Editar

Asignación de un usuario como administrador de una suscripción de Azure con condiciones

  • Instrucciones

Para que un usuario sea un administrador de una suscripción de Azure, asígneles el rolPropietario en el ámbito de la suscripción. El rol Propietario da al usuario acceso total a todos los recursos de la suscripción, incluido el derecho a conceder acceso a otros. Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles. Por ejemplo, puede permitir que un usuario solo asigne el rol Colaborador de máquina virtual a las entidades de servicio.

En este artículo se describe cómo asignar un usuario como administrador de una suscripción de Azure con condiciones. Estos pasos son los mismos que para la asignación de cualquier otro rol.

Requisitos previos

Para asignar roles de Azure, es necesario tener:

Paso 1: Abrir la suscripción

Siga estos pasos:

  1. Inicie sesión en Azure Portal.

  2. Busque las suscripciones en el cuadro de búsqueda.

  3. Haga clic en la suscripción que desee usar.

    A continuación se muestra una suscripción de ejemplo.

    Captura de pantalla de información general de Suscripciones

Paso 2: Abrir la página Agregar asignación de roles

Control de acceso (IAM) es la página que se usa normalmente para asignar roles y conceder acceso a los recursos de Azure. También se conoce como administración de identidad y acceso (IAM) y aparece en varias ubicaciones de Azure Portal.

  1. Haga clic en Control de acceso (IAM).

    A continuación se muestra un ejemplo de la página Control de acceso (IAM) de una suscripción.

    Captura de pantalla de la página Control de acceso (IAM) para una suscripción.

  2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

  3. Haga clic en Agregar>Agregar asignación de roles.

    Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.

    Captura de pantalla del menú Agregar > Agregar asignación de roles.

    Se abre la página Agregar asignación de roles.

Paso 3: Seleccionar el rol Propietario

El rol Propietario permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. Debe tener un máximo de 3 propietarios de suscripción para reducir el riesgo de vulneración por parte de un propietario en peligro.

  1. En la pestaña Rol, seleccione la pestaña Roles de administrador con privilegios.

    Captura de pantalla de la página Agregar asignación de roles con la pestaña Roles de administrador con privilegios seleccionada.

  2. Seleccione el rol Propietario.

  3. Haga clic en Next.

Paso 4: Seleccionar quién necesita acceso

Siga estos pasos:

  1. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio.

    Captura de pantalla de la página Agregar asignación de roles con la pestaña Agregar miembros.

  2. Haga clic en Seleccionar miembros.

  3. Busque y seleccione el usuario.

    Puede escribir en el cuadro Seleccionar para buscar en el directorio por nombre para mostrar o dirección de correo electrónico.

    Captura de pantalla del panel Seleccionar miembros.

  4. Haga clic en Guardar para agregar el usuario a la lista Miembros.

  5. En el cuadro de texto Descripción, escriba una descripción opcional para esta asignación de roles.

    Más adelante puede mostrar esta descripción en la lista de asignaciones de roles.

  6. Haga clic en Next.

Paso 5: Agregar una condición

Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles.

  1. En la pestaña Condiciones de Qué puede hacer el usuario, seleccione la opción Permitir al usuario asignar solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).

    Captura de pantalla de Agregar asignación de roles con la opción restringida seleccionada.

  2. Seleccione Seleccionar roles y entidades de seguridad.

    Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

    Captura de pantalla de Agregar condición de asignación de roles con una lista de plantillas de condición.

  3. Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

    Plantilla de condición Seleccione esta plantilla para
    Restringir roles Permitir que el usuario solo asigne roles que seleccione
    Restricción de roles y tipos de entidad de seguridad Permitir que el usuario solo asigne roles que seleccione
    Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio)
    Restringir roles y entidades de seguridad Permitir que el usuario solo asigne roles que seleccione
    Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccione

    Sugerencia

    Si quiere permitir la mayoría de las asignaciones de roles, pero no permite asignaciones de roles específicas, puede usar el editor de condiciones avanzadas y agregar manualmente una condición. Para obtener un ejemplo, vea Ejemplo: Permitir la mayoría de los roles, pero no permitir que otros usuarios asignen roles.

  4. En el panel configurar, agregue las configuraciones necesarias.

    Captura de pantalla del panel de configuración de una condición con la selección agregada.

  5. Seleccione Guardar para agregar la condición a la asignación de roles.

Paso 6: Asignar un rol

Siga estos pasos:

  1. En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.

  2. Haga clic en Revisión y asignación para asignar el rol.

    Transcurridos unos instantes, al usuario se le asigna el rol Propietario para la suscripción.

    Captura de pantalla de la lista de asignación de roles después de asignar el rol.

Contenido relacionado