Autorización de Microsoft Entra: referencia de la API REST

  • Artículo

Cuando se usa la autenticación de Microsoft Entra, la autorización se controla mediante el control de acceso basado en roles (RBAC). RBAC exige que se asignen roles los usuarios a los efectos de conceder acceso a los recursos. Cada rol contiene un conjunto de acciones que los usuarios asignados al rol pueden realizar.

Roles

Los roles siguientes están disponibles en las suscripciones de Azure de manera predeterminada:

  • Propietario de los datos de Azure App Configuration: este rol proporciona acceso completo a todas las operaciones. Permite realizar las siguientes acciones:
    • Microsoft.AppConfiguration/configurationStores/*/read
    • Microsoft.AppConfiguration/configurationStores/*/write
    • Microsoft.AppConfiguration/configurationStores/*/delete
    • Microsoft.AppConfiguration/configurationStores/*/action
  • Lector de los datos de Azure App Configuration: este rol permite operaciones de lectura. Permite realizar las siguientes acciones:
    • Microsoft.AppConfiguration/configurationStores/*/read

Acciones

Los roles contienen una lista de las acciones que pueden realizar los usuarios asignados a ese rol. Azure App Configuration admite las siguientes acciones:

  • Microsoft.AppConfiguration/configurationStores/keyValues/read: esta acción permite el acceso de lectura a recursos de clave y valor de App Configuration, como /kv y /labels.
  • Microsoft.AppConfiguration/configurationStores/keyValues/write: esta acción permite el acceso de escritura a recursos de clave y valor de App Configuration.
  • Microsoft.AppConfiguration/configurationStores/keyValues/delete: esta acción permite que se eliminen recursos de clave y valor de App Configuration. Tenga en cuenta que, al eliminar un recurso, se devuelven el valor y la clave que se han eliminado.
  • Microsoft.AppConfiguration/configurationStores/snapshots/read: esta acción permite el acceso de lectura a recursos de instantánea de App Configuration, así como a los valores de clave contenidos en las instantáneas.
  • Microsoft.AppConfiguration/configurationStores/snapshots/write: esta acción permite el acceso de escritura a recursos de instantánea de App Configuration.
  • Microsoft.AppConfiguration/configurationStores/snapshots/archive/action: esta acción permite el acceso a los recursos de instantánea de archivo y recuperación de App Configuration.

Error

HTTP/1.1 403 Forbidden

Motivo: La entidad de seguridad que realiza la solicitud no tiene los permisos necesarios para llevar a cabo la operación solicitada. Solución: asigne el rol necesario para realizar la operación solicitada a la entidad de seguridad que lleva a cabo la solicitud.

Administración de asignaciones de roles

Puede administrar las asignaciones de roles mediante procedimientos de Azure RBAC que son estándar en todos los servicios de Azure. Puede hacerlo a través de la CLI de Azure, PowerShell y Azure Portal. Para más información, consulte Asignación de roles de Azure mediante Azure Portal.