Incorporación o eliminación de asignaciones de roles de Azure mediante Azure PortalAdd or remove Azure role assignments using the Azure portal

El control de acceso basado en rol (RBAC) de Azure es el sistema de autorización que puede utilizar para administrar el acceso a los recursos de Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acceso, debe asignar roles a usuarios, grupos, entidades de servicio o identidades administradas en un ámbito determinado.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. En este artículo se describe cómo asignar roles con Azure Portal.El control de acceso basado en rol (RBAC) de Azure es el sistema de autorización que puede utilizar para administrar el acceso a los recursos de Azure.Azure role-based access control (RBAC) is the authorization system you use to manage access to Azure resources. Para conceder acceso, debe asignar roles a usuarios, grupos, entidades de servicio o identidades administradas en un ámbito determinado.To grant access, you assign roles to users, groups, service principals, or managed identities at a particular scope. This article describes how to assign roles using the Azure portal.

Si tiene que asignar roles de Administrador en Azure Active Directory, consulte Ver y asignar roles de administrador en Azure Active Directory.If you need to assign administrator roles in Azure Active Directory, see View and assign administrator roles in Azure Active Directory.

PrerrequisitosPrerequisites

Para agregar o quitar asignaciones de roles, debe tener:To add or remove role assignments, you must have:

Control de acceso (IAM)Access control (IAM)

Control de acceso (IAM) es la hoja que se usa para asignar roles y conceder acceso a los recursos de Azure.Access control (IAM) is the blade that you use to assign roles to grant access to Azure resources. También se conoce como administración de identidades y acceso y aparece en varias ubicaciones en Azure Portal.It's also known as identity and access management and appears in several locations in the Azure portal. A continuación se muestra un ejemplo de la hoja Control de acceso (IAM) de una suscripción.The following shows an example of the Access control (IAM) blade for a subscription.

Hoja Control de acceso (IAM) para una suscripción

Para ser más eficaz con la hoja Control de acceso (IAM), es útil si puede responder las siguientes tres preguntas cuando intente asignar un rol:To be the most effective with the Access control (IAM) blade, it helps if you can answer the following three questions when you are trying to assign a role:

  1. ¿Quién necesita acceso?Who needs access?

    Quién se refiere a un usuario, grupo, entidad de servicio o identidad administrada.Who refers to a user, group, service principal, or managed identity. Esto también se denomina una entidad de seguridad.This is also called a security principal.

  2. ¿Qué rol necesitan?What role do they need?

    Los permisos se agrupan en roles.Permissions are grouped together into roles. Puede seleccionarlos de una lista de varios roles integrados o utilizar sus propios roles personalizados.You can select from a list of several built-in roles or you can use your own custom roles.

  3. ¿Dónde necesitan acceso?Where do they need access?

    Dónde se refiere al conjunto de recursos al que se aplica el acceso.Where refers to the set of resources that the access applies to. Dónde puede ser un grupo de administración, una suscripción, un grupo de recursos o un único recurso, como una cuenta de almacenamiento.Where can be a management group, subscription, resource group, or a single resource such as a storage account. Esto se denomina el ámbito.This is called the scope.

Adición de una asignación de rolesAdd a role assignment

En RBAC de Azure, para conceder acceso a un recurso de Azure, se agrega una asignación de roles.In Azure RBAC, to grant access to an Azure resource, you add a role assignment. Siga estos pasos para asignar un rol.Follow these steps to assign a role.

  1. En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito al que quiere conceder acceso.In the Azure portal, click All services and then select the scope that you want to grant access to. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.For example, you can select Management groups, Subscriptions, Resource groups, or a resource.

  2. Haga clic en el recurso específico de ese ámbito.Click the specific resource for that scope.

  3. Haga clic en Control de acceso (IAM).Click Access control (IAM).

  4. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.Click the Role assignments tab to view the role assignments at this scope.

    Control de acceso (IAM) y la pestaña Asignaciones de roles

  5. Haga clic en Agregar > Agregar asignación de roles.Click Add > Add role assignment.

    Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menú Agregar

    Se abre el panel Agregar asignación de roles.The Add role assignment pane opens.

    Panel Agregar asignación de roles

  6. En la lista desplegable Rol, seleccione un rol como Colaborador de la máquina virtual.In the Role drop-down list, select a role such as Virtual Machine Contributor.

  7. En la lista Seleccionar, seleccione un usuario, grupo, entidad de servicio o identidad administrada.In the Select list, select a user, group, service principal, or managed identity. Si no ve la entidad de seguridad en la lista, puede escribir en el cuadro Seleccionar para buscar nombres para mostrar, direcciones de correo electrónico e identificadores de objeto en el directorio.If you don't see the security principal in the list, you can type in the Select box to search the directory for display names, email addresses, and object identifiers.

  8. Haga clic en Guardar para asignar el rol.Click Save to assign the role.

    Transcurridos unos instantes, se asigna el rol a la entidad de seguridad en el ámbito seleccionado.After a few moments, the security principal is assigned the role at the selected scope.

    Agregar asignación de roles guardado

Asignación de un usuario como administrador de una suscripciónAssign a user as an administrator of a subscription

Para que un usuario sea administrador de una suscripción de Azure, asígnele el rol Propietario en el ámbito de la suscripción.To make a user an administrator of an Azure subscription, assign them the Owner role at the subscription scope. El rol Propietario da al usuario acceso total a todos los recursos de la suscripción, incluido el derecho a conceder acceso a otros.The Owner role gives the user full access to all resources in the subscription, including the permission to grant access to others. Estos pasos son los mismos que para la asignación de cualquier otro rol.These steps are the same as any other role assignment.

  1. En Azure Portal, haga clic en Todos los servicios y luego en Suscripciones.In the Azure portal, click All services and then Subscriptions.

  2. Haga clic en la suscripción a la que quiere conceder acceso.Click the subscription where you want to grant access.

  3. Haga clic en Control de acceso (IAM).Click Access control (IAM).

  4. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles de esta suscripción.Click the Role assignments tab to view the role assignments for this subscription.

    Control de acceso (IAM) y la pestaña Asignaciones de roles

  5. Haga clic en Agregar > Agregar asignación de roles.Click Add > Add role assignment.

    Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.If you don't have permissions to assign roles, the Add role assignment option will be disabled.

    Menú Agregar

    Se abre el panel Agregar asignación de roles.The Add role assignment pane opens.

    Panel Agregar asignación de roles

  6. En la lista desplegable Rol, seleccione el rol Propietario.In the Role drop-down list, select the Owner role.

  7. En la lista Seleccionar, seleccione un usuario.In the Select list, select a user. Si no ve el usuario en la lista, puede escribir en el cuadro Seleccionar para buscar nombres para mostrar y direcciones de correo electrónico en el directorio.If you don't see the user in the list, you can type in the Select box to search the directory for display names and email addresses.

  8. Haga clic en Guardar para asignar el rol.Click Save to assign the role.

    Transcurridos unos instantes, al usuario se le asigna el rol Propietario en el ámbito de la suscripción.After a few moments, the user is assigned the Owner role at the subscription scope.

Eliminación de una asignación de rolRemove a role assignment

En RBAC de Azure, para quitar el acceso de un recurso de Azure, se quita una asignación de roles.In Azure RBAC, to remove access from an Azure resource, you remove a role assignment. Siga estos pasos para eliminar una asignación de roles.Follow these steps to remove a role assignment.

  1. Abra Control de acceso (IAM) en un ámbito como, por ejemplo, grupo de administración, suscripción, grupo de recursos o recurso, en donde quiere quitar el acceso.Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where you want to remove access.

  2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles para esta suscripción.Click the Role assignments tab to view all the role assignments for this subscription.

  3. En la lista de asignaciones de roles, agregue una marca de verificación a la entidad de seguridad con la asignación de roles que desee quitar.In the list of role assignments, add a checkmark next to the security principal with the role assignment you want to remove.

    Mensaje de eliminación de asignación de roles

  4. Haga clic en Quitar.Click Remove.

    Mensaje de eliminación de asignación de roles

  5. En el mensaje de eliminación de asignación de roles que aparece, haga clic en .In the remove role assignment message that appears, click Yes.

    Si ve un mensaje que indica que las asignaciones de roles heredadas no se pueden quitar, significa que intenta quitar una asignación de roles en un ámbito secundario.If you see a message that inherited role assignments cannot be removed, you are trying to remove a role assignment at a child scope. Debe abrir el control de acceso (IAM) en el ámbito en el que se asignó el rol e intentarlo de nuevo.You should open Access control (IAM) at the scope where the role was assigned and try again. Una forma rápida de abrir el control de acceso (IAM) en el ámbito correcto es examinar la columna Ámbito y hacer clic en el vínculo situado junto a (Heredado) .A quick way to open Access control (IAM) at the correct scope is to look at the Scope column and click the link next to (Inherited).

    Mensaje de eliminación de asignación de roles

Pasos siguientesNext steps