Descripción de las definiciones de roles de AzureUnderstand Azure role definitions

Tanto si quiere comprender el funcionamiento de un rol de Azure como si va a crear su propio rol de Azure personalizado, le resultará útil entender cómo se definen los roles.If you are trying to understand how an Azure role works or if you are creating your own Azure custom role, it's helpful to understand how roles are defined. En este artículo se describen los detalles de las definiciones de roles y se proporcionan algunos ejemplos.This article describes the details of role definitions and provides some examples.

Definición de rolesRole definition

Una definición de roles es una recopilación de permisos.A role definition is a collection of permissions. A veces, se denomina rol simplemente.It's sometimes just called a role. Una definición de roles enumera las operaciones que se pueden realizar, por ejemplo, de lectura, escritura y eliminación.A role definition lists the operations that can be performed, such as read, write, and delete. También puede enumerar las operaciones excluidas de las operaciones permitidas o las operaciones relacionadas con datos subyacentes.It can also list the operations that are excluded from allowed operations or operations related to underlying data.

A continuación se muestra un ejemplo de las propiedades de una definición de roles cuando se muestran mediante Azure PowerShell:The following shows an example of the properties in a role definition when displayed using Azure PowerShell:

Name
Id
IsCustom
Description
Actions []
NotActions []
DataActions []
NotDataActions []
AssignableScopes []

A continuación se muestra un ejemplo de las propiedades de una definición de roles cuando se muestran mediante Azure Portal, la CLI de Azure o la API de REST:The following shows an example of the properties in a role definition when displayed using the Azure portal, Azure CLI, or the REST API:

roleName
name
type
description
actions []
notActions []
dataActions []
notDataActions []
assignableScopes []

En la tabla siguiente se describe el significado de las propiedades de roles.The following table describes what the role properties mean.

PropiedadProperty DescripciónDescription
Name
roleName
Nombre para mostrar del rol.The display name of the role.
Id
name
Identificador único del rol.The unique ID of the role.
IsCustom
roleType
Indica si es un rol personalizado.Indicates whether this is a custom role. Se establece en true o CustomRole para los roles personalizados.Set to true or CustomRole for custom roles. Se establece en false o BuiltInRole para los roles integrados.Set to false or BuiltInRole for built-in roles.
Description
description
Descripción del rol.The description of the role.
Actions
actions
Matriz de cadenas que especifica las operaciones de administración que el rol permite realizar.An array of strings that specifies the management operations that the role allows to be performed.
NotActions
notActions
Matriz de cadenas que especifica las operaciones de administración que se excluyen de las Actions permitidas.An array of strings that specifies the management operations that are excluded from the allowed Actions.
DataActions
dataActions
Matriz de cadenas que especifica las operaciones de datos que el rol permite realizar en los datos dentro de ese objeto.An array of strings that specifies the data operations that the role allows to be performed to your data within that object.
NotDataActions
notDataActions
Matriz de cadenas que especifica las operaciones de datos que se excluyen de las DataActions permitidas.An array of strings that specifies the data operations that are excluded from the allowed DataActions.
AssignableScopes
assignableScopes
Matriz de cadenas que especifica los ámbitos en los que el rol está disponible para la asignación.An array of strings that specifies the scopes that the role is available for assignment.

Formato de las operacionesOperations format

Se especifican las operaciones con cadenas que tienen el formato siguiente:Operations are specified with strings that have the following format:

  • {Company}.{ProviderName}/{resourceType}/{action}

La parte {action} de una cadena de la operación especifica el tipo de operaciones que puede realizar en un tipo de recurso.The {action} portion of an operation string specifies the type of operations you can perform on a resource type. Por ejemplo, verá las siguientes subcadenas en {action}:For example, you will see the following substrings in {action}:

Subcadena de acciónAction substring DescripciónDescription
* El carácter comodín concede acceso a todas las operaciones que coinciden con la cadena.The wildcard character grants access to all operations that match the string.
read Permite operaciones de lectura (GET).Enables read operations (GET).
write Permite operaciones de escritura (PUT o PATCH).Enables write operations (PUT or PATCH).
action Permite operaciones personalizadas, como reiniciar máquinas virtuales (POST).Enables custom operations like restart virtual machines (POST).
delete Permite operaciones de eliminación (DELETE).Enables delete operations (DELETE).

Ejemplo de definición de rolesRole definition example

Esta es la definición del rol Colaborador como se muestra en Azure PowerShell y la CLI de Azure.Here's the Contributor role definition as displayed in Azure PowerShell and Azure CLI. La operación de carácter comodín (*) en Actions indica que la entidad de seguridad asignada a este rol puede realizar todas las acciones o, en otras palabras, administrar todo el contenido.The wildcard (*) operation under Actions indicates that the principal assigned to this role can perform all actions, or in other words, it can manage everything. Esto incluye las acciones definidas en el futuro, a medida que Azure agregue nuevos tipos de recursos.This includes actions defined in the future, as Azure adds new resource types. Las operaciones en NotActions se restan de Actions.The operations under NotActions are subtracted from Actions. En el caso del rol Colaborador, NotActions le quita la capacidad para administrar el acceso a los recursos, así como de administrar las asignaciones de Azure Blueprint.In the case of the Contributor role, NotActions removes this role's ability to manage access to resources and also manage Azure Blueprint assignments.

Rol Colaborador tal como se muestra en Azure PowerShell:Contributor role as displayed in Azure PowerShell:

{
  "Name": "Contributor",
  "Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "IsCustom": false,
  "Description": "Lets you manage everything except access to resources.",
  "Actions": [
    "*"
  ],
  "NotActions": [
    "Microsoft.Authorization/*/Delete",
    "Microsoft.Authorization/*/Write",
    "Microsoft.Authorization/elevateAccess/Action",
    "Microsoft.Blueprint/blueprintAssignments/write",
    "Microsoft.Blueprint/blueprintAssignments/delete"
  ],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/"
  ]
}

Rol Colaborador tal como se muestra en la CLI de Azure:Contributor role as displayed in Azure CLI:

{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage everything except access to resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [
        "Microsoft.Authorization/*/Delete",
        "Microsoft.Authorization/*/Write",
        "Microsoft.Authorization/elevateAccess/Action",
        "Microsoft.Blueprint/blueprintAssignments/write",
        "Microsoft.Blueprint/blueprintAssignments/delete"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administración y operaciones de datosManagement and data operations

El control de acceso basado en rol para las operaciones de administración se especifica en las propiedades Actions y NotActions de una definición de roles.Role-based access control for management operations is specified in the Actions and NotActions properties of a role definition. A continuación, se incluyen algunos ejemplos de operaciones de administración de Azure:Here are some examples of management operations in Azure:

  • Administrar el acceso a una cuenta de almacenamientoManage access to a storage account
  • Crear, actualizar o eliminar un contenedor de blobsCreate, update, or delete a blob container
  • Eliminar un grupo de recursos y todos sus recursosDelete a resource group and all of its resources

El acceso de administración no se hereda a los datos, dado que el método de autenticación de contenedor se establece en "Cuenta de usuario de Azure AD".Management access is not inherited to your data provided that the container authentication method is set to "Azure AD User Account" and not "Access Key". Esta separación impide que los roles con caracteres comodín (*) tengan acceso no restringido a los datos.This separation prevents roles with wildcards (*) from having unrestricted access to your data. Por ejemplo, si un usuario tiene el rol Lector en una suscripción, podrá ver la cuenta de almacenamiento, pero, de forma predeterminada, no podrá ver los datos subyacentes.For example, if a user has a Reader role on a subscription, then they can view the storage account, but by default they can't view the underlying data.

Anteriormente, el control de acceso basado en rol no se usaba para operaciones de datos.Previously, role-based access control was not used for data operations. La autorización para las operaciones de datos variaba entre proveedores de recursos.Authorization for data operations varied across resource providers. El mismo modelo de autorización de control de acceso basado en rol que se usa para las operaciones de administración se ha ampliado a las operaciones de datos.The same role-based access control authorization model used for management operations has been extended to data operations.

Para admitir las operaciones de datos, se agregaron nuevas propiedades de datos a la definición de roles.To support data operations, new data properties have been added to the role definition. Las operaciones de datos se especifican en las propiedades DataActions y NotDataActions.Data operations are specified in the DataActions and NotDataActions properties. Al agregar estas propiedades de datos, se mantiene la separación entre la administración y los datos.By adding these data properties, the separation between management and data is maintained. Esto impide que las asignaciones de roles actuales con caracteres comodín (*) de repente tengan acceso a los datos.This prevents current role assignments with wildcards (*) from suddenly having accessing to data. Estas son algunas operaciones de datos que se pueden especificar en DataActions y NotDataActions:Here are some data operations that can be specified in DataActions and NotDataActions:

  • Leer una lista de blobs en un contenedorRead a list of blobs in a container
  • Escribir un blob de almacenamiento en un contenedorWrite a storage blob in a container
  • Eliminar un mensaje de una colaDelete a message in a queue

Esta es la definición del rol Lector de datos de blobs de almacenamiento, que incluye operaciones en las propiedades Actions y DataActions.Here's the Storage Blob Data Reader role definition, which includes operations in both the Actions and DataActions properties. Esta función permite leer el contenedor de blobs y también los datos de blob subyacentes.This role allows you to read the blob container and also the underlying blob data.

Rol Lector de datos de Storage Blob tal como se muestra en Azure PowerShell:Storage Blob Data Reader role as displayed in Azure PowerShell:

{
  "Name": "Storage Blob Data Reader",
  "Id": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "IsCustom": false,
  "Description": "Allows for read access to Azure Storage blob containers and data",
  "Actions": [
    "Microsoft.Storage/storageAccounts/blobServices/containers/read",
    "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
  ],
  "NotActions": [],
  "DataActions": [
    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
  ],
  "NotDataActions": [],
  "AssignableScopes": [
    "/"
  ]
}

Rol Lector de datos de Storage Blob tal como se muestra en la CLI de Azure:Storage Blob Data Reader role as displayed in Azure CLI:

{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read access to Azure Storage blob containers and data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "name": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Blob Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Solo se pueden agregar las operaciones de datos a las propiedades DataActions y NotDataActions.Only data operations can be added to the DataActions and NotDataActions properties. Los proveedores de recursos identifican qué operaciones son operaciones de datos, al establecer la propiedad isDataAction en true.Resource providers identify which operations are data operations, by setting the isDataAction property to true. Para ver una lista de las operaciones donde isDataAction es true, consulte Resource provider operations (Operaciones de proveedor de recursos).To see a list of the operations where isDataAction is true, see Resource provider operations. Los roles que no tienen operaciones de datos no necesitan las propiedades DataActions y NotDataActions en la definición de roles.Roles that do not have data operations are not required to have DataActions and NotDataActions properties within the role definition.

Azure Resource Manager controla la autorización de todas las llamadas API de operación de administración.Authorization for all management operation API calls is handled by Azure Resource Manager. Un proveedor de recursos o Azure Resource Manager controlan la autorización de las llamadas API de operación de datos.Authorization for data operation API calls is handled by either a resource provider or Azure Resource Manager.

Ejemplo de operaciones de datosData operations example

Para comprender mejor cómo funcionan las operaciones de datos y de administración, veamos un ejemplo concreto.To better understand how management and data operations work, let's consider a specific example. A Alice se le ha asignado el rol Propietario en el ámbito de la suscripción.Alice has been assigned the Owner role at the subscription scope. A Bob se le ha asignado el rol Colaborador de datos de blobs de almacenamiento en un ámbito de la cuenta de almacenamiento.Bob has been assigned the Storage Blob Data Contributor role at a storage account scope. En el siguiente diagrama se muestra este ejemplo.The following diagram shows this example.

El control de acceso basado en rol se ha ampliado para admitir operaciones de datos y de administración

El rol Propietario de Alice y el rol Colaborador de datos de blobs de almacenamiento de Bob tienen las siguientes acciones:The Owner role for Alice and the Storage Blob Data Contributor role for Bob have the following actions:

PropietarioOwner

    Acciones    Actions
    *    *

Colaborador de datos de blobs de almacenamientoStorage Blob Data Contributor

    Acciones    Actions
    Microsoft.Storage/storageAccounts/blobServices/containers/delete    Microsoft.Storage/storageAccounts/blobServices/containers/delete
    Microsoft.Storage/storageAccounts/blobServices/containers/read    Microsoft.Storage/storageAccounts/blobServices/containers/read
    Microsoft.Storage/storageAccounts/blobServices/containers/write    Microsoft.Storage/storageAccounts/blobServices/containers/write
    Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action    Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
    DataActions    DataActions
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write

Puesto que Alice tiene una acción de carácter comodín (*) en un ámbito de suscripción, sus permisos se heredan para poder realizar todas las acciones de administración.Since Alice has a wildcard (*) action at a subscription scope, their permissions inherit down to enable them to perform all management actions. Alice puede leer, escribir y eliminar contenedores.Alice can read, write, and delete containers. Sin embargo, Alice no puede realizar operaciones de datos sin pasos adicionales.However, Alice cannot perform data operations without taking additional steps. Por ejemplo, de forma predeterminada, Alice no puede leer los blobs de un contenedor.For example, by default, Alice cannot read the blobs inside a container. Para leer los blobs, Alice tendría que recuperar las claves de acceso de almacenamiento y usarlas para acceder a los blobs.To read the blobs, Alice would have to retrieve the storage access keys and use them to access the blobs.

Los permisos de Bob se limitan a solo los valores de Actions y DataActions especificados en el rol Colaborador de datos de blobs de almacenamiento.Bob's permissions are restricted to just the Actions and DataActions specified in the Storage Blob Data Contributor role. Según el rol, Bob puede realizar operaciones de datos y de administración.Based on the role, Bob can perform both management and data operations. Por ejemplo, Bob puede leer, escribir y eliminar contenedores de la cuenta de almacenamiento especificada y también puede leer, escribir y eliminar los blobs.For example, Bob can read, write, and delete containers in the specified storage account and can also read, write, and delete the blobs.

Para más información acerca de la administración y la seguridad en el plano de datos, consulte la guía de seguridad de Azure Storage.For more information about management and data plane security for storage, see the Azure Storage security guide.

¿Qué herramientas admiten el uso de roles de Azure en las operaciones de datos?What tools support using Azure roles for data operations?

Para visualizar y trabajar con operaciones de datos, debe tener las versiones correctas de las herramientas o SDK:To view and work with data operations, you must have the correct versions of the tools or SDKs:

HerramientaTool VersiónVersion
Azure PowerShellAzure PowerShell 1.1.0 o posterior1.1.0 or later
CLI de AzureAzure CLI 2.0.30 o posterior2.0.30 or later
Azure para .NETAzure for .NET 2.8.0-versión preliminar o posterior2.8.0-preview or later
Azure SDK para GoAzure SDK for Go 15.0.0 o posterior15.0.0 or later
Azure para JavaAzure for Java 1.9.0 o posterior1.9.0 or later
Azure para PythonAzure for Python 0.40.0 o posterior0.40.0 or later
SDK de Azure para RubyAzure SDK for Ruby 0.17.1 o posterior0.17.1 or later

Para ver y usar las operaciones de datos en la API REST, el valor del parámetro api-version debe ser la siguiente versión o las versiones posteriores:To view and use the data operations in the REST API, you must set the api-version parameter to the following version or later:

  • 2018-07-012018-07-01

AccionesActions

El permiso Actions especifica las operaciones de administración que el rol permite realizar.The Actions permission specifies the management operations that the role allows to be performed. Se trata de una colección de cadenas de operación que identifican a las operaciones protegibles de proveedores de recursos de Azure.It is a collection of operation strings that identify securable operations of Azure resource providers. A continuación, se incluyen algunos ejemplos de operaciones de administración que se pueden usar en Actions.Here are some examples of management operations that can be used in Actions.

Cadena de la operaciónOperation string DescripciónDescription
*/read Concede acceso a las operaciones de lectura a todos los tipos de recursos de todos los proveedores de recursos de Azure.Grants access to read operations for all resource types of all Azure resource providers.
Microsoft.Compute/* Concede acceso a todas las operaciones a todos los tipos de recursos del proveedor de recursos Microsoft.Compute.Grants access to all operations for all resource types in the Microsoft.Compute resource provider.
Microsoft.Network/*/read Concede acceso a las operaciones de lectura a todos los tipos de recursos del proveedor de recursos Microsoft.Network.Grants access to read operations for all resource types in the Microsoft.Network resource provider.
Microsoft.Compute/virtualMachines/* Concede acceso a todas las operaciones de las máquinas virtuales y a sus tipos de recursos secundarios.Grants access to all operations of virtual machines and its child resource types.
microsoft.web/sites/restart/Action Concede acceso para reiniciar una aplicación web.Grants access to restart a web app.

NotActionsNotActions

El permiso NotActions especifica las operaciones de administración que se restan o excluyen de los Actions permitidos que tienen un carácter comodín (*).The NotActions permission specifies the management operations that are subtracted or excluded from the allowed Actions that have a wildcard (*). Use el permiso NotActions si el conjunto de operaciones que quiere permitir se define más fácilmente mediante la resta de los Actions que tienen un carácter comodín (*).Use the NotActions permission if the set of operations that you want to allow is more easily defined by subtracting from Actions that have a wildcard (*). El acceso concedido por un rol (permisos vigentes) se calcula restando las operaciones de NotActions de las de Actions.The access granted by a role (effective permissions) is computed by subtracting the NotActions operations from the Actions operations.

Actions - NotActions = Effective management permissions

En la tabla siguiente se muestran dos ejemplos de los permisos efectivos para una operación con carácter comodín de Microsoft.CostManagement:The following table shows two examples of the effective permissions for a Microsoft.CostManagement wildcard operation:

ActionsActions NotActionsNotActions Permisos de administración efectivosEffective management permissions
Microsoft.CostManagement/exports/* Ningunanone Microsoft.CostManagement/exports/action
Microsoft.CostManagement/exports/read
Microsoft.CostManagement/exports/write
Microsoft.CostManagement/exports/delete
Microsoft.CostManagement/exports/run/action
Microsoft.CostManagement/exports/* Microsoft.CostManagement/exports/delete Microsoft.CostManagement/exports/action
Microsoft.CostManagement/exports/read
Microsoft.CostManagement/exports/write
Microsoft.CostManagement/exports/run/action

Nota

Si un usuario tiene asignado un rol que excluye una operación en NotActions y se le asigna un segundo rol que sí que concede acceso a esa operación, el usuario puede realizar dicha operación.If a user is assigned a role that excludes an operation in NotActions, and is assigned a second role that grants access to the same operation, the user is allowed to perform that operation. NotActions no es una regla de denegación, es simplemente una manera cómoda de crear un conjunto de operaciones permitidas cuando es necesario excluir operaciones específicas.NotActions is not a deny rule – it is simply a convenient way to create a set of allowed operations when specific operations need to be excluded.

Diferencias entre NotActions y asignaciones de denegaciónDifferences between NotActions and deny assignments

NotActions y las asignaciones de denegación no son iguales y tienen diferentes fines.NotActions and deny assignments are not the same and serve different purposes. NotActions son una manera práctica de restar acciones específicas de una operación con un carácter comodín (*).NotActions are a convenient way to subtract specific actions from a wildcard (*) operation.

Las asignaciones de denegación impiden que los usuarios realicen acciones concretas, aunque una asignación de roles les conceda acceso.Deny assignments block users from performing specific actions even if a role assignment grants them access. Para más información, consulte Descripción de las asignaciones de denegación de Azure.For more information, see Understand Azure deny assignments.

DataActionsDataActions

El permiso DataActions especifica las operaciones de datos que el rol permite realizar en los datos dentro de ese objeto.The DataActions permission specifies the data operations that the role allows to be performed to your data within that object. Por ejemplo, si un usuario tiene acceso para leer datos de blobs de una cuenta de almacenamiento, puede leer los blobs en esa cuenta de almacenamiento.For example, if a user has read blob data access to a storage account, then they can read the blobs within that storage account. A continuación, se incluyen algunos ejemplos de operaciones de datos que se pueden usar en DataActions.Here are some examples of data operations that can be used in DataActions.

Cadena de la operaciónOperation string DescripciónDescription
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Devuelve un blob o una lista de blobs.Returns a blob or a list of blobs.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Devuelve el resultado de la escritura de un blob.Returns the result of writing a blob.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/read Devuelve un mensaje.Returns a message.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/* Devuelve un mensaje o el resultado de la escritura o eliminación de un mensaje.Returns a message or the result of writing or deleting a message.

NotDataActionsNotDataActions

El permiso NotDataActions especifica las operaciones de datos que se restan o excluyen de los DataActions permitidos que tienen un carácter comodín (*).The NotDataActions permission specifies the data operations that are subtracted or excluded from the allowed DataActions that have a wildcard (*). Use el permiso NotDataActions si el conjunto de operaciones que quiere permitir se define más fácilmente mediante la resta de los DataActions que tienen un carácter comodín (*).Use the NotDataActions permission if the set of operations that you want to allow is more easily defined by subtracting from DataActions that have a wildcard (*). El acceso concedido por un rol (permisos vigentes) se calcula restando las operaciones de NotDataActions de las de DataActions.The access granted by a role (effective permissions) is computed by subtracting the NotDataActions operations from the DataActions operations. Cada proveedor de recursos proporciona su conjunto respectivo de API para completar las operaciones de datos.Each resource provider provides its respective set of APIs to fulfill data operations.

DataActions - NotDataActions = Effective data permissions

En la tabla siguiente se muestran dos ejemplos de los permisos efectivos para una operación con carácter comodín de Microsoft.Storage:The following table shows two examples of the effective permissions for a Microsoft.Storage wildcard operation:

DataActionsDataActions NotDataActionsNotDataActions Permisos de datos de efectivosEffective data permissions
Microsoft.Storage/storageAccounts/queueServices/queues/messages/* Ningunanone Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action
Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action
Microsoft.Storage/storageAccounts/queueServices/queues/messages/* Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action
Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

Nota

Si un usuario tiene asignado un rol que excluye una operación de datos en NotDataActions y se le asigna un segundo rol que sí que concede acceso a esa operación de datos, el usuario puede realizar dicha operación de datos.If a user is assigned a role that excludes a data operation in NotDataActions, and is assigned a second role that grants access to the same data operation, the user is allowed to perform that data operation. NotDataActions no es una regla de denegación, es simplemente una manera cómoda de crear un conjunto de operaciones de datos permitidas cuando es necesario excluir operaciones de datos específicas.NotDataActions is not a deny rule – it is simply a convenient way to create a set of allowed data operations when specific data operations need to be excluded.

Ámbitos asignablesAssignableScopes

La propiedad AssignableScopes especifica los ámbitos (grupos de administración, suscripciones o grupos de recursos) en los que la definición de rol está disponible.The AssignableScopes property specifies the scopes (management groups, subscriptions, or resource groups) that have this role definition available. Puede hacer que el rol esté disponible para su asignación solo en los grupos de administración, las suscripciones o los grupos de recursos que lo necesiten.You can make the role available for assignment in only the management groups, subscriptions, or resource groups that require it. Hay que usar al menos un grupo de administración, una suscripción o un grupo de recursos.You must use at least one management group, subscription, or resource group.

Los roles integrados tienen AssignableScopes establecido en el ámbito raíz ("/").Built-in roles have AssignableScopes set to the root scope ("/"). El ámbito raíz indica que el rol está disponible para la asignación en todos los ámbitos.The root scope indicates that the role is available for assignment in all scopes. Ejemplos de ámbitos asignables válidos son:Examples of valid assignable scopes include:

Rol disponible para su asignaciónRole is available for assignment EjemploExample
Una suscripciónOne subscription "/subscriptions/{subscriptionId1}"
Dos suscripcionesTwo subscriptions "/subscriptions/{subscriptionId1}", "/subscriptions/{subscriptionId2}"
Grupo de recursos de redNetwork resource group "/subscriptions/{subscriptionId1}/resourceGroups/Network"
Un grupo de administraciónOne management group "/providers/Microsoft.Management/managementGroups/{groupId1}"
Grupo de administración y suscripciónManagement group and a subscription "/providers/Microsoft.Management/managementGroups/{groupId1}", /subscriptions/{subscriptionId1}",
Todos los ámbitos (se aplica solo a los roles integrados)All scopes (applies only to built-in roles) "/"

Para más información acerca de AssignableScopes para roles personalizados, consulte Roles personalizados en los recursos de Azure.For information about AssignableScopes for custom roles, see Azure custom roles.

Pasos siguientesNext steps