Solución de problemas de Azure RBACTroubleshoot Azure RBAC

En este artículo se responden algunas preguntas comunes acerca del control de acceso basado en rol de Azure (Azure RBAC) para que sepa qué esperar cuando use los roles y para que pueda solucionar los problemas de acceso.This article answers some common questions about Azure role-based access control (Azure RBAC), so that you know what to expect when using the roles and can troubleshoot access problems.

Límite de asignaciones de roles de AzureAzure role assignments limit

Azure admite hasta 2000 asignaciones de roles por suscripción.Azure supports up to 2000 role assignments per subscription. Este límite incluye las asignaciones de roles en los ámbitos de suscripción, grupo de recursos y recurso.This limit includes role assignments at the subscription, resource group, and resource scopes. Si aparece el mensaje de error "No se pueden crear más asignaciones de roles (código: RoleAssignmentLimitExceeded)" al intentar asignar un rol, pruebe a reducir el número de asignaciones de roles de la suscripción.If you get the error message "No more role assignments can be created (code: RoleAssignmentLimitExceeded)" when you try to assign a role, try to reduce the number of role assignments in the subscription.

Nota

El límite de 2000 asignaciones de roles por suscripción es fijo y no se puede aumentar.The 2000 role assignments limit per subscription is fixed and cannot be increased.

Si está cerca de este límite, estas son algunas maneras de reducir el número de asignaciones de roles:If you are getting close to this limit, here are some ways that you can reduce the number of role assignments:

  • Agregue usuarios a grupos y asigne los roles a los grupos.Add users to groups and assign roles to the groups instead.
  • Combine varios roles integrados con un rol personalizado.Combine multiple built-in roles with a custom role.
  • Cree asignaciones de roles comunes en un ámbito superior, como en un grupo de suscripciones o en un grupo de administración.Make common role assignments at a higher scope, such as subscription or management group.
  • Si tiene Azure AD Premium P2, permita que las asignaciones de roles se puedan establecer en Azure AD Privileged Identity Management en lugar de asignarlas de forma permanente.If you have Azure AD Premium P2, make role assignments eligible in Azure AD Privileged Identity Management instead of permanently assigned.
  • Agregue una suscripción adicional.Add an additional subscription.

Para saber el número de asignaciones de roles, puede consultar el gráfico de la página Control de acceso (IAM) en Azure Portal.To get the number of role assignments, you can view the chart on the Access control (IAM) page in the Azure portal. También puede usar los siguientes comandos de Azure PowerShell:You can also use the following Azure PowerShell commands:

$scope = "/subscriptions/<subscriptionId>"
$ras = Get-AzRoleAssignment -Scope $scope | Where-Object {$_.scope.StartsWith($scope)}
$ras.Count

Problemas con las asignaciones de roles de AzureProblems with Azure role assignments

  • Si no puede agregar una asignación de roles en Azure Portal, en Control de acceso (IAM) porque la opción Agregar > Agregar asignación de roles está deshabilitada o porque recibe el error de permisos "El cliente con el identificador de objeto no está autorizado para realizar la acción", compruebe que ha iniciado sesión con un usuario que tenga asignado un rol con el permiso Microsoft.Authorization/roleAssignments/write, como Propietario o Administrador de acceso de usuario, en el ámbito en el que intenta asignar el rol.If you are unable to add a role assignment in the Azure portal on Access control (IAM) because the Add > Add role assignment option is disabled or because you get the permissions error "The client with object id does not have authorization to perform action", check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleAssignments/write permission such as Owner or User Access Administrator at the scope you are trying to assign the role.

  • Si usa una entidad de servicio para asignar roles, puede obtener el error "No tiene privilegios suficientes para completar la operación".If you are using a service principal to assign roles, you might get the error "Insufficient privileges to complete the operation." Por ejemplo, supongamos que tiene una entidad de servicio a la que se le ha asignado el rol de propietario e intenta crear la siguiente asignación de roles como entidad de servicio mediante la CLI de Azure:For example, let's say that you have a service principal that has been assigned the Owner role and you try to create the following role assignment as the service principal using Azure CLI:

    az login --service-principal --username "SPNid" --password "password" --tenant "tenantid"
    az role assignment create --assignee "userupn" --role "Contributor"  --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    

    Si obtiene el error "No tiene privilegios suficientes para completar la operación", es probable que se deba a que la CLI de Azure está intentando buscar la identidad de asignación en Azure AD y la entidad de servicio no puede leer Azure AD de manera predeterminada.If you get the error "Insufficient privileges to complete the operation", it is likely because Azure CLI is attempting to look up the assignee identity in Azure AD and the service principal cannot read Azure AD by default.

    Hay dos maneras de resolver este error.There are two ways to potentially resolve this error. La primera consiste en asignar el rol lectores de directorio a la entidad de servicio para que pueda leer los datos en el directorio.The first way is to assign the Directory Readers role to the service principal so that it can read data in the directory.

    La segunda manera de resolver este error es crear la asignación de roles mediante el parámetro --assignee-object-id en lugar de --assignee.The second way to resolve this error is to create the role assignment by using the --assignee-object-id parameter instead of --assignee. Mediante el uso de --assignee-object-id, la CLI de Azure omitirá la búsqueda de Azure AD.By using --assignee-object-id, Azure CLI will skip the Azure AD lookup. Debe obtener el identificador de objeto del usuario, del grupo o de la aplicación a los que quiere asignar el rol.You will need to get the object ID of the user, group, or application that you want to assign the role to. Para más información, consulte Incorporación o eliminación de asignaciones de roles de Azure mediante la CLI de Azure.For more information, see Add or remove Azure role assignments using Azure CLI.

    az role assignment create --assignee-object-id 11111111-1111-1111-1111-111111111111  --role "Contributor" --scope "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}"
    
  • Si intenta quitar la última asignación del rol de propietario de una suscripción, es posible que vea el error "No se puede eliminar la última asignación de administración de RBAC".If you attempt to remove the last Owner role assignment for a subscription, you might see the error "Cannot delete the last RBAC admin assignment." Para evitar que la suscripción quede huérfana, no se puede eliminar la última asignación del rol de propietario de una suscripción.Removing the last Owner role assignment for a subscription is not supported to avoid orphaning the subscription. Si quiere cancelar su suscripción, consulte Cancelación de la suscripción a Azure.If you want to cancel your subscription, see Cancel your Azure subscription.

Problemas con roles personalizadosProblems with custom roles

  • Si necesita conocer los pasos para crear un rol personalizado, consulte los tutoriales sobre roles personalizados con Azure Portal (actualmente en versión preliminar), Azure PowerShell o la CLI de Azure.If you need steps for how to create a custom role, see the custom role tutorials using the Azure portal (currently in preview), Azure PowerShell, or Azure CLI.
  • Si no puede actualizar un rol personalizado existente, compruebe que haya iniciado sesión con un usuario que tenga asignado un rol con el permiso Microsoft.Authorization/roleDefinition/write, como Propietario o Administrador de acceso de usuario.If you are unable to update an existing custom role, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Authorization/roleDefinition/write permission such as Owner or User Access Administrator.
  • Si no puede eliminar un rol personalizado y obtiene el mensaje de error "Hay asignaciones de roles existentes que hacen referencia al rol (código: RoleDefinitionHasAssignments)", significa que hay asignaciones de roles que siguen usando el rol personalizado.If you are unable to delete a custom role and get the error message "There are existing role assignments referencing role (code: RoleDefinitionHasAssignments)", then there are role assignments still using the custom role. Quite las asignaciones de roles y vuelva a intentar eliminarlo.Remove those role assignments and try to delete the custom role again.
  • Si recibe el mensaje de error "Se ha superado el límite de definiciones de roles.If you get the error message "Role definition limit exceeded. No se pueden crear más definiciones de roles (código: RoleDefinitionLimitExceeded)" al intentar crear un nuevo rol personalizado, elimine los roles personalizados que no se usan.No more role definitions can be created (code: RoleDefinitionLimitExceeded)" when you try to create a new custom role, delete any custom roles that aren't being used. Azure admite hasta 5000 roles personalizados en un directorio.Azure supports up to 5000 custom roles in a directory. (Para Azure Alemania y Azure China 21Vianet, el límite es 2000 roles personalizados).(For Azure Germany and Azure China 21Vianet, the limit is 2000 custom roles.)
  • Si obtiene un error similar a "El cliente tiene permiso para realizar la acción 'Microsoft.Authorization/roleDefinitions/write' en el ámbito '/subscriptions/{subscriptionid}', aunque la suscripción vinculada no se encontró" al intentar actualizar un rol personalizado, consulte si se han eliminado uno o varios ámbitos asignables del directorio.If you get an error similar to "The client has permission to perform action 'Microsoft.Authorization/roleDefinitions/write' on scope '/subscriptions/{subscriptionid}', however the linked subscription was not found" when you try to update a custom role, check whether one or more assignable scopes have been deleted in the directory. Si el ámbito se ha eliminado, cree una incidencia de soporte técnico porque no hay ninguna solución de autoservicio disponible en este momento.If the scope was deleted, then create a support ticket as there is no self-service solution available at this time.

Roles personalizados y grupos de administraciónCustom roles and management groups

  • Solo puede definir un grupo de administración en AssignableScopes de un rol personalizado.You can only define one management group in AssignableScopes of a custom role. La adición de un grupo de administración a AssignableScopes está actualmente en versión preliminar.Adding a management group to AssignableScopes is currently in preview.
  • No se pueden asignar roles personalizados con DataActions en el ámbito del grupo de administración.Custom roles with DataActions cannot be assigned at the management group scope.
  • Azure Resource Manager no valida la existencia del grupo de administración en el ámbito asignable de la definición de roles.Azure Resource Manager doesn't validate the management group's existence in the role definition's assignable scope.
  • Para obtener más información sobre los roles personalizados y los grupos de administración, consulte el artículo Organización de los recursos con grupos de administración de Azure.For more information about custom roles and management groups, see Organize your resources with Azure management groups.

Transferencia de una suscripción a un directorio diferenteTransferring a subscription to a different directory

  • Si necesita conocer los pasos para transferir una suscripción a otro directorio de Azure AD, vea Transferencia de una suscripción de Azure a otro directorio de Azure AD.If you need steps for how to transfer a subscription to a different Azure AD directory, see Transfer an Azure subscription to a different Azure AD directory.
  • Si transfiere una suscripción a otro directorio de Azure AD, todas las asignaciones de roles se eliminan permanentemente del directorio de Azure AD de origen y no se migran al directorio de Azure AD de destino.If you transfer a subscription to a different Azure AD directory, all role assignments are permanently deleted from the source Azure AD directory and are not migrated to the target Azure AD directory. Debe volver a crear las asignaciones de roles en el directorio de destino.You must re-create your role assignments in the target directory. También debe volver a crear manualmente las identidades administradas para los recursos de Azure.You also have to manually recreate managed identities for Azure resources. Para más información, consulte Preguntas frecuentes y problemas conocidos con identidades administradas.For more information, see FAQs and known issues with managed identities.
  • Si es un administrador global de Azure AD y no tiene acceso a una suscripción después de transferirla de un directorio a otro, active la Administración del acceso para los recursos de Azure para elevar sus permisos de acceso temporalmente y obtener acceso a la suscripción.If you are an Azure AD Global Administrator and you don't have access to a subscription after it was transferred between directories, use the Access management for Azure resources toggle to temporarily elevate your access to get access to the subscription.

Problemas con los administradores o coadministradores de serviciosIssues with service admins or co-admins

Errores de permiso o acceso denegadoAccess denied or permission errors

  • Si recibe el error de permiso "El cliente con el identificador de objeto no está autorizado para realizar la acción sobre el ámbito (código: AuthorizationFailed)" al intentar crear un recurso, compruebe que ha iniciado sesión con un usuario que tiene asignado un rol con permiso de escritura en el recurso y en el ámbito seleccionado.If you get the permissions error "The client with object id does not have authorization to perform action over scope (code: AuthorizationFailed)" when you try to create a resource, check that you are currently signed in with a user that is assigned a role that has write permission to the resource at the selected scope. Por ejemplo, para administrar las máquinas virtuales de un grupo de recursos, debe tener el rol Colaborador de máquina virtual en el grupo de recursos (o el ámbito primario).For example, to manage virtual machines in a resource group, you should have the Virtual Machine Contributor role on the resource group (or parent scope). Para ver una lista de los permisos para cada rol integrado, consulte Roles integrados de Azure.For a list of the permissions for each built-in role, see Azure built-in roles.
  • Si aparece el error de permiso "No tiene permiso para crear una solicitud de soporte técnico" al intentar crear o actualizar una incidencia de soporte técnico, compruebe que ha iniciado sesión con un usuario que tenga asignado un rol con el permiso Microsoft.Support/supportTickets/write, como Colaborador de solicitud de soporte técnico.If you get the permissions error "You don't have permission to create a support request" when you try to create or update a support ticket, check that you are currently signed in with a user that is assigned a role that has the Microsoft.Support/supportTickets/write permission, such as Support Request Contributor.

Traslado de recursos con asignaciones de rolesMove resources with role assignments

Si mueve un recurso que tiene un rol de Azure asignado directamente al recurso (o a un recurso secundario), la asignación de roles no se mueve y queda huérfana.If you move a resource that has an Azure role assigned directly to the resource (or a child resource), the role assignment is not moved and becomes orphaned. Después de moverlo, debe volver a crear asignaciones de roles.After the move, you must re-create the role assignment. Finalmente, la asignación de roles huérfana se quitará automáticamente, pero se recomienda quitar la asignación de roles antes de mover el recurso.Eventually, the orphaned role assignment will be automatically removed, but it is a best practice to remove the role assignment before moving the resource.

Para obtener información sobre cómo trasladar recursos, vea Traslado de los recursos a un nuevo grupo de recursos o a una nueva suscripción.For information about how to move resources, see Move resources to a new resource group or subscription.

Asignaciones de roles con identidad no encontradaRole assignments with identity not found

En la lista de asignaciones de roles para Azure Portal, es posible que observe que la entidad de seguridad (usuario, grupo, entidad de servicio o identidad administrada) aparece como Identidad no encontrada con un tipo Desconocido.In the list of role assignments for the Azure portal, you might notice that the security principal (user, group, service principal, or managed identity) is listed as Identity not found with an Unknown type.

Identidad no encontrada en la lista de asignaciones de roles de Azure

La identidad podría no encontrarse por dos motivos:The identity might not be found for two reasons:

  • Ha invitado recientemente a un usuario al crear una asignación de roles.You recently invited a user when creating a role assignment
  • Ha eliminado una entidad de seguridad que tenía una asignación de roles.You deleted a security principal that had a role assignment

Si ha invitado recientemente a un usuario al crear una asignación de roles, esta entidad de seguridad podría seguir en el proceso de replicación entre regiones.If you recently invited a user when creating a role assignment, this security principal might still be in the replication process across regions. De ser así, espere unos instantes y actualice la lista de asignaciones de roles.If so, wait a few moments and refresh the role assignments list.

Sin embargo, si esta entidad de seguridad no es un usuario invitado recientemente, podría tratarse de una entidad de seguridad eliminada.However, if this security principal is not a recently invited user, it might be a deleted security principal. Si asigna un rol a una entidad de seguridad y, posteriormente, elimina esa entidad de seguridad sin quitar antes la asignación de roles, la entidad de seguridad se mostrará como Identidad no encontrada y con un tipo Desconocido.If you assign a role to a security principal and then you later delete that security principal without first removing the role assignment, the security principal will be listed as Identity not found and an Unknown type.

Si enumera esta asignación de roles mediante Azure PowerShell, puede que vea un elemento DisplayName vacío y un elemento ObjectType definido como Unknown.If you list this role assignment using Azure PowerShell, you might see an empty DisplayName and an ObjectType set to Unknown. Por ejemplo, Get-AzRoleAssignment devuelve una asignación de roles que es similar a la salida siguiente:For example, Get-AzRoleAssignment returns a role assignment that is similar to the following output:

RoleAssignmentId   : /subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
Scope              : /subscriptions/11111111-1111-1111-1111-111111111111
DisplayName        :
SignInName         :
RoleDefinitionName : Storage Blob Data Contributor
RoleDefinitionId   : ba92f5b4-2d11-453d-a403-e96b0029c9fe
ObjectId           : 33333333-3333-3333-3333-333333333333
ObjectType         : Unknown
CanDelegate        : False

Del mismo modo, si enumera esta asignación de roles con la CLI de Azure, podría ver un elemento principalName vacío.Similarly, if you list this role assignment using Azure CLI, you might see an empty principalName. Por ejemplo, az role assignment list devuelve una asignación de roles que es similar a la salida siguiente:For example, az role assignment list returns a role assignment that is similar to the following output:

{
    "canDelegate": null,
    "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222",
    "name": "22222222-2222-2222-2222-222222222222",
    "principalId": "33333333-3333-3333-3333-333333333333",
    "principalName": "",
    "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
    "roleDefinitionName": "Storage Blob Data Contributor",
    "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
    "type": "Microsoft.Authorization/roleAssignments"
}

No es problema dejar estas asignaciones de roles donde se ha eliminado la entidad de seguridad.It isn't a problem to leave these role assignments where the security principal has been deleted. Si lo desea, puede quitar estas asignaciones de roles siguiendo los pasos similares a otras asignaciones de roles.If you like, you can remove these role assignments using steps that are similar to other role assignments. Para obtener información sobre cómo quitar las asignaciones de roles, vea Azure Portal, Azure PowerShell o la CLI de Azure.For information about how to remove role assignments, see Azure portal, Azure PowerShell, or Azure CLI

En PowerShell, si intenta quitar las asignaciones de roles mediante el identificador de objeto y el nombre de la definición de roles, y más de una asignación de roles coincide con los parámetros, obtendrá el mensaje de error: "The provided information does not map to a role assignment" (La información proporcionada no se asigna a una asignación de roles).In PowerShell, if you try to remove the role assignments using the object ID and role definition name, and more than one role assignment matches your parameters, you will get the error message: "The provided information does not map to a role assignment". La salida siguiente muestra un ejemplo del mensaje de error:The following output shows an example of the error message:

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor"

Remove-AzRoleAssignment : The provided information does not map to a role assignment.
At line:1 char:1
+ Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : CloseError: (:) [Remove-AzRoleAssignment], KeyNotFoundException
+ FullyQualifiedErrorId : Microsoft.Azure.Commands.Resources.RemoveAzureRoleAssignmentCommand

Si recibe este mensaje de error, asegúrese de especificar también los parámetros -Scope o -ResourceGroupName.If you get this error message, make sure you also specify the -Scope or -ResourceGroupName parameters.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 -RoleDefinitionName "Storage Blob Data Contributor" - Scope /subscriptions/11111111-1111-1111-1111-111111111111

No se detectan los cambios en la asignación de rolesRole assignment changes are not being detected

Azure Resource Manager a veces almacena en caché las configuraciones y los datos para mejorar el rendimiento.Azure Resource Manager sometimes caches configurations and data to improve performance. Al agregar o quitar asignaciones de roles, los cambios pueden tardar hasta 30 minutos en aplicarse.When you add or remove role assignments, it can take up to 30 minutes for changes to take effect. Si usa Azure Portal, Azure PowerShell o la CLI de Azure, puede exigir una actualización de los cambios de asignación de roles cerrando e iniciando sesión.If you are using the Azure portal, Azure PowerShell, or Azure CLI, you can force a refresh of your role assignment changes by signing out and signing in. Si va a realizar cambios de asignación de roles con llamadas API de REST, puede exigir una actualización renovando el token de acceso.If you are making role assignment changes with REST API calls, you can force a refresh by refreshing your access token.

Si agrega o quita una asignación de roles en el ámbito del grupo de administración y el rol tiene DataActions, es posible que el acceso en el plano de datos no se actualice hasta pasadas varias horas.If you are add or remove a role assignment at management group scope and the role has DataActions, the access on the data plane might not be updated for several hours. Esto solo se aplica al ámbito del grupo de administración y al plano de datos.This applies only to management group scope and the data plane.

Características de aplicaciones web que requieren acceso de escrituraWeb app features that require write access

Si concede a un usuario acceso de solo lectura a una única aplicación web, se deshabilitan algunas características que no cabría esperar.If you grant a user read-only access to a single web app, some features are disabled that you might not expect. Las siguientes funcionalidades de administración requieren acceso de escritura a una aplicación web (como colaborador o como propietario) y no están disponibles en un escenario de solo lectura.The following management capabilities require write access to a web app (either Contributor or Owner), and aren't available in any read-only scenario.

  • Comandos (p. ej., iniciar, parar, etc.)Commands (like start, stop, etc.)
  • Cambiar opciones, como la configuración general, opciones de escala, opciones de copia de seguridad y opciones de supervisiónChanging settings like general configuration, scale settings, backup settings, and monitoring settings
  • Acceder a las credenciales de publicación y otros secretos, como opciones de aplicaciones y cadenas de conexiónAccessing publishing credentials and other secrets like app settings and connection strings
  • Registros de streamingStreaming logs
  • Configuración de registros de recursosResource logs configuration
  • Consola (símbolo del sistema)Console (command prompt)
  • Implementaciones activas y recientes (para implementaciones git continuas locales)Active and recent deployments (for local git continuous deployment)
  • Gasto estimadoEstimated spend
  • Pruebas webWeb tests
  • Red virtual (solo visible para un lector si un usuario con acceso de escritura ha configurado previamente una red virtual)Virtual network (only visible to a reader if a virtual network has previously been configured by a user with write access).

Si no puede acceder a ninguno de estos iconos, debe pedirle al administrador el acceso de colaborador a la aplicación web.If you can't access any of these tiles, you need to ask your administrator for Contributor access to the web app.

Recursos de aplicaciones web que requieren acceso de escrituraWeb app resources that require write access

Las aplicaciones web pueden resultar complicadas si entran en juego distintos recursos.Web apps are complicated by the presence of a few different resources that interplay. Este es un grupo de recursos típico con un par de sitios web:Here is a typical resource group with a couple of websites:

Grupo de recursos de aplicación web

Como consecuencia, si le concede a alguien acceso solo a la aplicación web, muchas de las funcionalidades de la hoja del sitio web de Azure Portal están deshabilitadas.As a result, if you grant someone access to just the web app, much of the functionality on the website blade in the Azure portal is disabled.

Estos elementos requieren acceso de escritura al plan de App Service que corresponde a su sitio web:These items require write access to the App Service plan that corresponds to your website:

  • Visualización del plan de tarifa de la aplicación web (gratis o estándar).Viewing the web app's pricing tier (Free or Standard)
  • Configuración de escala (número de instancias, tamaño de la máquina virtual y configuración de escala automática).Scale configuration (number of instances, virtual machine size, autoscale settings)
  • Cuotas (almacenamiento, ancho de banda y CPU).Quotas (storage, bandwidth, CPU)

Estos elementos requieren acceso de escritura a todo el grupo de recursos que contiene su sitio web:These items require write access to the whole Resource group that contains your website:

  • Enlaces y certificados TLS/SSL (los certificados TLS/SSL se pueden compartir entre sitios en el mismo grupo de recursos y la misma ubicación geográfica)TLS/SSL Certificates and bindings (TLS/SSL certificates can be shared between sites in the same resource group and geo-location)
  • Las reglas de alertasAlert rules
  • Opciones de escala automáticaAutoscale settings
  • Componentes de Application InsightsApplication insights components
  • Pruebas webWeb tests

Características de máquina virtual que requieren acceso de escrituraVirtual machine features that require write access

De manera similar a las aplicaciones web, algunas funciones de la hoja de máquina virtual requieren acceso de escritura a la máquina virtual o a otros recursos del grupo de recursos.Similar to web apps, some features on the virtual machine blade require write access to the virtual machine, or to other resources in the resource group.

Las máquinas virtuales están relacionadas con los nombres de dominio, las redes virtuales, las cuentas de almacenamiento y las reglas de alerta.Virtual machines are related to Domain names, virtual networks, storage accounts, and alert rules.

Estos elementos requieren acceso de escritura a la máquina virtual:These items require write access to the Virtual machine:

  • Puntos de conexiónEndpoints
  • Direcciones IPIP addresses
  • DiscosDisks
  • ExtensionesExtensions

Estos requieren acceso de escritura a la máquina virtual y al grupo de recursos (junto con el nombre de dominio) donde se encuentran:These require write access to both the Virtual machine, and the Resource group (along with the Domain name) that it is in:

  • Conjunto de disponibilidadAvailability set
  • El conjunto de carga equilibradaLoad balanced set
  • Las reglas de alertasAlert rules

Si no puede acceder a ninguno de estos iconos, debe pedirle al administrador el acceso de colaborador al grupo de recursos.If you can't access any of these tiles, ask your administrator for Contributor access to the Resource group.

Azure Functions y acceso de escrituraAzure Functions and write access

Algunas características de Azure Functions requieren acceso de escritura.Some features of Azure Functions require write access. Por ejemplo, si se asigna a un usuario el rol de lector, este no podrá ver las funciones dentro de una aplicación de función.For example, if a user is assigned the Reader role, they will not be able to view the functions within a function app. El portal mostrará (Sin acceso) .The portal will display (No access).

Sin acceso a aplicaciones de función

Un lector puede hacer clic en la pestaña Características de la plataforma y, a continuación, hacer clic en Toda las opciones de configuración para ver algunas opciones de configuración relacionadas con una aplicación de función (similar a una aplicación web), pero no puede modificar ninguna de estas opciones de configuración.A reader can click the Platform features tab and then click All settings to view some settings related to a function app (similar to a web app), but they can't modify any of these settings. Para tener acceso a estas características, necesitará el rol de colaborador.To access these features, you will need the Contributor role.

Pasos siguientesNext steps