Compartir a través de


Administración de identidades administradas asignadas por el usuario

Las identidades administradas para los recursos de Azure eliminan la necesidad de administrar las credenciales en el código. Puede usarlos para obtener un token de Microsoft Entra para las aplicaciones. Las aplicaciones pueden utilizar el token cuando accedan a recursos que soporten la autenticación Microsoft Entra. Azure administra la identidad para que usted no tenga que hacerlo.

Hay dos tipos de identidades administradas: asignadas por el sistema y asignadas por el usuario. Las identidades administradas asignadas por el sistema tienen su ciclo de vida vinculado al recurso que las creó. Esta identidad está restringida a un único recurso y puede conceder permisos a la identidad administrada mediante el control de acceso basado en roles (RBAC) de Azure. Las identidades administradas asignadas por el usuario se pueden usar en varios recursos. Para obtener más información sobre las identidades administradas, consulte ¿Qué son las identidades administradas para los recursos de Azure?.

En este artículo obtendrá información sobre cómo usar Azure Portal para crear y eliminar una identidad administrada asignada por el usuario, obtener una lista de sus identidades, y concederles un rol.

Requisitos previos

Crear una identidad administrada asignada por el usuario

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda, escriba Identidades administradas. En Servicios, seleccione Identidades administradas.

  3. Seleccione Agregar y escriba valores en los siguientes cuadros del panel Crear identidad administrada asignada por el usuario:

    • Suscripción: elija la suscripción donde crear la identidad administrada asignada por el usuario.
    • Grupo de recursos: elija un grupo de recursos en el que crear la identidad administrada asignada por el usuario, o bien seleccione Crear nuevo para crear un grupo.
    • Región: elija una región para implementar la identidad administrada asignada por el usuario, por ejemplo, Oeste de EE. UU.
    • Nombre: especifique el nombre de la identidad administrada asignada por el usuario, por ejemplo, "UAI1".

    Importante

    Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

    Captura de pantalla en la que se muestra el panel

  4. Seleccione Revisar y crear para revisar los cambios.

  5. Seleccione Crear.

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que su cuenta tenga las asignaciones de roles Operador de identidades administradas o Colaborador de identidades administradas.

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda, escriba Identidades administradas. En Servicios, seleccione Identidades administradas.

  3. Se devuelve una lista de las identidades administradas asignadas por el usuario de la suscripción. Para ver los detalles de una identidad administrada asignada por el usuario, seleccione el nombre.

  4. Ahora puede ver los detalles de la identidad administrada, como se muestra en la imagen.

    Captura de pantalla en la que se muestra la lista de identidades administradas asignadas por el usuario

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Al eliminar una identidad asignada por el usuario, no se elimina de ninguna VM ni ningún recurso a los que estuviera asignada. Para eliminar la identidad asignada por el usuario de una VM, consulte Eliminación de una identidad administrada asignada por el usuario de una VM.

  1. Inicie sesión en Azure Portal.

  2. Seleccione la identidad administrada asignada por el usuario y haga clic en Eliminar.

  3. En el cuadro de confirmación, seleccione .

    Captura de pantalla en la que se muestra la eliminación de identidades administradas asignadas por el usuario

Administración del acceso a identidades administradas asignadas por el usuario

En algunos entornos, los administradores deciden limitar quién puede administrar identidades administradas asignadas por los usuarios. Los administradores pueden implementar esta limitación mediante roles RBAC integrados. Puede usar estos roles para conceder a un usuario o grupo de su organización derechos sobre una identidad administrada asignada por un usuario.

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda, escriba Identidades administradas. En Servicios, seleccione Identidades administradas.

  3. Se devuelve una lista de las identidades administradas asignadas por el usuario de la suscripción. Seleccione la identidad administrada asignada por el usuario que desea administrar.

  4. Seleccione Access Control (IAM) .

  5. Seleccione Agregar asignación de roles.

    Captura de pantalla en la que se muestra el control de acceso de identidad administrada asignada por el usuario.

  6. En el panel Agregar asignación de roles, elija el rol que desea asignar y elija Siguiente.

  7. Elija quién debe tener asignado el rol.

Nota

Puede consultar información sobre la asignación de roles a identidades administradas en Asignación de roles de Azure a una identidad administrada (versión preliminar).

En este artículo obtendrá información sobre cómo usar la CLI de Azure para crear y eliminar una identidad administrada asignada por el usuario, obtener una lista de sus identidades, y concederles un rol.

Requisitos previos

Importante

Con el fin de modificar los permisos de usuario al usar una entidad de servicio de aplicación mediante la CLI, debe proporcionar más permisos a la entidad de servicio en Graph API de Azure Active Directory, ya que partes de la CLI realizan solicitudes GET a Graph API. De lo contrario, puede acabar recibiendo el mensaje "No tiene privilegios suficientes para completar la operación". Para realizar este paso, vaya al Registro de aplicaciones en Microsoft Entra ID, seleccione su aplicación, seleccione Permisos de API, y desplácese hacia abajo y seleccione Azure Active Directory Graph. Allí, seleccione Permisos de la aplicación y, a continuación, agregue los permisos correspondientes.

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Use el comando az identity create para crear una identidad administrada asignada por el usuario. El parámetro -g especifica el grupo de recursos donde se debe crear la identidad administrada asignada por el usuario. El parámetro -n especifica su nombre. Reemplace los valores de parámetro <RESOURCE GROUP> y <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que se asignen a su cuenta los roles Operador de identidades administradas o Colaborador de identidades administradas.

Para enumerar las identidades administradas asignadas por el usuario, use el comando az identity list. Reemplace el valor <RESOURCE GROUP> por su propio valor.

az identity list -g <RESOURCE GROUP>

En la respuesta JSON, las identidades administradas asignadas por el usuario obtienen el valor "Microsoft.ManagedIdentity/userAssignedIdentities" para la clave type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para eliminar una identidad administrada asignada por el usuario, use el comando az identity delete. El parámetro -n especifica su nombre. El parámetro -g especifica el grupo de recursos donde se creó la identidad administrada asignada por el usuario. Reemplace los valores de parámetro <USER ASSIGNED IDENTITY NAME> y <RESOURCE GROUP> por sus propios valores.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Nota

Al eliminar una identidad administrada asignada por el usuario, no se eliminará la referencia de ningún recurso al que se haya asignado. Para eliminarlos de una máquina virtual o un conjunto de escalado de máquinas virtuales, use el comando az vm/vmss identity remove.

Pasos siguientes

Para obtener una lista completa de comandos de identidad de la CLI de Azure, consulte az identity.

Para obtener información sobre cómo asignar una identidad administrada asignada por el usuario a una VM de Azure, consulte Configuración de identidades administradas para recursos de Azure en una VM de Azure mediante la CLI de Azure.

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.

En este artículo obtendrá información sobre cómo usar PowerShell para crear y eliminar una identidad administrada asignada por el usuario, obtener una lista de sus identidades, y concederles un rol.

Requisitos previos

En este artículo obtendrá información sobre cómo usar PowerShell para crear y eliminar una identidad administrada asignada por el usuario, y obtener una lista de sus identidades.

Configuración de Azure PowerShell de forma local

Para usar Azure PowerShell localmente con este artículo en lugar de usar Cloud Shell:

  1. Instale la versión más reciente de Azure PowerShell si aún no lo ha hecho.

  2. Inicie sesión en Azure.

    Connect-AzAccount
    
  3. Instalar la versión más reciente de PowerShellGet.

    Install-Module -Name PowerShellGet -AllowPrerelease
    

    Es posible que necesite Exit fuera de la sesión de PowerShell actual después de ejecutar este comando para el siguiente paso.

  4. Instale la versión preliminar del módulo Az.ManagedServiceIdentity con el fin de realizar las operaciones con identidades administradas asignadas por el usuario que se indican en este artículo.

    Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
    

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para crear una identidad administrada asignada por el usuario, use el comando New-AzUserAssignedIdentity. El parámetro ResourceGroupName especifica el grupo de recursos donde se debe crear la identidad administrada asignada por el usuario. El parámetro -Name especifica su nombre. Reemplace los valores de parámetro <RESOURCE GROUP> y <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que se asignen a su cuenta los roles Operador de identidades administradas o Colaborador de identidades administradas.

Para enumerar las identidades administradas asignadas por el usuario, use el comando [Get-AzUserAssigned]. El parámetro -ResourceGroupName especifica el grupo de recursos donde se creó la identidad administrada asignada por el usuario. Reemplace el valor <RESOURCE GROUP> por su propio valor.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

En la respuesta, las identidades administradas asignadas por el usuario obtienen el valor "Microsoft.ManagedIdentity/userAssignedIdentities" para la clave Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para eliminar una identidad administrada asignada por el usuario, use el comando Remove-AzUserAssignedIdentity. El parámetro -ResourceGroupName especifica el grupo de recursos donde se creó la identidad asignada por el usuario. El parámetro -Name especifica su nombre. Reemplace los valores de parámetro <RESOURCE GROUP> y <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Nota

Al eliminar una identidad administrada asignada por el usuario, no se eliminará la referencia de ningún recurso al que se haya asignado. Las asignaciones de identidad deben eliminarse por separado.

Pasos siguientes

Para obtener una lista completa y más detalles sobre las identidades administradas de Azure PowerShell para los comandos de los recursos de Azure, consulte Az.ManagedServiceIdentity.

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.

En este artículo va a crear una identidad administrada asignada por el usuario mediante Azure Resource Manager.

Requisitos previos

No se puede visualizar ni eliminar una identidad administrada asignada por el usuario mediante una plantilla de Resource Manager. Consulte los artículos siguientes para crear y enumerar una identidad administrada asignada por el usuario:

Creación y edición de una plantilla

Las plantillas de Resource Manager le ayudan a implementar recursos nuevos o modificados definidos por un grupo de recursos de Azure. Hay disponibles varias opciones para editar e implementar plantillas, tanto locales como basadas en el portal. Puede:

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para crear una identidad administrada asignada por el usuario, use la siguiente plantilla. Reemplace el valor de <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Pasos siguientes

Para asignar una identidad administrada asignada por el usuario a una VM de Azure mediante una plantilla de Resource Manager, consulte Configuración de identidades administradas para recursos de Azure en una VM de Azure mediante una plantilla.

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.

En este artículo obtendrá información sobre cómo usar REST para crear y eliminar una identidad administrada asignada por el usuario, y obtener una lista de sus identidades.

Requisitos previos

En este artículo obtendrá información sobre cómo usar CURL para realizar llamadas API, con el fin de crear y eliminar una identidad administrada asignada por el usuario, y obtener una lista de sus identidades.

Obtención de un token de acceso de portador

  1. Si se ejecuta localmente, inicie sesión en Azure a través de la CLI.

    az login
    
  2. Para obtener un token de acceso, use az account get-access-token.

    az account get-access-token
    

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Encabezados de solicitud

Encabezado de solicitud Descripción
Content-Type Necesario. Establézcalo en application/json.
Autorización Necesario. Establézcalo en un token de acceso Bearer válido.

Cuerpo de la solicitud

Nombre Descripción
Location Necesario. Ubicación del recurso

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que se asignen a su cuenta los roles Operador de identidades administradas o Colaborador de identidades administradas.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"
GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1
Encabezado de solicitud Descripción
Content-Type Necesario. Establézcalo en application/json.
Autorización Necesario. Establézcalo en un token de acceso Bearer válido.

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Nota

Al eliminar una identidad administrada asignada por el usuario, no se eliminará la referencia de ningún recurso al que se haya asignado. Para eliminar una identidad administrada asignada por el usuario de una máquina virtual mediante CURL, consulte Eliminación de una identidad asignada por el usuario de una máquina virtual de Azure.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1
Encabezado de solicitud Descripción
Content-Type Necesario. Establézcalo en application/json.
Autorización Necesario. Establézcalo en un token de acceso Bearer válido.

Pasos siguientes

Para obtener información sobre cómo usar CURL para asignar una identidad administrada asignada por el usuario a una máquina virtual de Azure o un conjunto de escalado de máquinas virtuales, consulte los siguientes artículos:

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.