Administración del acceso a los recursos de Azure Stack Hub con control de acceso basado en rol
Azure Stack Hub admite el control de acceso basado en rol (RBAC), que es el mismo modelo de seguridad para la administración de acceso que usa Microsoft Azure. Puede usar RBAC para administrar el acceso de usuarios, grupos o aplicaciones a las suscripciones, los recursos y los servicios.
Aspectos básicos de la administración de acceso
El control de acceso basado en rol proporciona control de acceso muy detallado que puede usar para proteger su entorno. Se conceden a los usuarios los permisos exactos que necesitan mediante la asignación de un rol RBAC en un ámbito determinado. El ámbito de la asignación de roles puede ser una suscripción, un grupo de recursos o un único recurso. Consulte el artículo Control de acceso basado en rol en Azure Portal para obtener información más detallada sobre la administración del acceso.
Nota
Si Azure Stack Hub se implementa mediante Servicios de federación de Active Directory (AD FS) como proveedor de identidades, solo se admiten grupos universales en los escenarios de RBAC.
Roles integrados
Azure Stack Hub cuenta con tres roles básicos que se pueden aplicar a todos los tipos de recursos:
- Propietario: concede acceso completo para administrar todos los recursos, incluida la capacidad de asignar roles en RBAC de Azure Stack.
- Colaborador: concede acceso completo para administrar todos los recursos, pero no permite asignar roles en RBAC de Azure Stack.
- Lector: puede ver todo, pero no puede realizar cambios.
Jerarquía y herencia de recursos
Azure Stack Hub tiene la siguiente jerarquía de recursos:
- Cada suscripción pertenece a un directorio.
- Cada grupo de recursos pertenece a una suscripción.
- Cada recurso pertenece a un grupo de recursos.
El acceso que se concede en un ámbito principal se hereda en los ámbitos secundarios. Por ejemplo:
- Asigne el rol Lector a un grupo de Microsoft Entra en el ámbito de la suscripción. Los miembros de ese grupo pueden ver todos los grupos de recursos y los recursos de la suscripción.
- Asigne el rol Colaborador a una aplicación en el ámbito del grupo de recursos. La aplicación puede administrar recursos de todo tipo de ese grupo de recursos, pero no de otros grupos de recursos de la suscripción.
Asignación de roles
Puede asignar más de un rol a un usuario y cada rol puede estar asociado con un ámbito diferente. Por ejemplo:
- Asigne a TestUser-A el rol Lector en Subscription-1.
- Asigne a TestUser-A el rol Propietario en TestVM-1.
En el artículo sobre asignaciones de roles de Azure, se proporciona información detallada sobre cómo ver, asignar y eliminar roles.
Establecimiento de los permisos de acceso de un usuario
Los siguientes pasos describen cómo configurar permisos para un usuario.
Inicie sesión con una cuenta que tenga permisos de propietario en el recurso que desea administrar.
En el panel de la izquierda, seleccione Grupos de recursos.
Elija el nombre del grupo de recursos en el que quiera establecer los permisos.
En el panel de navegación del grupo de recursos, elija Control de acceso (IAM).
En la vista Asignaciones de roles, se muestran los elementos que tienen acceso al grupo de recursos. Puede filtrar y agrupar los resultados.En la barra de menús Control de acceso, elija Agregar.
En el panel Agregar permisos:
- Elija el rol que quiera asignar de la lista desplegable Rol.
- Elija el recurso que quiera asignar de la lista desplegable Asignar acceso a.
- Seleccione el usuario, el grupo o la aplicación del directorio al que quiere conceder acceso. Puede buscar en el directorio con los nombres para mostrar, direcciones de correo electrónico e identificadores de objeto.
Seleccione Guardar.