Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para definir roles personalizados que conceden permisos específicos a los usuarios, puede usar RBAC de Azure. En este artículo se incluye una lista de ejemplos que puede descargar y usar como referencia para compilar los roles personalizados.
Para más información sobre los roles personalizados en RBAC de Azure, consulte Roles personalizados de Azure.
Las operaciones de Azure IoT también ofrecen roles integrados diseñados para simplificar y proteger la administración del acceso para los recursos de Azure IoT Operations. Para más información, consulte Roles RBAC integrados para operaciones de IoT.
Ejemplos de roles personalizados
En las secciones siguientes se enumeran los roles personalizados de Azure IoT Operations de ejemplo que puede descargar y usar como referencia. Estos roles personalizados son archivos JSON que enumeran los permisos y el ámbito específicos del rol, que debe usar como punto de partida para crear sus propios roles personalizados.
Nota:
Los siguientes roles personalizados son solo ejemplos. Debe revisar y modificar los permisos de los archivos JSON para satisfacer sus requisitos específicos.
Roles de incorporación
Puede definir un rol de incorporación que conceda permisos suficientes a un usuario para completar el proceso de conexión de Azure Arc e implementar operaciones de Azure IoT de forma segura.
| Rol personalizado | Descripción |
|---|---|
| de incorporación | Se trata de un rol con privilegios. El usuario puede completar el proceso de conexión de Azure Arc e implementar azure IoT Operations de forma segura. |
Roles de visor
Puede definir distintos roles de Visor que concedan acceso de solo lectura a la instancia de Azure IoT Operations y sus recursos. Estos roles son útiles para los usuarios que necesitan supervisar la instancia sin realizar cambios.
| Rol personalizado | Descripción |
|---|---|
| Visor de instancias | Este rol permite al usuario ver la instancia de Azure IoT Operations. |
| Visor de recursos | Este rol permite al usuario ver los recursos en la instancia de Azure IoT Operations. |
| Visor de dispositivos | Este rol permite al usuario visualizar los dispositivos en la instancia de Azure IoT Operations. |
| Visor de flujo de datos | Este rol permite al usuario ver los flujos de datos en la instancia de Azure IoT Operations. |
| Visor de destino de flujo de datos | Este rol permite al usuario ver los destinos de flujo de datos en la instancia de Azure IoT Operations. |
| Visor de MQ | Este rol permite al usuario ver el agente MQTT en la instancia de Azure IoT Operations. |
| Visor | Este rol permite al usuario ver la instancia de Azure IoT Operations. Este rol es una combinación de los roles de visor de instancias, visor de activos, visor de dispositivos, visor de flujo de datos, visor de destino de flujo de datos y visor MQ . |
Roles de administrador
Puede definir distintos roles de administrador que concedan acceso total a la instancia de Azure IoT Operations y sus recursos. Estos roles son útiles para los usuarios que necesitan administrar la instancia y sus recursos.
| Rol personalizado | Descripción |
|---|---|
| Administrador de instancias | Se trata de un rol con privilegios. El usuario puede implementar una instancia. El rol incluye permisos para crear y actualizar instancias, agentes, autenticaciones, agentes, agentes de escucha, perfiles de flujo de datos, puntos de conexión de flujo de datos, registros de esquema y identidades asignadas por el usuario. El rol también incluye permiso para eliminar instancias. |
| Administrador de recursos | El usuario puede crear y administrar recursos en la instancia de Azure IoT Operations. |
| Administrador de dispositivos | El usuario puede crear y gestionar dispositivos en la instancia de Azure IoT Operations. |
| Administrador de flujo de datos | El usuario puede crear y administrar flujos de datos en la instancia de Azure IoT Operations. |
| Administrador de destino de flujo de datos | El usuario puede crear y administrar destinos de flujo de datos en la instancia de Azure IoT Operations. |
| Administrador de MQ | El usuario puede crear y administrar el agente MQTT en la instancia de Azure IoT Operations. |
| Administrador | Se trata de un rol con privilegios. El usuario puede crear y administrar la instancia de Azure IoT Operations. Este rol es una combinación de los roles de administrador de instancia, administrador de activos, administrador de dispositivos, administrador de flujo de datos, administrador de destino de flujo de datos y administrador MQ . |
Nota:
Los roles de administrador de puntos de conexión de activos y administrador de destino de flujo de datos tienen acceso a Azure Key Vault y a la página Administrar secretos en la interfaz de usuario web de la experiencia de operaciones. Sin embargo, incluso si estos roles personalizados se asignan en el nivel de suscripción, los usuarios solo pueden ver la lista de almacenes de claves del grupo de recursos específico. El acceso a los registros de esquema también está restringido al nivel de grupo de recursos.
Importante
Actualmente, la interfaz de usuario web de la experiencia de operaciones muestra un mensaje de error engañoso cuando un usuario intenta acceder a un recurso para el que no tiene permisos. El acceso al recurso se bloquea según lo previsto.
Creación de una definición de roles personalizada
Para preparar uno de los roles personalizados de ejemplo:
Descargue el archivo JSON para el rol personalizado que desea crear. El archivo JSON contiene la definición de roles, incluidos los permisos y el ámbito del rol.
Edite el archivo JSON para reemplazar el valor del marcador de posición en el campo por el
assignableScopesidentificador de suscripción. Guarde los cambios.
Para agregar el rol personalizado a la suscripción de Azure mediante Azure Portal:
Vaya a la suscripción en Azure Portal.
Seleccione Control de acceso (IAM).
Seleccione Agregar > rol personalizado.
Escriba un nombre, como Incorporación y una descripción para el rol.
Seleccione Iniciar desde JSON y, a continuación, seleccione el archivo JSON que descargó. El nombre y la descripción del rol personalizado se rellenan desde el archivo.
Opcionalmente, revise los permisos y los ámbitos asignables.
Para agregar el rol personalizado a la suscripción, seleccione Revisar y crear y , a continuación, Crear.
Configuración y uso de un rol personalizado
Después de crear los roles personalizados en la suscripción, puede asignarlos a usuarios, grupos o aplicaciones. Puede asignar roles en el nivel de suscripción o grupo de recursos. La asignación de roles en el nivel de un grupo de recursos permite el control más granular.
Para asignar el rol personalizado a un usuario en el nivel de grupo de recursos mediante Azure Portal:
Vaya al grupo de recursos en Azure Portal.
Seleccione Control de acceso (IAM).
Seleccione Agregar > Asignación de rol.
Busque y seleccione el rol personalizado que desea asignar. Seleccione Siguiente.
Seleccione el usuario o los usuarios a los que desea asignar el rol. Puede buscar usuarios por nombre o dirección de correo electrónico.
Seleccione Revisar y asignar para revisar la asignación de roles. Si todo se ve bien, seleccione Asignar.