Administración del acceso a Azure Load Testing
En este artículo, aprenderá a administrar el acceso (autorización) a un recurso de Azure Load Testing. El control de acceso basado en roles de Azure (Azure RBAC) se usa para administrar el acceso a los recursos de Azure, como la capacidad de crear nuevos recursos o usar los existentes. El acceso basado en rol se puede conceder a los usuarios mediante Azure Portal, las herramientas de la línea de comandos de Azure o las API de administración de Azure.
Requisitos previos
Para asignar roles de Azure, la cuenta de Azure debe tener:
- Permisos
Microsoft.Authorization/roleAssignments/write, como Administrador de acceso de usuarios o Propietario.
Para crear un nuevo recurso de prueba de carga, la cuenta de Azure debe tener:
- Permiso para crear recursos en el grupo de recursos para el recurso de prueba de carga, como el rol Colaborador o Propietario.
Roles en Azure Load Testing
En Azure Load Testing, el acceso se concede mediante la asignación del rol de Azure adecuado a los usuarios, grupos y aplicaciones en el ámbito del recurso de prueba de carga. A continuación se muestran los roles integrados admitidos por un recurso de prueba de carga:
| Role | Descripción |
|---|---|
| Lector de la prueba de carga | Acciones de solo lectura en el recurso Pruebas de carga. Los lectores pueden enumerar y ver las pruebas y las ejecuciones de pruebas en el recurso. Los lectores no pueden crear, actualizar ni ejecutar pruebas. |
| Colaborador de la prueba de carga | Ver, crear, editar o eliminar (si procede) pruebas y ejecuciones de pruebas en un recurso de pruebas de carga. |
| Propietario de la prueba de carga | Acceso total al recurso de Load Testing, incluida la posibilidad de ver, crear, editar o eliminar (si procede) los activos de un recurso. Por ejemplo, puede modificar o eliminar el recurso de Load Testing. |
Si tiene el rol Propietario, Colaborador o Propietario de prueba de carga en el nivel de suscripción, tendrá automáticamente los mismos permisos que el Propietario de prueba de carga en el nivel de recurso.
Importante
El acceso de los roles puede tener un ámbito de varios niveles en Azure. Por ejemplo, alguien con acceso de propietario a un recurso podría no tener acceso de propietario al grupo de recursos que contiene el recurso. Para obtener más información, consulte Cómo funciona Azure RBAC.
Permisos de los roles
Las tablas siguientes describen los permisos específicos concedidos a cada rol. Estos permisos pueden incluir Acciones, que conceden permisos, y No acciones, que los restringen.
Propietario de la prueba de carga
Un propietario de prueba de carga puede administrar todo, incluido el acceso. La siguiente tabla muestra los permisos concedidos para el rol:
| Acciones | Descripción |
|---|---|
| Microsoft.Resources/deployments/* | Crear y administrar implementaciones de grupos de recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtiene o enumera los grupos de recursos. |
| Microsoft.Insights/alertRules/* | Crear y administrar reglas de alertas. |
| Microsoft.Authorization/*/read | Autorización de lectura. |
| Microsoft.LoadTestService/* | Cree y administre recursos de prueba de carga. |
| DataActions | Descripción |
|---|---|
| Microsoft.LoadTestService/loadtests/* | Inicie, detenga y administre pruebas de carga. |
Colaborador de la prueba de carga
Un colaborador de prueba de carga puede administrarlo todo excepto el acceso. La siguiente tabla muestra los permisos concedidos para el rol:
| Acciones | Descripción |
|---|---|
| Microsoft.Resources/deployments/* | Crear y administrar implementaciones de grupos de recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtiene o enumera los grupos de recursos. |
| Microsoft.Insights/alertRules/* | Crear y administrar reglas de alertas. |
| Microsoft.Authorization/*/read | Autorización de lectura. |
| Microsoft.LoadTestService/*/read | Cree y administre recursos de prueba de carga. |
| DataActions | Descripción |
|---|---|
| Microsoft.LoadTestService/loadtests/* | Inicie, detenga y administre pruebas de carga. |
Lector de la prueba de carga
Un lector de pruebas de carga puede ver todos los recursos de un recurso de prueba de carga, pero no puede realizar ningún cambio. La siguiente tabla muestra los permisos concedidos para el rol:
| Acciones | Descripción |
|---|---|
| Microsoft.Resources/deployments/* | Crear y administrar implementaciones de grupos de recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtiene o enumera los grupos de recursos. |
| Microsoft.Insights/alertRules/* | Crear y administrar reglas de alertas. |
| Microsoft.Authorization/*/read | Autorización de lectura. |
| Microsoft.LoadTestService/*/read | Cree y administre recursos de prueba de carga. |
| DataActions | Descripción |
|---|---|
| Microsoft.LoadTestService/loadtests/readTest/action | Lee las pruebas de carga. |
Configuración de RBAC de Azure para el recurso de prueba de carga
En la sección siguiente se muestra cómo configurar RBAC de Azure en el recurso de prueba de carga mediante Azure Portal y PowerShell.
Configuración de RBAC de Azure mediante Azure Portal
Inicie sesión en el Azure Portal y abra el recurso de prueba de carga desde la página de Azure Load Testing.
Seleccione Control de acceso (IAM) y seleccione un rol en la lista de roles disponibles. Puede elegir cualquiera de los roles integrados disponibles que un recurso de Azure Load Testing admita o cualquier rol personalizado que haya definido. Asigne el rol a un usuario al que desea conceder permisos.
Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.
Eliminación de asignaciones de roles de un usuario
Puede quitar el permiso de acceso de un usuario que no administre el recurso de Azure Load Testing o que haya dejado de trabajar en la organización. En los pasos siguientes se muestra cómo quitar las asignaciones de roles de un usuario. Para los pasos detallados, consulte Eliminación de asignaciones de roles de Azure:
Abra Control de acceso (IAM) en un ámbito como, por ejemplo, grupo de administración, suscripción, grupo de recursos o recurso, en donde quiere quitar el acceso.
Seleccione la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.
En la lista de asignaciones de roles, agregue una marca de verificación junto al usuario con la asignación de roles que quiera eliminar.
Seleccione Eliminar y Sí para confirmar.
Configuración de RBAC de Azure mediante PowerShell
El acceso basado en rol también se puede configurar en un recurso de prueba de carga mediante los siguientes cmdlets de Azure PowerShell:
Get-AzRoleDefinition enumera todos los roles de Azure disponibles en Microsoft Entra ID. Puede usar este cmdlet con el parámetro Name para mostrar todas las acciones que puede realizar un rol específico.
Get-AzRoleDefinition -Name 'Load Test Contributor'El fragmento de código siguiente es la salida del ejemplo:
Name : Load Test Contributor Id : 00000000-0000-0000-0000-000000000000 IsCustom : False Description : View, create, update, delete and execute load tests. View and list load test resources but can not make any changes. Actions : {Microsoft.LoadTestService/*/read, Microsoft.Authorization/*/read, Microsoft.Resources/deployments/*, Microsoft.Resources/subscriptions/resourceGroups/read…} NotActions : {} DataActions : {Microsoft.LoadTestService/loadtests/*} NotDataActions : {} AssignableScopes : {/}Get-AzRoleAssignment enumera las asignaciones de roles de Azure en el ámbito especificado. Sin parámetros, este cmdlet devuelve todas las asignaciones de roles realizadas en la suscripción. Use el parámetro
ExpandPrincipalGroupspara enumerar las asignaciones de acceso para el usuario especificado, así como los grupos a los que pertenece.Ejemplo: use el siguiente cmdlet para enumerar todos los usuarios y sus roles en un recurso de prueba de carga.
Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Test Name>'Use New-AzRoleAssignment para asignar acceso a usuarios, grupos y aplicaciones en un ámbito determinado.
Ejemplo: use el siguiente comando para asignar el rol "Lector de pruebas de carga" para un usuario en el ámbito del recurso de prueba de carga.
New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'Use Remove-AzRoleAssignment para quitar el acceso a un usuario, grupo o aplicación concretos de un ámbito determinado.
Ejemplo: use el siguiente comando para quitar al usuario del rol Lector de pruebas de carga en el ámbito del recurso de prueba de carga.
Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Load Test Reader' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.LoadTestService/loadtests/<Load Testing resource name>'
Solución de problemas
En esta sección se enumeran los pasos para solucionar problemas comunes con el acceso de usuarios en Azure Load Testing.
No se puede crear o ejecutar una prueba con You are not authorized to use this resource
Este mensaje aparece si la cuenta de Azure no tiene los permisos necesarios para administrar las pruebas. Asegúrese de conceder al usuario el rol Propietario de pruebas de carga o Colaborador de pruebas de carga en el recurso de prueba de carga.
Contenido relacionado
- Obtenga más información sobre el uso de las identidades administradas.
- Obtenga más información sobre la identificación de cuellos de botella de rendimiento (tutorial).
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de