos Enterprise, con derechos para crear o modificar la directiva de recursos, crean incidencias de soporte técnico y leen los recursos o la jerarquía. |
| Administrador de acceso de usuario | Permite a un usuario administrar el acceso de otros usuarios a los recursos de Azure. |
| Colaborador de sitio web | Permite administrar los sitios web (no planes web), pero no acceder a ellos. |
La edición incluye la creación, la eliminación y la actualización:
- Recursos
- Pruebas web
- Alertas
- Exportación continua
Seleccione el usuario.
Si el usuario de su elección no está en el directorio, puede invitar a cualquier persona con una cuenta Microsoft. Si se usan servicios como Outlook.com, OneDrive, Windows Phone o XBox Live, se tiene una cuenta Microsoft.
Contenido relacionado
Vea el artículo Control de acceso basado en rol de Azure (RBAC de Azure).
Consulta de PowerShell para determinar la pertenencia a roles
Como algunos roles pueden vincularse a notificaciones y alertas de correo electrónico, puede resultar útil poder generar una lista de los usuarios que pertenecen a un determinado rol. Para ayudar con la generación de estos tipos de listas, las siguientes consultas de ejemplo pueden adaptarse a sus necesidades específicas.
Suscripción completa a consultas para roles de administradores y roles de colaborador
(Get-AzRoleAssignment -IncludeClassicAdministrators | Where-Object {$_.RoleDefinitionName -in @('ServiceAdministrator', 'CoAdministrator', 'Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Consulta en el contexto de un recurso específico de Application Insights para propietarios y colaboradores
$resourceGroup = "RGNAME"
$resourceName = "AppInsightsName"
$resourceType = "microsoft.insights/components"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup -ResourceType $resourceType -ResourceName $resourceName | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "
Consulta en el contexto de un grupo de recursos específico para propietarios y colaboradores
$resourceGroup = "RGNAME"
(Get-AzRoleAssignment -ResourceGroup $resourceGroup | Where-Object {$_.RoleDefinitionName -in @('Owner', 'Contributor') } | Select -ExpandProperty SignInName | Sort-Object -Unique) -Join ", "