Delegación de la administración de asignaciones de roles de Azure a otros usuarios con condiciones

Artículo
02/02/2024

Como administrador, puede obtener varias solicitudes para conceder acceso a los recursos de Azure que desea delegar a otra persona. Puede asignar a un usuario los roles propietario o de acceso de usuario Administración istrator, pero estos son roles con privilegios elevados. En este artículo se describe una manera más segura de delegar la administración de asignaciones de roles a otros usuarios de la organización, pero se agregan restricciones para esas asignaciones de roles. Por ejemplo, puede restringir los roles a los que se pueden asignar o restringir las entidades de seguridad a las que se pueden asignar los roles.

En el diagrama siguiente se muestra cómo un delegado con condiciones solo puede asignar los roles Colaborador de copia de seguridad o Lector de copia de seguridad solo a los grupos marketing o ventas.

Requisitos previos

Para asignar roles de Azure, es necesario tener:

Microsoft.Authorization/roleAssignments/writepermisos, como Control de acceso basado en rol Administración istrator o user Access Administración istrator

Paso 1: Determinar los permisos que necesita el delegado

Para ayudar a determinar los permisos que necesita el delegado, responda a las siguientes preguntas:

¿Qué roles puede asignar el delegado?
¿A qué tipos de entidades de seguridad puede asignar roles el delegado?
¿A qué entidades de seguridad puede asignar roles el delegado?
¿Puede un delegado eliminar asignaciones de roles?

Una vez que conozca los permisos que necesita el delegado, siga estos pasos para agregar una condición a la asignación de roles del delegado. Para obtener condiciones de ejemplo, consulte Ejemplos para delegar la administración de asignaciones de roles de Azure con condiciones.

Paso 2: Iniciar una nueva asignación de roles

Inicie sesión en Azure Portal.
Siga los pasos para abrir la página Agregar asignación de roles.
En la pestaña Roles , seleccione la pestaña Roles de administrador con privilegios .
Seleccione el rol Control de acceso basado en rol Administración istrator.

Aparece la pestaña Condiciones .

Puede seleccionar cualquier rol que incluya las Microsoft.Authorization/roleAssignments/write acciones o Microsoft.Authorization/roleAssignments/delete , como user Access Administración istrator, pero Role Based Access Control Administración istrator tiene menos permisos.
En la pestaña Miembros , busque y seleccione el delegado.

Paso 3: Agregar una condición

Puede agregar una condición de dos maneras. Puede usar una plantilla de condición o puede usar un editor de condiciones avanzada.

Plantilla
Editor de condiciones

En la pestaña Condiciones en ¿Qué puede hacer el usuario?, seleccione la opción Permitir que el usuario asigne solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).
Seleccione Seleccionar roles y entidades de seguridad.

Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

Plantilla de condición	Seleccione esta plantilla para
Restringir roles	Permitir que el usuario solo asigne roles que seleccione
Restricción de roles y tipos de entidad de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio).
Restringir roles y entidades de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccione

En el panel configurar, agregue las configuraciones necesarias.
Seleccione Guardar para agregar la condición a la asignación de roles.

Si las plantillas de condición no funcionan para su escenario o si quiere más control, puede usar el editor de condiciones.

Editor de condiciones abiertas

En la pestaña Condiciones en ¿Qué puede hacer el usuario?, seleccione la opción Permitir que el usuario asigne solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).
Seleccione Seleccionar roles y entidades de seguridad.

Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.
Seleccione Abrir editor de condiciones avanzadas.

Aparece la página de condiciones de Agregar asignación de roles.
En la opción Editor type (tipo de editor), deje seleccionada la opción predeterminada Visual.

Agregar una acción

En la sección Agregar acción , seleccione Agregar acción.

Se muestra el panel Selección de una acción. Este panel es una lista filtrada de acciones en función de la asignación de roles que será el destino de la condición.
Seleccione la acción Crear o actualizar asignaciones de roles que desea permitir si la condición es verdadera.

Sugerencia

Si selecciona las acciones Crear o actualizar asignaciones de roles y Eliminar una asignación de roles, no podrá agregar una expresión de condición. Si desea tener como destino ambas acciones, debe agregar dos condiciones. Para obtener más información, vea Ejemplo: Restringir roles.

Compilar expresiones

En la sección Build expression (Expresión de compilación), seleccione Add expression (Agregar expresión).

Aquí es donde se crea la expresión para restringir las asignaciones de roles que el delegado puede agregar.
En la lista Origen de atributos , seleccione Solicitar.
En la lista Atributo , seleccione uno de los atributos siguientes para el lado izquierdo de la expresión.
- El identificador de definición de rol se usa para restringir los roles que el delegado puede asignar.
- El identificador de entidad de seguridad se usa para restringir las entidades de seguridad específicas a las que el delegado puede asignar roles.
- El tipo de entidad de seguridad se usa para restringir los tipos de entidades de seguridad (usuarios, grupos o entidades de servicio) a los que el delegado puede asignar roles.

En la lista Operador, seleccione un operador.

Según el atributo y la expresión que quiera compilar, normalmente se seleccionan estos operadores, lo que le permite seleccionar uno o varios valores para el lado derecho de la expresión.

Attribute	Operador común
Identificador de definición de roles	ForAnyOfAnyValues:GuidEquals
Identificador de entidad de seguridad	ForAnyOfAnyValues:GuidEquals
Tipo de entidad de seguridad	ForAnyOfAnyValues:StringEqualsIgnoreCase

En el cuadro Valor , escriba uno o varios valores para el lado derecho de la expresión.
Agregue expresiones adicionales según sea necesario.

Sugerencia

Al agregar varias expresiones para delegar la administración de asignaciones de roles con condiciones, normalmente se usa el operador And entre expresiones en lugar del operador Or predeterminado.
Seleccione Guardar para agregar la condición a la asignación de roles.

Paso 4: Asignación de roles con condición para delegar

En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.
Seleccione Revisión y asignación para asignar el rol.

Después de unos instantes, al delegado se le asigna el rol Control de acceso basado en roles Administración istrator con las condiciones de asignación de roles.

Paso 5: Delegar asigna roles con condiciones

El delegado ahora puede seguir los pasos para asignar roles.

Cuando el delegado intenta asignar roles en Azure Portal, la lista de roles se filtrará para mostrar solo los roles que pueden asignar.

Si hay una condición para las entidades de seguridad, también se filtra la lista de entidades de seguridad disponibles para la asignación.

Si el delegado intenta asignar un rol que está fuera de las condiciones mediante una API, se produce un error en la asignación de roles. Para obtener más información, vea Síntoma: no se puede asignar un rol.