Enumeración de asignaciones de roles de Azure mediante Azure Portal

El control de acceso basado en rol (RBAC) de Azure es el sistema de autorización que puede utilizar para administrar el acceso a los recursos de Azure. Para determinar a qué recursos tienen acceso los usuarios, grupos, entidades de servicio o identidades administradas, se muestran sus asignaciones de roles. En este artículo se describe cómo enumerar las asignaciones de roles mediante Azure Portal.

Nota:

Si su organización ha externalizado las funciones de administración a un proveedor de servicios que usa Azure Lighthouse, las asignaciones de roles autorizadas por ese proveedor de servicios no se mostrarán aquí. Del mismo modo, los usuarios del inquilino del proveedor de servicios no verán asignaciones de roles para los usuarios en el inquilino de un cliente, independientemente del rol que se les haya asignado.

Lista de las asignaciones de rol de un usuario o grupo

Una forma rápida de ver los roles asignados a un usuario o grupo de una suscripción es usar el panel Asignaciones de roles de Azure.

  1. En el menú de Azure Portal, seleccione Todos los servicios.

  2. Seleccione Microsoft Entra ID y, después, usuarios o grupos.

  3. Haga clic en el usuario o grupo del que desea enumerar las asignaciones de roles.

  4. Haga clic en Asignaciones de roles de Azure.

    Verá una lista de los roles asignados al usuario o grupo seleccionado en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.

    Screenshot of role assignments for a user.

  5. Para cambiar la suscripción, haga clic en la lista Suscripciones.

Enumeración de los propietarios de una suscripción

Los usuarios que se han asignado al rol de propietario para una suscripción pueden administrar todo en esta. Siga estos pasos para mostrar los propietarios de una suscripción.

  1. En Azure Portal, haga clic en Todos los servicios y luego en Suscripciones.

  2. Haga clic en la suscripción de la que quiera mostrar los propietarios.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles para esta suscripción.

  5. Desplácese hasta la sección Propietarios para ver todos los usuarios a los que se ha asignado el rol de propietario para esta suscripción.

    Screenshot of subscription Access control and Role assignments tab.

Enumerar o administrar asignaciones de roles de administrador con privilegios

En la pestaña Asignaciones de roles, puede enumerar y ver el recuento de asignaciones de roles de administrador con privilegios en el ámbito actual. Para obtener más información, consulte Roles de administrador con privilegios.

  1. En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Asignaciones de roles y, a continuación, haga clic en la pestaña Privilegios para enumerar las asignaciones de roles de administrador con privilegios en este ámbito.

    Screenshot of Access control page, Role assignments tab, and Privileged tab showing privileged role assignments.

  5. Para ver el recuento de asignaciones de roles de administrador con privilegios en este ámbito, consulte la tarjeta Con privilegios .

  6. Para administrar las asignaciones de roles de administrador con privilegios, consulte la tarjeta Con privilegios y haga clic en Ver asignaciones.

    En la página Administrar asignaciones de roles con privilegios, puede agregar una condición para restringir la asignación de roles con privilegios o quitar la asignación de roles. Para más información, consulte Delegación de la administración de asignaciones de roles de Azure a otros usuarios con condiciones.

    Screenshot of Manage privileged role assignments page showing how to add conditions or remove role assignments.

Lista de las asignaciones de roles en un ámbito

  1. En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

    Screenshot of Access control and Role assignments tab.

    En la pestaña Asignaciones de roles puede ver quién tiene acceso a este ámbito. Observe que el ámbito de algunos roles es este recurso, mientras que el de otros es (heredado) de otro ámbito. El acceso se asigna específicamente a este recurso o se hereda de una asignación en el ámbito principal.

Lista de las asignaciones de rol de un usuario en un ámbito

Para mostrar el acceso de un usuario, grupo, entidad de servicio o identidad administra, puede mostrar sus asignaciones de roles. Siga estos pasos para mostrar las asignaciones de roles de un solo usuario, grupo, entidad de servicio o identidad administrada en un ámbito determinado.

  1. En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

    Screenshot of resource group access control and Check access tab.

  4. En la pestaña Comprobar acceso, haga clic en el botón Comprobación del acceso.

  5. En el panel Comprobar acceso, haga clic en Usuario, grupo o entidad de servicio o Identidad administrada.

  6. En el cuadro de búsqueda, escriba una cadena para buscar nombres para mostrar, direcciones de correo electrónico o identificadores de objeto en el directorio.

    Screenshot of Check access select list.

  7. Haga clic en la entidad de seguridad para abrir el panel Asignaciones.

    En este panel, puede ver el acceso para la entidad de seguridad seleccionada en este ámbito y heredada a este ámbito. No se muestran las asignaciones en ámbitos secundarios. Aparecerán las siguientes asignaciones:

    • Asignaciones de roles agregadas con Azure RBAC.
    • Asignaciones de denegación agregadas mediante Azure Blueprints o aplicaciones administradas de Azure.
    • Asignaciones de coadministradores y administradores de servicios clásicos para implementaciones clásicas.

    Screenshot of assignments pane.

Lista de asignaciones de roles para una identidad administrada

Puede mostrar las asignaciones de roles para las identidades administradas asignadas por el usuario y por el sistema en un ámbito determinado mediante la hoja Control de acceso (IAM) como se describió anteriormente. En esta sección se describe cómo mostrar asignaciones de roles solo para la identidad administrada.

Identidad administrada asignada por el sistema

  1. En Azure Portal, abra una identidad administrada asignada por el sistema.

  2. En el menú izquierdo, haga clic en Identidad.

    Screenshot of system-assigned managed identity.

  3. En Permisos, haga clic en Asignaciones de roles de Azure.

    Verá una lista de los roles asignados a la identidad administrada asignada por el sistema seleccionada en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.

    Screenshot of role assignments for a system-assigned managed identity.

  4. Para cambiar la suscripción, haga clic en la lista Suscripción.

Identidad administrada asignada por el usuario

  1. En Azure Portal, abra una identidad administrada asignada por el usuario.

  2. Haga clic en Asignaciones de roles de Azure.

    Verá una lista de los roles asignados a la identidad administrada asignada por el usuario seleccionada en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.

    Screenshot of role assignments for a user-assigned managed identity.

  3. Para cambiar la suscripción, haga clic en la lista Suscripción.

Enumeración del número de asignaciones de roles

Puede tener hasta 4000 asignaciones de roles en cada suscripción. Este límite incluye las asignaciones de roles en los ámbitos de suscripción, grupo de recursos y recurso. Para ayudarle a realizar un seguimiento de este límite, la pestaña Asignaciones de roles incluye un gráfico que muestra el número de asignaciones de roles de la suscripción actual.

Screenshot of Access control and number of role assignments chart.

Si está cerca del número máximo e intenta agregar más asignaciones de roles, verá una advertencia en el panel Agregar asignación de roles. Para conocer las formas en que puede reducir el número de asignaciones de roles, consulte Solución de problemas de límites de RBAC de Azure.

Screenshot of Access control and Add role assignment warning.

Descarga de asignaciones de rol

Puede descargar las asignaciones de roles en un ámbito en formato CSV o JSON. Esto puede ser útil si necesita inspeccionar la lista en una hoja de cálculo o realizar un inventario al efectuar una suscripción.

Al descargar asignaciones de roles, debe tener en cuenta los siguientes criterios:

  • Si no tiene permisos para leer el directorio, como el rol de lectores de directorio, las columnas DisplayName, SignInName y ObjectType estarán en blanco.
  • No se incluyen las asignaciones de roles cuya entidad de seguridad se haya eliminado.
  • No se incluye el acceso concedido a los administradores clásicos.

Siga estos pasos para descargar asignaciones de roles en un ámbito.

  1. En Azure Portal, haga clic en Todos los servicios y, a continuación, seleccione el ámbito del que quiere descargar las asignaciones de roles. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en Descargar asignaciones de roles para abrir el panel Descargar asignaciones de roles.

    Screenshot of Access control and Download role assignments.

  5. Use las casillas para seleccionar las asignaciones de roles que quiere incluir en el archivo descargado.

    • Heredadas: incluye asignaciones de roles heredadas para el ámbito actual.
    • En el ámbito actual: incluye asignaciones de roles para el ámbito actual.
    • Elementos secundarios: incluye asignaciones de roles en niveles inferiores al ámbito actual. Esta casilla está deshabilitada para el ámbito del grupo de administración.
  6. Seleccione el formato de archivo, que puede ser con valores separados por comas (CSV) o notación de objetos JavaScript (JSON).

  7. Especifique el nombre de archivo.

  8. Haga clic en Iniciar para iniciar la descarga.

    A continuación se muestran ejemplos de la salida para cada formato de archivo.

    Screenshot of download role assignments as CSV.

    Screenshot of the downloaded role assignments as in JSON format.

Pasos siguientes