Pasos para asignar un rol de Azure

El control de acceso basado en rol (RBAC) de Azure es el sistema de autorización que puede utilizar para administrar el acceso a los recursos de Azure. Para conceder acceso, debe asignar roles a usuarios, grupos, entidades de servicio o identidades administradas en un ámbito determinado. En este artículo se describen los pasos generales para asignar roles de Azure mediante Azure Portal, Azure PowerShell, la CLI de Azureo la API REST.

Paso 1: determinar quién necesita acceso

En primer lugar, debe determinar quién necesita acceso. Puede asignar un rol a un usuario, grupo, entidad de servicio o identidad administrada. Esto también se denomina una entidad de seguridad.

Security principal for a role assignment

  • Usuario: individuo que tiene un perfil en Azure Active Directory. También puede asignar roles a usuarios de otros inquilinos. Para información sobre los usuarios de otras organizaciones, consulte el artículo sobre la colaboración B2B de Azure Active Directory.
  • Grupo: conjunto de usuarios creado en Azure Active Directory. Cuando se asigna un rol a un grupo, todos los usuarios dentro de ese grupo tienen ese rol.
  • Entidad de servicio: identidad de seguridad que las aplicaciones o los servicios usan para acceder a recursos específicos de Azure. Puede considerarla como una identidad de usuario (nombre de usuario y contraseña o certificado) de una aplicación.
  • Identidad administrada: una identidad de Azure Active Directory que Azure administra de forma automática. Normalmente, se usan identidades administradas cuando se desarrollan aplicaciones en la nube para administrar las credenciales para la autenticación en los servicios de Azure.

Paso 2: seleccione el rol apropiado

Los permisos se agrupan en una definición de roles. Suele denominarse un rol. Puede seleccionar en una lista de varios roles integrados. Si los roles integrados no cumplen las necesidades específicas de su organización, puede crear sus propios roles personalizados.

Role definition for a role assignment

A continuación se enumeran cuatros roles integrados fundamentales. Los tres primeros se aplican a todos los tipos de recursos.

  • Propietario: tiene acceso total a todos los recursos, incluido el derecho a delegar este acceso a otros.
  • Colaborador: puede crear y administrar todos los tipos de recursos de Azure, pero no puede conceder acceso a otros.
  • Lector: puede ver los recursos existentes de Azure.
  • Administrador de acceso de usuario: permite administrar el acceso de los usuarios a los recursos de Azure.

Los demás roles integrados permiten la administración de recursos específicos de Azure. Por ejemplo, el rol Colaborador de máquina virtual permite al usuario crear y administrar máquinas virtuales.

  1. Empiece por este completo artículo, Roles integrados de Azure. La tabla que aparece en la parte superior del artículo es un índice de los detalles que aparecerán más adelante en el artículo.

  2. En ese artículo, vaya a la categoría de servicio (por ejemplo, proceso, almacenamiento y bases de datos) del recurso al que quiere conceder permisos. La forma más fácil de encontrar lo que busca es normalmente buscar en la página una palabra clave significativa, como "blob", "máquina virtual", etc.

  3. Revise los roles enumerados en la categoría de servicio e identifique las acciones específicas que necesite. De nuevo, empiece siempre por el rol más restrictivo.

    Por ejemplo, si una entidad de seguridad necesita leer blobs en una cuenta de Azure Storage, pero no necesita obtener acceso de escritura, seleccione el rol Lector de datos de blobs de almacenamiento en lugar de Colaborador de datos de blobs de almacenamiento (en ningún caso seleccione el rol Propietario de datos de blobs de almacenamiento). Siempre puede actualizar las asignaciones de roles más adelante según sea necesario.

  4. Si no encuentra un rol adecuado, puede crear un rol personalizado.

Paso 3: identificar el ámbito necesario

Ámbito es el conjunto de recursos al que se aplica el acceso. En Azure, puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos y recurso. Los ámbitos se estructuran en una relación de elementos primarios y secundarios. Cada nivel de jerarquía hace que el ámbito sea más específico. Puede asignar roles en cualquiera de estos niveles de ámbito. El nivel que seleccione determina el grado de amplitud con que se aplica el rol. Los niveles inferiores heredan los permisos de rol de los niveles superiores.

Scope for a role assignment

Si asigna un rol a un ámbito primario, esos permisos se heredan en los ámbitos secundarios. Por ejemplo:

  • Si asigna el rol Lector a un usuario del ámbito del grupo de administración, ese usuario puede leer todo en todas las suscripciones del grupo de administración.
  • Si asigna el rol Lector de facturación a un grupo en el ámbito de la suscripción, los miembros de ese grupo pueden leer los datos de facturación cada grupo de recursos y cada recurso de la suscripción.
  • Si asigna el rol Colaborador a una aplicación en el ámbito del grupo de recursos, puede administrar recursos de todos los tipos en ese grupo de recursos, pero no otros grupo de recursos de la suscripción.

Se recomienda conceder a las entidades de seguridad los privilegios mínimos que necesitan para realizar su trabajo. Evite la asignación de roles más amplios en ámbitos más amplios, aunque en principio pueda parecer más práctico. Al limitar los roles y los ámbitos, se limitan los recursos en peligro si la entidad de seguridad llegara a verse comprometida. Para obtener más información, consulte Comprender el ámbito.

Paso 4. Comprobar los requisitos previos

Para asignar roles, debe haber iniciado sesión con un usuario que tenga asignado un rol que tenga permisos de escritura para las asignaciones de roles, como Propietario o Administrador de acceso de usuario en el ámbito en el que está intentando asignar el rol. Del mismo modo, para quitar una asignación de roles, debe tener el permiso Eliminar de las asignaciones de roles.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Si la cuenta de usuario no tiene permisos para asignar un rol dentro de la suscripción, verá un mensaje de error indicando que su cuenta "no tiene autorización para realizar la acción 'Microsoft.Authorization/roleAssignments/write'". En este caso, póngase en contacto con los administradores de la suscripción, ya que ellos pueden asignar los permisos en su nombre.

Si usa una entidad de servicio para asignar roles, puede que reciba el error "Privilegios insuficientes para completar la operación". Este error es probable porque Azure está intentando buscar la identidad del usuario asignado en Azure Active Directory (Azure AD) y la entidad de servicio no puede leer Azure AD de manera predeterminada. En este caso, debe conceder permisos a la entidad de servicio para leer datos en el directorio. Como alternativa, si está usando la CLI de Azure, puede crear la asignación de roles con el identificador de objeto del usuario asignado para omitir la búsqueda de Azure AD. Para más información, consulte Solución de problemas de RBAC de Azure.

Paso 5. Asignación de un rol

Una vez que conozca la entidad de seguridad, el rol y el ámbito, podrá asignar el rol. Puede asignar roles mediante Azure Portal, Azure PowerShell, la CLI de Azure, los SDK de Azure o las API REST.

Puede tener hasta 2000 asignaciones de roles en cada suscripción. Este límite incluye las asignaciones de roles en los ámbitos de suscripción, grupo de recursos y recurso. Puede tener un máximo de 500 asignaciones de roles en cada grupo de administración. El límite de asignaciones de roles de una suscripción se está incrementando actualmente. Para más información, consulte Solución de problemas de RBAC de Azure.

Consulte los artículos siguientes para conocer los pasos detallados sobre cómo asignar roles.

Pasos siguientes