Control de acceso basado en rol de Azure en Azure Lab Services
Azure Lab Services proporciona control de acceso basado en rol de Azure integrado (RBAC de Azure) para escenarios de administración comunes en Azure Lab Services. Una persona que tiene un perfil en el identificador de Entra de Microsoft puede asignar estos roles de Azure a usuarios, grupos, entidades de servicio o identidades administradas para conceder o denegar el acceso a recursos y operaciones en los recursos de Azure Lab Services. En este artículo se describen los distintos roles integrados que admite Azure Lab Services.
El control de acceso basado en rol (RBAC) de Azure es un sistema de autorización basado en Azure Resource Manager que proporciona administración de acceso específico a los recursos de Azure.
RBAC de Azure especifica definiciones de roles integradas que describen los permisos que se van a aplicar. Asigna un usuario o agrupa esta definición de rol a través de una asignación de roles para un ámbito determinado. El ámbito puede ser un recurso individual, un grupo de recursos o toda la suscripción. En la sección siguiente, aprenderá qué roles integrados admite Azure Lab Services.
Para obtener más información, consulte ¿Qué es el control de acceso basado en roles (RBAC) de Azure?
Nota:
Al realizar cambios en la asignación de roles, estas actualizaciones pueden tardar unos minutos en propagarse.
Roles integrados
En este artículo, los roles integrados de Azure se agrupan lógicamente en dos tipos de roles, en función de su ámbito de influencia:
- Administración rolesistrator: influencia de permisos para planes de laboratorio y laboratorios
- Roles de administración de laboratorio: influir en los permisos de los laboratorios
A continuación se muestran los roles integrados compatibles con Azure Lab Services:
| Tipo de rol | Rol integrado | Descripción |
|---|---|---|
| Administrador | Propietario | Conceda control total para crear o administrar planes de laboratorio y laboratorios y conceder permisos a otros usuarios. Obtenga más información sobre el rol Propietario. |
| Administrador | Colaborador | Conceda control total para crear o administrar planes de laboratorio y laboratorios, excepto para asignar roles a otros usuarios. Obtenga más información sobre el rol Colaborador. |
| Administrador | Colaborador de Lab Services | Conceda los mismos permisos que el rol Propietario, excepto para asignar roles. Obtenga más información sobre el rol Colaborador de Lab Services. |
| Administración de laboratorio | Creador de laboratorio | Conceda permiso para crear laboratorios y tener control total sobre los laboratorios que crean. Obtenga más información sobre el rol Creador de laboratorio. |
| Administración de laboratorio | Colaborador de laboratorio | Conceda permiso para ayudar a administrar un laboratorio existente, pero no crear nuevos laboratorios. Obtenga más información sobre el rol Colaborador del laboratorio. |
| Administración de laboratorio | Asistente de laboratorio | Conceda permiso para ver un laboratorio existente. También puede iniciar, detener o cambiar la imagen de cualquier máquina virtual del laboratorio. Obtenga más información sobre el rol Lab Assistant. |
| Administración de laboratorio | Lector de Lab Services | Conceda permiso para ver los laboratorios existentes. Obtenga más información sobre el rol Lector de Lab Services. |
Ámbito de asignación de roles
En RBAC de Azure, el ámbito es el conjunto de recursos a los que se aplica el acceso. Al asignar un rol, es importante comprender el ámbito para conceder solo el acceso necesario.
En Azure, puede especificar un ámbito en cuatro niveles: grupo de administración, suscripción, grupo de recursos y recurso. Los ámbitos se estructuran en una relación de elementos primarios y secundarios. Cada nivel de jerarquía hace que el ámbito sea más específico. Puede asignar roles en cualquiera de estos niveles de ámbito. El nivel que seleccione determina el grado de amplitud con que se aplica el rol. Los niveles inferiores heredan los permisos de rol de los niveles superiores. Obtenga más información sobre el ámbito de RBAC de Azure.
Para Azure Lab Services, tenga en cuenta los siguientes ámbitos:
| Ámbito | Descripción |
|---|---|
| Subscription | Se usa para administrar la facturación y la seguridad de todos los recursos y servicios de Azure. Normalmente, solo los administradores tienen acceso de nivel de suscripción porque esta asignación de roles concede acceso a todos los recursos de la suscripción. |
| Resource group | Un contenedor lógico para agrupar recursos. La asignación de roles para el grupo de recursos concede permiso al grupo de recursos y a todos los recursos que contiene, como laboratorios y planes de laboratorio. |
| Plan de laboratorio | Un recurso de Azure que se usa para aplicar opciones de configuración comunes al crear un laboratorio. La asignación de roles para el plan de laboratorio concede permiso solo a un plan de laboratorio específico. |
| Laboratorio | Un recurso de Azure que se usa para aplicar opciones de configuración comunes para crear y ejecutar máquinas virtuales de laboratorio. La asignación de roles para el laboratorio concede permiso solo a un laboratorio específico. |
Importante
En Azure Lab Services, los planes de laboratorio y los laboratorios son recursos relacionados entre sí. Como resultado, los laboratorios no heredan ninguna asignación de roles del plan de laboratorio. Sin embargo, los planes de laboratorio y los laboratorios de ese grupo de recursos heredan las asignaciones de roles del grupo de recursos.
Roles para actividades comunes de laboratorio
En la tabla siguiente se muestran las actividades de laboratorio comunes y el rol necesario para que un usuario realice esa actividad.
| Actividad | Tipo de rol | Role | Ámbito |
|---|---|---|---|
| Conceda permiso para crear un grupo de recursos. Un grupo de recursos es un contenedor lógico en Azure para contener los planes de laboratorio y los laboratorios. Para poder crear un plan de laboratorio o un laboratorio, este grupo de recursos debe existir. | Administrador | Propietario o Colaborador | Suscripción |
| Conceda permiso para enviar una incidencia de soporte técnico de Microsoft, incluida la capacidad de solicitud. | Administrador | Propietario, colaborador, colaborador de la solicitud de soporte técnico | Suscripción |
| Conceda permiso a: - Asignar roles a otros usuarios. - Crear o administrar planes de laboratorio, laboratorios y otros recursos dentro del grupo de recursos. - Habilitar o deshabilitar marketplace e imágenes personalizadas en un plan de laboratorio. - Asociación o desasociación de la galería de procesos en un plan de laboratorio. |
Administrador | Propietario | Resource group |
| Conceda permiso a: - Crear o administrar planes de laboratorio, laboratorios y otros recursos dentro del grupo de recursos. - Habilite o deshabilite Azure Marketplace e imágenes personalizadas en un plan de laboratorio. Sin embargo, no la capacidad de asignar roles a otros usuarios. |
Administrador | Colaborador | Resource group |
| Conceda permiso para crear o administrar sus propios laboratorios para todos los planes de laboratorio dentro de un grupo de recursos. | Administración de laboratorio | Creador de laboratorio | Resource group |
| Conceda permiso para crear o administrar sus propios laboratorios para un plan de laboratorio específico. | Administración de laboratorio | Creador de laboratorio | Plan de laboratorio |
| Conceda permiso para administrar conjuntamente un laboratorio, pero no la capacidad de crear laboratorios. | Administración de laboratorio | Colaborador de laboratorio | Laboratorio |
| Conceda permiso solo para iniciar, detener o volver a crear imágenes de máquinas virtuales para todos los laboratorios de un grupo de recursos. | Administración de laboratorio | Asistente de laboratorio | Resource group |
| Conceda permiso solo para iniciar, detener o volver a crear imágenes virtuales para un laboratorio específico. | Administración de laboratorio | Asistente de laboratorio | Laboratorio |
Importante
La suscripción de una organización se usa para administrar la facturación y la seguridad de todos los recursos y servicios de Azure. Puede asignar el rol Propietario o Colaborador en la suscripción. Normalmente, solo los administradores tienen acceso de nivel de suscripción porque esto incluye acceso completo a todos los recursos de la suscripción.
Roles de administrador
Para conceder a los usuarios permiso para administrar Azure Lab Services dentro de la suscripción de su organización, debe asignarles el rol Propietario, Colaborador o Colaborador de Lab Services.
Asigne estos roles en el grupo de recursos. Los planes de laboratorio y los laboratorios del grupo de recursos heredan estas asignaciones de roles.
En la tabla siguiente se comparan los distintos roles de administrador cuando se les asigna en el grupo de recursos.
| Plan de laboratorio/Laboratorio | Actividad | Propietario | Colaborador | Colaborador de Lab Services |
|---|---|---|---|---|
| Plan de laboratorio | Visualización de todos los planes de laboratorio en el grupo de recursos | Sí | Sí | Sí |
| Plan de laboratorio | Crear, cambiar o eliminar todos los planes de laboratorio del grupo de recursos | Sí | Sí | Sí |
| Plan de laboratorio | Asignación de roles a planes de laboratorio dentro del grupo de recursos | Sí | No | No |
| Laboratorio | Creación de laboratorios en el grupo de recursos** | Sí | Sí | Sí |
| Laboratorio | Visualización de los laboratorios de otros usuarios en el grupo de recursos | Sí | Sí | Sí |
| Laboratorio | Cambio o eliminación de laboratorios de otros usuarios dentro del grupo de recursos | Sí | Sí | No |
| Laboratorio | Asignación de roles a los laboratorios de otros usuarios dentro del grupo de recursos | Sí | No | No |
** A los usuarios se les concede permiso para ver, cambiar la configuración, eliminar y asignar roles para los laboratorios que crean.
Rol de propietario
Asigne el rol Propietario para conceder a un usuario control total para crear o administrar planes y laboratorios de laboratorio y conceder permisos a otros usuarios. Cuando un usuario tiene el rol Propietario en el grupo de recursos, puede realizar las siguientes actividades en todos los recursos del grupo de recursos:
- Asigne roles a los administradores para que puedan administrar recursos relacionados con el laboratorio.
- Asigne roles a los administradores de laboratorio para que puedan crear y administrar laboratorios.
- Cree planes de laboratorio y laboratorios.
- Vea, elimine y cambie la configuración de todos los planes de laboratorio, incluida la asociación o desasociación de la galería de procesos y la habilitación o deshabilitación de Azure Marketplace e imágenes personalizadas en planes de laboratorio.
- Ver, eliminar y cambiar la configuración de todos los laboratorios.
Precaución
Al asignar el rol Propietario o Colaborador en el grupo de recursos, estos permisos también se aplican a los recursos no relacionados con el laboratorio que existen en el grupo de recursos. Por ejemplo, recursos como redes virtuales, cuentas de almacenamiento, galerías de proceso, etc.
Rol de colaborador
Asigne el rol Colaborador para proporcionar a un usuario control total para crear o administrar planes de laboratorio y laboratorios dentro de un grupo de recursos. El rol Colaborador tiene los mismos permisos que el rol Propietario, excepto para:
- Realización de asignaciones de roles
Rol colaborador de Lab Services
El colaborador de Lab Services es el más restrictivo de los roles de administrador. Asigne el rol Colaborador de Lab Services para habilitar las mismas actividades que el rol Propietario, excepto para:
- Realización de asignaciones de roles
- Cambio o eliminación de laboratorios de otros usuarios
Nota:
El rol Colaborador de Lab Services no permite cambios en los recursos que no están relacionados con Azure Lab Services. Por otro lado, el rol Colaborador permite cambios en todos los recursos de Azure del grupo de recursos.
Roles de administración de laboratorio
Use los siguientes roles para conceder permisos a los usuarios para crear y administrar laboratorios:
- Creador de laboratorio
- Colaborador de laboratorio
- Asistente de laboratorio
- Lector de Lab Services
Estos roles de administración de laboratorio solo conceden permiso para ver los planes de laboratorio. Estos roles no permiten crear, cambiar, eliminar ni asignar roles a planes de laboratorio. Además, los usuarios con estos roles no pueden asociar ni desasociar una galería de proceso y habilitar o deshabilitar imágenes de máquina virtual.
Rol creador de laboratorio
Asigne el rol Creador de laboratorio para conceder a un usuario permiso para crear laboratorios y tener control total sobre los laboratorios que crean. Por ejemplo, pueden cambiar la configuración de sus laboratorios, eliminar sus laboratorios e incluso conceder a otros usuarios permiso a sus laboratorios.
Asigne el rol Creador de laboratorio en el grupo de recursos o en el plan de laboratorio.
En la tabla siguiente se compara la asignación de roles de Lab Creator para el grupo de recursos o el plan de laboratorio.
| Actividad | Resource group | Plan de laboratorio |
|---|---|---|
| Creación de laboratorios en el grupo de recursos** | Sí | Sí |
| Visualización de laboratorios creados | Sí | Sí |
| Visualización de los laboratorios de otros usuarios en el grupo de recursos | Sí | No |
| Cambiar o eliminar laboratorios creados por el usuario | Sí | Sí |
| Cambio o eliminación de laboratorios de otros usuarios dentro del grupo de recursos | No | No |
| Asignación de roles a los laboratorios de otros usuarios dentro del grupo de recursos | No | No |
** A los usuarios se les concede permiso para ver, cambiar la configuración, eliminar y asignar roles para los laboratorios que crean.
Rol colaborador de laboratorio
Asigne el rol Colaborador de laboratorio para conceder a un usuario permiso para ayudar a administrar un laboratorio existente.
Asigne el rol Colaborador del laboratorio en el laboratorio.
Al asignar el rol Colaborador de laboratorio en el laboratorio, el usuario puede administrar el laboratorio asignado. En concreto, el usuario:
- Puede ver, cambiar toda la configuración o eliminar el laboratorio asignado.
- El usuario no puede ver los laboratorios de otros usuarios.
- No se pueden crear nuevos laboratorios.
Rol del Asistente para laboratorio
Asigne el rol Asistente para laboratorio para conceder a un usuario permiso para ver un laboratorio e iniciar, detener y volver a crear imágenes de máquinas virtuales del laboratorio.
Asigne el rol Asistente para laboratorio en el grupo de recursos o el laboratorio.
Al asignar el rol Lab Assistant en el grupo de recursos, el usuario:
- Puede ver todos los laboratorios del grupo de recursos e iniciar, detener o cambiar la imagen de las máquinas virtuales de laboratorio para cada laboratorio.
- No se puede eliminar ni realizar ningún otro cambio en los laboratorios.
Al asignar el rol Lab Assistant en el laboratorio, el usuario:
- Puede ver el laboratorio asignado e iniciar, detener o volver a crear imágenes de máquinas virtuales de laboratorio.
- No se puede eliminar ni realizar ningún otro cambio en el laboratorio.
- No se pueden crear nuevos laboratorios.
Cuando tenga el rol Lab Assistant, para ver otros laboratorios a los que tiene acceso, asegúrese de elegir el filtro Todos los laboratorios en el sitio web de Azure Lab Services.
Rol lector de Lab Services
Asigne el rol Lector de Lab Services para conceder a un usuario permisos ver laboratorios existentes. El usuario no puede realizar ningún cambio en los laboratorios existentes.
Asigne el rol Lector de Lab Services en el grupo de recursos o el laboratorio.
Al asignar el rol Lector de Lab Services en el grupo de recursos, el usuario puede hacer lo siguiente:
- Vea todos los laboratorios del grupo de recursos.
Al asignar el rol Lector de Lab Services en el laboratorio, el usuario puede hacer lo siguiente:
- Vea solo el laboratorio específico.
Administración de identidad y acceso (IAM)
La página Control de acceso (IAM) de Azure Portal se usa para configurar el control de acceso basado en rol de Azure en los recursos de Azure Lab Services. Puede usar roles integrados para usuarios y grupos en Active Directory. En la captura de pantalla siguiente se muestra la integración de Active Directory (Azure RBAC) con control de acceso (IAM) en Azure Portal:
Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.
Estructura del grupo de recursos y del plan de laboratorio
Su organización debe invertir tiempo por adelantado para planear la estructura de los grupos de recursos y los planes de laboratorio. Esto es especialmente importante cuando se asignan roles en el grupo de recursos porque también se aplican permisos a todos los recursos del grupo de recursos.
Para asegurarse de que a los usuarios solo se les concede permiso a los recursos adecuados:
Cree grupos de recursos que solo contengan recursos relacionados con el laboratorio.
Organice los planes de laboratorio y los laboratorios en grupos de recursos independientes según los usuarios que deben tener acceso.
Por ejemplo, puede crear grupos de recursos independientes para distintos departamentos para aislar los recursos de laboratorio de cada departamento. A los creadores de laboratorio de un departamento se les pueden conceder permisos en el grupo de recursos, lo que solo les concede acceso a los recursos de laboratorio de su departamento.
Importante
Planee el grupo de recursos y la estructura del plan de laboratorio por adelantado porque no es posible mover los planes de laboratorio o los laboratorios a otro grupo de recursos después de crearlos.
Acceso a varios grupos de recursos
Puede conceder a los usuarios acceso a varios grupos de recursos. En el sitio web de Azure Lab Services, el usuario puede elegir entre la lista de grupos de recursos para ver sus laboratorios.
Acceso a varios planes de laboratorio
Puede conceder a los usuarios acceso a varios planes de laboratorio. Por ejemplo, al asignar el rol Creador de laboratorio a un usuario de un grupo de recursos que contenga más de un plan de laboratorio. Después, el usuario puede elegir entre la lista de planes de laboratorio al crear un nuevo laboratorio.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de