Etapas de implementación de un plano técnico

Importante

El 11 de julio de 2026, Blueprints (versión preliminar) quedará en desuso. Migre las definiciones y asignaciones de planos técnicos existentes a Especificaciones de plantilla y Pilas de implementación. Los artefactos de plano técnico se convertirán en plantillas JSON de ARM o archivos de Bicep que se usan para definir pilas de implementación. Para obtener información sobre cómo crear un artefacto como un recurso de ARM, consulte:

Cuando se implementa un plano técnico, el servicio de Azure Blueprints lleva a cabo una serie de acciones para implementar los recursos definidos en el plano. En este artículo se proporcionan detalles sobre lo que implica cada paso.

La implementación del plano técnico se desencadena mediante la asignación de un plano a una suscripción o la actualización de una asignación existente. Durante la implementación, Azure Blueprints realiza los siguientes pasos generales:

  • Concesión a Azure Blueprints de derechos de propietario
  • Creación del objeto de asignación del plano técnico
  • Opcional: Azure Blueprints crea la identidad administrada asignada por el sistema
  • Implementación de artefactos del plano técnico por la identidad administrada
  • Revocación de derechos de la identidad administrada asignada por el sistema y del servicio Azure Blueprints

Concesión a Azure Blueprints de derechos de propietario

Cuando se usa una identidad administrada asignada por el sistema, a la entidad de servicio de Azure Blueprints se le conceden derechos de propietario en la suscripción o suscripciones asignadas. El rol concedido permite a Azure Blueprints crear y revocar después la identidad administrada asignada por el sistema. Si usa una identidad administrada asignada por el usuario, la entidad de servicio de Azure Blueprints no obtiene y no necesita derechos de propietario sobre la suscripción.

Los derechos se conceden automáticamente si la asignación se realiza a través del portal. Sin embargo, si la asignación se realiza a través de la API REST, la concesión de derechos debe hacerse con una llamada API independiente. El valor de AppId de Azure Blueprints es f71766dc-90d9-4b7d-bd9d-4499c4331c3f, pero la entidad de servicio varía según el inquilino. Use la Graph API de Azure Active Directory y el punto de conexión REST servicePrincipals para obtener la entidad de servicio. Después, conceda a Azure Blueprints el rol Propietario a través del Portal, la CLI de Azure, Azure PowerShell, la API REST o una plantilla de Azure Resource Manager.

El servicio Azure Blueprints no implementa directamente los recursos.

Creación del objeto de asignación del plano técnico

Un usuario, grupo o entidad de servicio asigna un plano técnico a una suscripción. El objeto de asignación existe en el nivel de suscripción donde se asignó el plano técnico. Los recursos creados por la implementación no se generan en el contexto de la entidad de implementación.

Al crear la asignación del plano técnico, se selecciona el tipo de identidad administrada. El valor predeterminado es una identidad administrada asignada por el sistema. Se puede elegir una identidad administrada asignada por el usuario. Cuando se usa una identidad administrada asignada por el usuario, deben definirse y concederse los permisos antes de la creación de la asignación del plano técnico. Los roles integrados de Propietario y Operador de Azure Blueprints tienen el permiso blueprintAssignment/write necesario para crear una asignación que utilice una identidad administrada asignada por el usuario.

Opcional: Azure Blueprints crea la identidad administrada asignada por el sistema

Cuando se selecciona identidad administrada asignada por el sistema durante la asignación, Azure Blueprints crea la identidad y concede a la identidad administrada el rol de propietario. Si se actualiza una asignación existente, Azure Blueprints utiliza la identidad administrada creada anteriormente.

La identidad administrada relacionada con la asignación del plano técnico se usa para implementar o volver a implementar los recursos definidos en el plano técnico. Este diseño evita que las asignaciones interfieran de forma inadvertida entre sí. Este diseño también admite la característica del bloqueo de recursos mediante el control de la seguridad de cada recurso implementado desde el plano técnico.

Implementación de artefactos del plano técnico por la identidad administrada

La identidad administrada, a continuación, desencadena las implementaciones de Resource Manager de los artefactos en el plano en el orden secuenciación definido. El orden se puede ajustar para garantizar que los artefactos dependientes de otros artefactos se implementan en el orden correcto.

Un error de acceso de una implementación suele ser el resultado del nivel de acceso concedido a la identidad administrada. El servicio Azure Blueprints administra el ciclo de vida de la seguridad de la identidad administrada asignada por el sistema. Sin embargo, el usuario es responsable de administrar los derechos y el ciclo de vida de una identidad administrada asignada por el usuario.

Revocación de derechos de identidad administrada asignada por el sistema y del servicio Blueprints

Una vez que se completan las implementaciones, Azure Blueprints revoca los derechos de la identidad administrada asignada por el sistema de la suscripción. A continuación, el servicio Azure Blueprints revoca sus derechos de la suscripción. La eliminación de derechos evita que Azure Blueprints se convierta en un propietario permanente en una suscripción.

Pasos siguientes