Delegación de la administración de asignaciones de roles de Azure a otros usuarios con condiciones
Como administrador, puede obtener varias solicitudes para conceder acceso a los recursos de Azure que desea delegar a otra persona. Puede asignar a un usuario los roles propietario o de acceso de usuario Administración istrator, pero estos son roles con privilegios elevados. En este artículo se describe una manera más segura de delegar la administración de asignaciones de roles a otros usuarios de la organización, pero se agregan restricciones para esas asignaciones de roles. Por ejemplo, puede restringir los roles a los que se pueden asignar o restringir las entidades de seguridad a las que se pueden asignar los roles.
En el diagrama siguiente se muestra cómo un delegado con condiciones solo puede asignar los roles Colaborador de copia de seguridad o Lector de copia de seguridad solo a los grupos marketing o ventas.
Requisitos previos
Para asignar roles de Azure, es necesario tener:
Microsoft.Authorization/roleAssignments/write
permisos, como Control de acceso basado en rol Administración istrator o user Access Administración istrator
Paso 1: Determinar los permisos que necesita el delegado
Para ayudar a determinar los permisos que necesita el delegado, responda a las siguientes preguntas:
- ¿Qué roles puede asignar el delegado?
- ¿A qué tipos de entidades de seguridad puede asignar roles el delegado?
- ¿A qué entidades de seguridad puede asignar roles el delegado?
- ¿Puede un delegado eliminar asignaciones de roles?
Una vez que conozca los permisos que necesita el delegado, siga estos pasos para agregar una condición a la asignación de roles del delegado. Para obtener condiciones de ejemplo, consulte Ejemplos para delegar la administración de asignaciones de roles de Azure con condiciones.
Paso 2: Iniciar una nueva asignación de roles
Inicie sesión en Azure Portal.
Siga los pasos para abrir la página Agregar asignación de roles.
En la pestaña Roles , seleccione la pestaña Roles de administrador con privilegios .
Seleccione el rol Control de acceso basado en rol Administración istrator.
Aparece la pestaña Condiciones .
Puede seleccionar cualquier rol que incluya las
Microsoft.Authorization/roleAssignments/write
acciones oMicrosoft.Authorization/roleAssignments/delete
, como user Access Administración istrator, pero Role Based Access Control Administración istrator tiene menos permisos.En la pestaña Miembros , busque y seleccione el delegado.
Paso 3: Agregar una condición
Puede agregar una condición de dos maneras. Puede usar una plantilla de condición o puede usar un editor de condiciones avanzada.
En la pestaña Condiciones en ¿Qué puede hacer el usuario?, seleccione la opción Permitir que el usuario asigne solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).
Seleccione Seleccionar roles y entidades de seguridad.
Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.
Seleccione una plantilla de condición y, a continuación, seleccione Configurar.
Plantilla de condición Seleccione esta plantilla para Restringir roles Permitir que el usuario solo asigne roles que seleccione Restricción de roles y tipos de entidad de seguridad Permitir que el usuario solo asigne roles que seleccione
Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio).Restringir roles y entidades de seguridad Permitir que el usuario solo asigne roles que seleccione
Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccioneEn el panel configurar, agregue las configuraciones necesarias.
Seleccione Guardar para agregar la condición a la asignación de roles.
Paso 4: Asignación de roles con condición para delegar
En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.
Seleccione Revisión y asignación para asignar el rol.
Después de unos instantes, al delegado se le asigna el rol Control de acceso basado en roles Administración istrator con las condiciones de asignación de roles.
Paso 5: Delegar asigna roles con condiciones
El delegado ahora puede seguir los pasos para asignar roles.
Cuando el delegado intenta asignar roles en Azure Portal, la lista de roles se filtrará para mostrar solo los roles que pueden asignar.
Si hay una condición para las entidades de seguridad, también se filtra la lista de entidades de seguridad disponibles para la asignación.
Si el delegado intenta asignar un rol que está fuera de las condiciones mediante una API, se produce un error en la asignación de roles. Para obtener más información, vea Síntoma: no se puede asignar un rol.