Control de acceso basado en roles de Azure en Azure Lab Services
Importante
Azure Lab Services se retirará el 28 de junio de 2027. Para más información, vea la guía de retirada.
Azure Lab Services proporciona control de acceso basado en roles de Azure integrado (RBAC de Azure) para escenarios de administración comunes en Azure Lab Services. Una persona que tiene un perfil en Microsoft Entra ID puede asignar estos roles de Azure a usuarios, grupos, entidades de servicio o identidades administradas para conceder o denegar el acceso a recursos y operaciones en los recursos de Azure Lab Services. En este artículo se describen los distintos roles integrados que admite Azure Lab Services.
El control de acceso basado en rol (RBAC) de Azure es un sistema de autorización basado en Azure Resource Manager que proporciona administración de acceso específico a los recursos de Azure.
El RBAC de Azure especifica definiciones de roles integradas que describen los permisos que se van a aplicar. Asigna un usuario o agrupa esta definición de rol a través de una asignación de roles para un ámbito determinado. El ámbito puede ser un recurso individual, un grupo de recursos o toda la suscripción. En la sección siguiente, aprenderá cuáles roles integrados admite Azure Lab Services.
Para obtener más información, consulte ¿Qué es el control de acceso basado en roles (RBAC) de Azure?
Nota:
Al realizar cambios en la asignación de roles, estas actualizaciones pueden tardar unos minutos en propagarse.
Roles integrados
En este artículo, los roles integrados de Azure se agrupan lógicamente en dos tipos de roles, en función de su ámbito de influencia:
- Roles de administrador: influencia en los permisos de los planes de laboratorio y los laboratorios
- Roles de administración de laboratorio: influencia en los permisos de los laboratorios
A continuación se muestran los roles integrados compatibles con Azure Lab Services:
| Tipo de rol | Rol integrado | Descripción |
|---|---|---|
| Administrador | Propietario | Concede control total para crear o administrar planes de laboratorio y laboratorios y conceder permisos a otros usuarios. Obtenga más información sobre el rol Propietario. |
| Administrador | Colaborador | Concede control total para crear o administrar planes de laboratorio y laboratorios, excepto para asignar roles a otros usuarios. Obtenga más información sobre el rol Colaborador. |
| Administrador | Colaborador de Lab Services | Concede los mismos permisos que el rol Propietario, excepto para asignar roles. Obtenga más información sobre el rol Colaborador de Lab Services. |
| Administración de laboratorio | Creador de laboratorio | Concede permiso para crear laboratorios y tener control total sobre los laboratorios que creen. Obtenga más información sobre el rol Creador de laboratorios. |
| Administración de laboratorio | Colaborador de laboratorio | Concede permiso para ayudar a administrar un laboratorio existente, pero no crear nuevos laboratorios. Obtenga más información sobre el rol Colaborador de laboratorio. |
| Administración de laboratorio | Asistente de laboratorio | Concede permiso para ver un laboratorio existente. También puede iniciar, detener o cambiar la imagen de cualquier máquina virtual del laboratorio. Obtenga más información sobre el rol Asistente de laboratorio. |
| Administración de laboratorio | Lector de Lab Services | Concede permiso para ver los laboratorios existentes. Obtenga más información sobre el rol lector de Lab Services. |
Ámbito de asignación de roles
En el RBAC de Azure, ámbito es el conjunto de recursos a los que se aplica el acceso. Al asignar un rol, es importante comprender el ámbito para conceder solo el acceso necesario.
En Azure, puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos y recurso. Los ámbitos se estructuran en una relación de elementos primarios y secundarios. Cada nivel de jerarquía hace que el ámbito sea más específico. Puede asignar roles en cualquiera de estos niveles de ámbito. El nivel que seleccione determina el grado de amplitud con que se aplica el rol. Los niveles inferiores heredan los permisos de rol de los niveles superiores. Obtenga más información sobre el ámbito de Azure RBAC.
Para Azure Lab Services, tenga en cuenta los siguientes ámbitos:
| Ámbito | Descripción |
|---|---|
| Suscripción | Se usa para administrar la facturación y la seguridad de todos los recursos y servicios de Azure. Normalmente, solo los administradores tienen acceso de nivel de suscripción porque esta asignación de roles concede acceso a todos los recursos de la suscripción. |
| Resource group | Un contenedor lógico para agrupar recursos. La asignación de roles para el grupo de recursos concede permiso al grupo de recursos y a todos los recursos que contiene, como laboratorios y planes de laboratorio. |
| Plan de laboratorio | Un recurso de Azure que se usa para aplicar opciones de configuración comunes al crear un laboratorio. La asignación de roles para el plan de laboratorio concede permiso solo a un plan de laboratorio específico. |
| Laboratorio | Un recurso de Azure que se usa para aplicar opciones de configuración comunes para crear y ejecutar máquinas virtuales de laboratorio. La asignación de roles para el laboratorio concede permiso solo a un laboratorio específico. |
Importante
En Azure Lab Services, los planes de laboratorio y los laboratorios son recursos del mismo nivel. Como resultado, los laboratorios no heredan ninguna asignación de roles del plan de laboratorio. Sin embargo, los planes de laboratorio y los laboratorios de ese grupo de recursos heredan las asignaciones de roles del grupo de recursos.
Roles para actividades comunes de laboratorio
En la tabla siguiente se muestran las actividades de laboratorio comunes y el rol necesario para que un usuario realice esa actividad.
| Actividad | Tipo de rol | Role | Ámbito |
|---|---|---|---|
| Concede permiso para crear un grupo de recursos. Un grupo de recursos es un contenedor lógico en Azure para contener los planes de laboratorio y los laboratorios. Antes de poder crear un plan de laboratorio o un laboratorio, este grupo de recursos debe existir. | Administrador | Propietario o Colaborador | Subscription |
| Concede permiso para enviar una incidencia de soporte técnico de Microsoft, incluida la capacidad de solicitud. | Administrador | Propietario, Colaborador, Colaborador de solicitud de soporte técnico | Subscription |
| Concede permiso para: - Asignar roles a otros usuarios. - Crear o administrar planes de laboratorio, laboratorios y otros recursos dentro del grupo de recursos. - Habilitar o deshabilitar marketplace e imágenes personalizadas en un plan de laboratorio. - Asociar o desasociar la galería de procesos en un plan de laboratorio. |
Administrador | Propietario | Resource group |
| Concede permiso para: - Crear o administrar planes de laboratorio, laboratorios y otros recursos dentro del grupo de recursos. - Habilitar o deshabilitar Azure Marketplace e imágenes personalizadas en un plan de laboratorio. Sin embargo, no se concede la capacidad de asignar roles a otros usuarios. |
Administrador | Colaborador | Resource group |
| Concede permiso para crear o administrar sus propios laboratorios para todos los planes de laboratorio dentro de un grupo de recursos. | Administración de laboratorio | Creador de laboratorio | Resource group |
| Concede permiso para crear o administrar sus propios laboratorios para un plan de laboratorio específico. | Administración de laboratorio | Creador de laboratorio | Plan de laboratorio |
| Concede permiso para administrar conjuntamente un laboratorio, pero no la capacidad de crear laboratorios. | Administración de laboratorio | Colaborador de laboratorio | Laboratorio |
| Concede permiso solo para iniciar, detener o volver a crear imágenes de máquinas virtuales para todos los laboratorios dentro de un grupo de recursos. | Administración de laboratorio | Asistente de laboratorio | Resource group |
| Concede permiso solo para iniciar, detener o volver a crear imágenes virtuales para un laboratorio específico. | Administración de laboratorio | Asistente de laboratorio | Laboratorio |
Importante
Una suscripción de la organización se usa para administrar la facturación y la seguridad de todos los recursos y servicios de Azure. Puede asignar el rol Propietario o Colaborador en la suscripción. Normalmente, solo los administradores tienen acceso de nivel de suscripción porque esto incluye acceso completo a todos los recursos de la suscripción.
Roles de administrador
Para conceder a los usuarios permiso para administrar Azure Lab Services dentro de la suscripción de la organización’, debe asignarles el rol dePropietario,Colaboradoro Colaborador de Lab Services.
Asigne estos roles en el grupo de recursos. Los planes de laboratorio y los laboratorios del grupo de recursos heredan estas asignaciones de roles.
En la tabla siguiente se comparan los distintos roles de administrador cuando se asignan en el grupo de recursos.
| Plan de laboratorio/Laboratorio | Actividad | Propietario | Colaborador | Colaborador de Lab Services |
|---|---|---|---|---|
| Plan de laboratorio | Ver todos los planes de laboratorio en el grupo de recursos | Sí | Sí | Sí |
| Plan de laboratorio | Crear, cambiar o eliminar todos los planes de laboratorio del grupo de recursos | Sí | Sí | Sí |
| Plan de laboratorio | Asignación de roles a planes de laboratorio dentro del grupo de recursos | Sí | No | No |
| Laboratorio | Crear laboratorios en el grupo de recursos** | Sí | Sí | Sí |
| Laboratorio | Ver otros laboratorios de usuarios en el grupo de recursos | Sí | Sí | Sí |
| Laboratorio | Cambiar o eliminar otros laboratorios de usuarios dentro del grupo de recursos | Sí | Sí | No |
| Laboratorio | Asignar roles a otros laboratorios de usuarios dentro del grupo de recursos | Sí | No | No |
** A los usuarios se les concede permiso para ver, cambiar la configuración, eliminar y asignar roles para los laboratorios que crean.
Rol de propietario
Asigne el rol Propietario para conceder a un usuario control total para crear o administrar planes de laboratorio y laboratorios y conceder permisos a otros usuarios. Cuando un usuario tiene el rol Propietario en el grupo de recursos, puede realizar las siguientes actividades en todos los recursos del grupo de recursos:
- Asigne roles a los administradores para que puedan administrar recursos relacionados con el laboratorio.
- Asigne roles a los administradores de laboratorio para que puedan crear y administrar laboratorios.
- Cree planes de laboratorio y laboratorios.
- Ver, eliminar y cambiar la configuración de todos los planes de laboratorio, incluida la asociación o desasociación de la galería de procesos y la habilitación o deshabilitación de Azure Marketplace e imágenes personalizadas en planes de laboratorio.
- Ver, eliminar y cambiar la configuración de todos los laboratorios.
Precaución
Al asignar el rol Propietario o Colaborador en el grupo de recursos, estos permisos también se aplican a los recursos no relacionados con el laboratorio que existen en el grupo de recursos. Por ejemplo, recursos como redes virtuales, cuentas de almacenamiento, galerías de proceso, etc.
Rol de colaborador
Asigne el rol Colaborador para proporcionar a un usuario control total para crear o administrar planes de laboratorio y laboratorios dentro de un grupo de recursos. El rol Colaborador tiene los mismos permisos que el rol Propietario, excepto para:
- Realización de asignaciones de roles
Rol colaborador de Lab Services
El rol Colaborador de Lab Services es el más restrictivo de los roles de administrador. Asigne el rol Colaborador de Lab Services para habilitar las mismas actividades que el rol Propietario, excepto para:
- Realización de asignaciones de roles
- Cambio o eliminación de otros laboratorios de usuarios
Nota:
El rol Colaborador de Lab Services no permite cambios en los recursos que no están relacionados con Azure Lab Services. Por otro lado, el rol Colaborador permite cambios en todos los recursos de Azure dentro del grupo de recursos.
Roles de administración de laboratorio
Use los siguientes roles para conceder permisos a los usuarios para crear y administrar laboratorios:
- Creador de laboratorio
- Colaborador de laboratorio
- Asistente de laboratorio
- Lector de Lab Services
Estos roles de administración de laboratorio solo conceden permiso para ver los planes de laboratorio. Estos roles no permiten crear, cambiar, eliminar ni asignar roles a planes de laboratorio. Además, los usuarios con estos roles no pueden asociar o desasociar una galería de proceso y habilitar o deshabilitar imágenes de máquina virtual.
Rol Creador de laboratorio
Asigne el rol Creador de laboratorio para conceder a un usuario permiso para crear laboratorios y tener control total sobre los laboratorios que cree. Por ejemplo, pueden cambiar la configuración de sus laboratorios, eliminar sus laboratorios e incluso conceder a otros usuarios permiso para sus laboratorios.
Asigne el rol Creador de laboratorio en el grupo de recursos o plan de laboratorio.
En la tabla siguiente se compara la asignación de roles de Creador de laboratorio para el grupo de recursos o el plan de laboratorio.
| Actividad | Resource group | Plan de laboratorio |
|---|---|---|
| Crear laboratorios en el grupo de recursos** | Sí | Sí |
| Ver laboratorios creados | Sí | Sí |
| Ver otros laboratorios de usuarios en el grupo de recursos | Sí | No |
| Cambiar o eliminar laboratorios creados por el usuario | Sí | Sí |
| Cambiar o eliminar otros laboratorios de usuarios dentro del grupo de recursos | No | No |
| Asignar roles a otros laboratorios de usuarios dentro del grupo de recursos | No | No |
** A los usuarios se les concede permiso para ver, cambiar la configuración, eliminar y asignar roles para los laboratorios que crean.
Rol Colaborador de laboratorio
Asigne el rol Colaborador de laboratorio para conceder a un usuario permiso para ayudar a administrar un laboratorio existente.
Asigne el rol Colaborador de laboratorio en el laboratorio.
Al asignar el rol Colaborador de laboratorio en el laboratorio, el usuario puede administrar el laboratorio asignado. En concreto, el usuario:
- Puede ver, cambiar toda la configuración o eliminar el laboratorio asignado.
- El usuario no puede ver otros laboratorios de usuarios.
- No puede crear nuevos laboratorios.
Rol Asistente de laboratorio
Asigne el rol Asistente de laboratorio para conceder a un usuario permiso para ver un laboratorio e iniciar, detener y volver a crear imágenes de máquinas virtuales del laboratorio.
Asigne el rol Asistente para laboratorio en el grupo de recursos o laboratorio.
Al asignar el rol Asistente de laboratorio en el grupo de recursos, el usuario:
- Puede ver todos los laboratorios del grupo de recursos e iniciar, detener o cambiar la imagen de las máquinas virtuales de laboratorio para cada laboratorio.
- No puede eliminar ni realizar ningún otro cambio en los laboratorios.
Al asignar el rol Asistente de laboratorio en el laboratorio, el usuario:
- Puede ver el laboratorio asignado e iniciar, detener o volver a crear imágenes de máquinas virtuales de laboratorio.
- No puede eliminar ni realizar ningún otro cambio en el laboratorio.
- No puede crear nuevos laboratorios.
Cuando tenga el rol Asistente de laboratorio, para ver otros laboratorios a los que tiene acceso, asegúrese de elegir el filtro Todos los laboratorios en el sitio web de Azure Lab Services.
Rol Lector de Lab Services
Asigne el rol Lector de Lab Services para conceder a un usuario permisos ver laboratorios existentes. El usuario no puede realizar ningún cambio en los laboratorios existentes.
Asigne el rol Lector de Lab Services en el grupo de recursos o laboratorio.
Al asignar el rol Lector de Lab Services en el grupo de recursos, el usuario puede hacer lo siguiente:
- Vea todos los laboratorios del grupo de recursos.
Al asignar el rol Lector de Lab Services en el laboratorio, el usuario puede hacer lo siguiente:
- Ver solo el laboratorio específico.
Administración de identidad y acceso (IAM)
La página Control de acceso (IAM) del Azure Portal se usa para configurar el control de acceso basado en roles de Azure en los recursos de Azure Lab Services. Puede usar roles integrados para usuarios y grupos en Active Directory. En la captura de pantalla siguiente se muestra la integración de Active Directory (Azure RBAC) con control de acceso (IAM) en Azure Portal:
Para acceder a los pasos detallados, vea Asignación de roles de Azure mediante Azure Portal.
Estructura del grupo de recursos y del plan de laboratorio
Su organización debe invertir tiempo por adelantado para planear la estructura de los grupos de recursos y los planes de laboratorio. Esto es especialmente importante cuando se asignan roles en el grupo de recursos porque también se aplican permisos a todos los recursos del grupo de recursos.
Para asegurarse de que a los usuarios solo se les concede permiso para los recursos adecuados:
Cree grupos de recursos que solo contengan recursos relacionados con el laboratorio.
Organice los planes de laboratorio y los laboratorios en grupos de recursos independientes según los usuarios que deben tener acceso.
Por ejemplo, puede crear grupos de recursos independientes para distintos departamentos para aislar los recursos de laboratorio de cada departamento. A los creadores de laboratorio de un departamento se les pueden conceder permisos en el grupo de recursos, lo que solo les concede acceso a los recursos de laboratorio de su departamento.
Importante
Planee el grupo de recursos y la estructura del plan de laboratorio por adelantado porque no es posible mover planes de laboratorio o laboratorios a otro grupo de recursos después de crearlos.
Acceso a varios grupos de recursos
Puede conceder a los usuarios acceso a varios grupos de recursos. En el sitio web de Azure Lab Services, el usuario puede elegir entre la lista de grupos de recursos para ver sus laboratorios.
Acceso a varios planes de laboratorio
Puede conceder a los usuarios acceso a varios planes de laboratorio. Por ejemplo, al asignar el rol Creador de laboratorio a un usuario de un grupo de recursos que contenga más de un plan de laboratorio. Después, el usuario puede elegir entre la lista de planes de laboratorio al crear un nuevo laboratorio.
