Enumeración de asignaciones de roles de Azure mediante Azure Portal
El control de acceso basado en rol (RBAC) de Azure es el sistema de autorización que puede utilizar para administrar el acceso a los recursos de Azure. Para determinar a qué recursos tienen acceso los usuarios, grupos, entidades de servicio o identidades administradas, se muestran sus asignaciones de roles. En este artículo se describe cómo enumerar las asignaciones de roles mediante Azure Portal.
Nota:
Si su organización ha externalizado las funciones de administración a un proveedor de servicios que usa Azure Lighthouse, las asignaciones de roles autorizadas por ese proveedor de servicios no se mostrarán aquí. Del mismo modo, los usuarios del inquilino del proveedor de servicios no verán asignaciones de roles para los usuarios en el inquilino de un cliente, independientemente del rol que se les haya asignado.
Lista de las asignaciones de rol de un usuario o grupo
Una forma rápida de ver los roles asignados a un usuario o grupo de una suscripción es usar el panel Asignaciones de roles de Azure.
En el menú de Azure Portal, seleccione Todos los servicios.
Seleccione Microsoft Entra ID y, después, usuarios o grupos.
Haga clic en el usuario o grupo del que desea enumerar las asignaciones de roles.
Haga clic en Asignaciones de roles de Azure.
Verá una lista de los roles asignados al usuario o grupo seleccionado en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.
Para cambiar la suscripción, haga clic en la lista Suscripciones.
Enumeración de los propietarios de una suscripción
Los usuarios que se han asignado al rol de propietario para una suscripción pueden administrar todo en esta. Siga estos pasos para mostrar los propietarios de una suscripción.
En Azure Portal, haga clic en Todos los servicios y luego en Suscripciones.
Haga clic en la suscripción de la que quiera mostrar los propietarios.
Haga clic en Control de acceso (IAM).
Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles para esta suscripción.
Desplácese hasta la sección Propietarios para ver todos los usuarios a los que se ha asignado el rol de propietario para esta suscripción.
Enumerar o administrar asignaciones de roles de administrador con privilegios
En la pestaña Asignaciones de roles, puede enumerar y ver el recuento de asignaciones de roles de administrador con privilegios en el ámbito actual. Para obtener más información, consulte Roles de administrador con privilegios.
En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.
Haga clic en el recurso específico.
Haga clic en Control de acceso (IAM).
Haga clic en la pestaña Asignaciones de roles y, a continuación, haga clic en la pestaña Privilegios para enumerar las asignaciones de roles de administrador con privilegios en este ámbito.
Para ver el recuento de asignaciones de roles de administrador con privilegios en este ámbito, consulte la tarjeta Con privilegios .
Para administrar las asignaciones de roles de administrador con privilegios, consulte la tarjeta Con privilegios y haga clic en Ver asignaciones.
En la página Administrar asignaciones de roles con privilegios, puede agregar una condición para restringir la asignación de roles con privilegios o quitar la asignación de roles. Para más información, consulte Delegación de la administración de asignaciones de roles de Azure a otros usuarios con condiciones.
Lista de las asignaciones de roles en un ámbito
En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.
Haga clic en el recurso específico.
Haga clic en Control de acceso (IAM).
Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.
En la pestaña Asignaciones de roles puede ver quién tiene acceso a este ámbito. Observe que el ámbito de algunos roles es este recurso, mientras que el de otros es (heredado) de otro ámbito. El acceso se asigna específicamente a este recurso o se hereda de una asignación en el ámbito principal.
Lista de las asignaciones de rol de un usuario en un ámbito
Para mostrar el acceso de un usuario, grupo, entidad de servicio o identidad administra, puede mostrar sus asignaciones de roles. Siga estos pasos para mostrar las asignaciones de roles de un solo usuario, grupo, entidad de servicio o identidad administrada en un ámbito determinado.
En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.
Haga clic en el recurso específico.
Haga clic en Control de acceso (IAM).
En la pestaña Comprobar acceso, haga clic en el botón Comprobación del acceso.
En el panel Comprobar acceso, haga clic en Usuario, grupo o entidad de servicio o Identidad administrada.
En el cuadro de búsqueda, escriba una cadena para buscar nombres para mostrar, direcciones de correo electrónico o identificadores de objeto en el directorio.
Haga clic en la entidad de seguridad para abrir el panel Asignaciones.
En este panel, puede ver el acceso para la entidad de seguridad seleccionada en este ámbito y heredada a este ámbito. No se muestran las asignaciones en ámbitos secundarios. Aparecerán las siguientes asignaciones:
- Asignaciones de roles agregadas con Azure RBAC.
- Asignaciones de denegación agregadas mediante Azure Blueprints o aplicaciones administradas de Azure.
- Asignaciones de coadministradores y administradores de servicios clásicos para implementaciones clásicas.
Lista de asignaciones de roles para una identidad administrada
Puede mostrar las asignaciones de roles para las identidades administradas asignadas por el usuario y por el sistema en un ámbito determinado mediante la hoja Control de acceso (IAM) como se describió anteriormente. En esta sección se describe cómo mostrar asignaciones de roles solo para la identidad administrada.
Identidad administrada asignada por el sistema
En Azure Portal, abra una identidad administrada asignada por el sistema.
En el menú izquierdo, haga clic en Identidad.
En Permisos, haga clic en Asignaciones de roles de Azure.
Verá una lista de los roles asignados a la identidad administrada asignada por el sistema seleccionada en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.
Para cambiar la suscripción, haga clic en la lista Suscripción.
Identidad administrada asignada por el usuario
En Azure Portal, abra una identidad administrada asignada por el usuario.
Haga clic en Asignaciones de roles de Azure.
Verá una lista de los roles asignados a la identidad administrada asignada por el usuario seleccionada en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.
Para cambiar la suscripción, haga clic en la lista Suscripción.
Enumeración del número de asignaciones de roles
Puede tener hasta 4000 asignaciones de roles en cada suscripción. Este límite incluye las asignaciones de roles en los ámbitos de suscripción, grupo de recursos y recurso. Para ayudarle a realizar un seguimiento de este límite, la pestaña Asignaciones de roles incluye un gráfico que muestra el número de asignaciones de roles de la suscripción actual.
Si está cerca del número máximo e intenta agregar más asignaciones de roles, verá una advertencia en el panel Agregar asignación de roles. Para conocer las formas en que puede reducir el número de asignaciones de roles, consulte Solución de problemas de límites de RBAC de Azure.
Descarga de asignaciones de rol
Puede descargar las asignaciones de roles en un ámbito en formato CSV o JSON. Esto puede ser útil si necesita inspeccionar la lista en una hoja de cálculo o realizar un inventario al efectuar una suscripción.
Al descargar asignaciones de roles, debe tener en cuenta los siguientes criterios:
- Si no tiene permisos para leer el directorio, como el rol de lectores de directorio, las columnas DisplayName, SignInName y ObjectType estarán en blanco.
- No se incluyen las asignaciones de roles cuya entidad de seguridad se haya eliminado.
- No se incluye el acceso concedido a los administradores clásicos.
Siga estos pasos para descargar asignaciones de roles en un ámbito.
En Azure Portal, haga clic en Todos los servicios y, a continuación, seleccione el ámbito del que quiere descargar las asignaciones de roles. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.
Haga clic en el recurso específico.
Haga clic en Control de acceso (IAM).
Haga clic en Descargar asignaciones de roles para abrir el panel Descargar asignaciones de roles.
Use las casillas para seleccionar las asignaciones de roles que quiere incluir en el archivo descargado.
- Heredadas: incluye asignaciones de roles heredadas para el ámbito actual.
- En el ámbito actual: incluye asignaciones de roles para el ámbito actual.
- Elementos secundarios: incluye asignaciones de roles en niveles inferiores al ámbito actual. Esta casilla está deshabilitada para el ámbito del grupo de administración.
Seleccione el formato de archivo, que puede ser con valores separados por comas (CSV) o notación de objetos JavaScript (JSON).
Especifique el nombre de archivo.
Haga clic en Iniciar para iniciar la descarga.
A continuación se muestran ejemplos de la salida para cada formato de archivo.