Compartir a través de


Enumeración de todas las asignaciones de denegación de Azure

De forma similar a una asignación de roles, una asignación de denegación asocia un conjunto de acciones de denegación a un usuario, grupo o entidad de servicio en un ámbito determinado con el fin de denegar el acceso. Las asignaciones de denegación impiden que los usuarios realicen acciones concretas en recursos de Azure, aunque una asignación de roles les conceda acceso.

En este artículo se describe cómo enumerar las asignaciones de denegación.

Importante

No se pueden crear directamente asignaciones de denegación propias. Azure crea y administra las asignaciones de denegación.

Cómo se crean las asignaciones de denegación

Azure crea y administra las asignaciones de denegación para proteger los recursos. No se pueden crear directamente asignaciones de denegación propias. Sin embargo, puede especificar la configuración de denegación al crear una pila de implementación, que crea una asignación de denegación que pertenece a los recursos de la pila de implementación. Las pilas de implementación se encuentran actualmente en versión preliminar. Para más información, consulte Protección de recursos administrados frente a la eliminación.

Asignaciones de roles de comparación y asignaciones de denegación

Las asignaciones de denegación siguen un patrón similar que las asignaciones de roles, pero también presentan algunas diferencias.

Funcionalidad Asignación de roles Asignación de denegación
Conceder acceso
Denegación del acceso
Se pueden crear directamente
Se aplican en un ámbito
Excluyen entidades de seguridad
Impiden la herencia de los ámbitos secundarios
Se aplican a las asignaciones de administrador de suscripciones clásicas

Propiedades de la asignación de denegación

Una asignación de denegación tiene las siguientes propiedades:

Propiedad Obligatorio Type Descripción
DenyAssignmentName Cadena El nombre para mostrar de la asignación de denegación. Los nombres deben ser únicos para un ámbito determinado.
Description No Cadena La descripción de la asignación de denegación.
Permissions.Actions Al menos una Actions o una DataActions String[] Una matriz de cadenas que especifican las acciones del plano de control a las que la asignación de denegación bloquea el acceso.
Permissions.NotActions No String[] Una matriz de cadenas que especifican la acción del plano de control que se debe excluir de la asignación de denegación.
Permissions.DataActions Al menos una Actions o una DataActions String[] Una matriz de cadenas que especifican las acciones del plano de datos a las que la asignación de denegación bloquea el acceso.
Permissions.NotDataActions No String[] Una matriz de cadenas que especifican las acciones del plano de datos que deben excluirse de la asignación de denegación.
Scope No Cadena Una cadena que especifica el ámbito al que se aplica la asignación de denegación.
DoNotApplyToChildScopes No Booleano Especifica si la asignación de denegación se aplica a los ámbitos secundarios. El valor predeterminado es Falso.
Principals[i].Id String[] Una matriz de identificadores de objetos de entidad de seguridad de Microsoft Entra (usuario, grupo, entidad de seguridad de servicio o identidad administrada) a los que se aplica la asignación de denegación. Establézcala en un GUID 00000000-0000-0000-0000-000000000000 vacío para representar a todas las entidades de seguridad.
Principals[i].Type No String[] Una matriz de tipos de objetos representados por Principals[i].Id. Establézcala en SystemDefined para representar a todas las entidades de seguridad.
ExcludePrincipals[i].Id No String[] Matriz de identificadores de objeto principal de Microsoft Entra (usuario, grupo, entidad de servicio o identidad administrada) a la que no se aplica la asignación de denegación.
ExcludePrincipals[i].Type No String[] Una matriz de tipos de objetos representados por ExcludePrincipals[i].Id.
IsSystemProtected No Booleano Especifica si Azure ha creado esta asignación de denegación y no se puede editar ni eliminar. Actualmente, el sistema protege todas las asignaciones de denegación.

La entidad de seguridad Todas las entidades de seguridad

Con objeto de admitir las asignaciones de denegación, se ha introducido una entidad de seguridad definida por el sistema llamada Todas las entidades de seguridad. Esta entidad de seguridad representa todos los usuarios, grupos, entidades de servicio e identidades administradas en un directorio de Microsoft Entra. Si el identificador de la entidad de seguridad es un GUID cero 00000000-0000-0000-0000-000000000000 y el tipo de entidad de seguridad es SystemDefined, la entidad de seguridad representa a todas las entidades de seguridad. En la salida de Azure PowerShell, la entidad Todas las entidades muestra un aspecto como el siguiente:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Todas las entidades se puede combinar con ExcludePrincipals para denegar todas las entidades de seguridad, salvo algunos usuarios. Todas las entidades tiene las siguientes restricciones:

  • Solo se puede utilizar en Principals y no se puede usar en ExcludePrincipals.
  • Principals[i].Type se debe establecer en SystemDefined.

Enumeración de asignaciones de denegación

Siga estos pasos para enumerar las asignaciones de denegación.

Importante

No se pueden crear directamente asignaciones de denegación propias. Azure crea y administra las asignaciones de denegación. Para más información, consulte Protección de recursos administrados frente a la eliminación.

Requisitos previos

Para obtener información sobre una asignación de denegación, debe tener lo siguiente:

  • El permiso Microsoft.Authorization/denyAssignments/read, que está incluido en la mayoría de los roles integrados de Azure.

Enumeración de asignaciones de denegación en Azure Portal

Siga estos pasos para enumerar las asignaciones de denegación en el ámbito de la suscripción o del grupo de administración.

  1. En Azure Portal, abra el ámbito seleccionado, como el grupo de recursos o la suscripción.

  2. Seleccione Access Control (IAM) .

  3. Seleccione la pestaña Asignaciones de denegación (o seleccione el botón Ver en el mosaico Ver asignaciones de denegación).

    Si hay asignaciones de denegación en este ámbito o heredadas a este ámbito, aparecerán en la lista.

    Captura de pantalla de la página Control de acceso (IAM) y la pestaña Denegar asignaciones que enumera las asignaciones denegadas en el ámbito seleccionado.

  4. Para mostrar columnas adicionales, seleccione Editar columnas.

    Captura de pantalla del panel de columnas de asignaciones denegadas que muestra cómo agregar columnas a la lista de asignaciones denegadas.

    Columna Descripción
    Nombre Nombre de la asignación de denegación.
    Tipo de entidad de seguridad Usuario, grupo, grupo definido por el sistema o entidad de servicio.
    Se deniega Nombre de la entidad de seguridad que se incluye en la asignación de denegación.
    Id Identificador único para la asignación de denegación.
    Entidades de seguridad excluidas Si hay entidades de seguridad que se excluyen de la asignación de denegación.
    No se aplica a los elementos secundarios Si la asignación de denegación se hereda en los ámbitos secundarios.
    Protegida por el sistema Si Azure administra la asignación de denegación. Actualmente, siempre es sí.
    Ámbito Grupo de administración, suscripción, grupo de recursos o identificador de recurso.
  5. Agregue una marca de verificación a cualquiera de los elementos habilitados y seleccione Aceptar para mostrar las columnas seleccionadas.

Enumeración de detalles sobre una asignación de denegación

Siga estos pasos para enumerar detalles adicionales sobre una asignación de denegación.

  1. Abra el panel Asignaciones de denegación, tal como se describe en la sección anterior.

  2. Seleccione el nombre de la asignación de denegación para abrir la página Usuarios.

    Captura de pantalla de la página de Usuarios para una asignación de denegación que enumera los aplica a y excluye.

    La página Usuarios incluye las dos secciones siguientes.

    Configuración de denegación Descripción
    La asignación de denegación se aplica a Entidades de seguridad a las que se aplica la asignación de denegación.
    La asignación de denegación excluye Entidades de seguridad que se excluyen de la asignación de denegación.

    La entidad de seguridad definida por el sistema representa a todos los usuarios, grupos, entidades de servicio e identidades administradas de un directorio de Azure AD.

  3. Para ver una lista de los permisos denegados, seleccione Permisos denegados.

    Captura de pantalla de la página Permisos denegados para una asignación denegada que enumera los permisos denegados.

    Tipo de acción Descripción
    Acciones Acciones de plano de control denegadas.
    NotActions Acciones del plano de control excluidas de las acciones de plano de control denegadas.
    DataActions Acciones de plano de datos denegadas.
    NotDataActions Acciones del plano de datos excluidas de las acciones de plano de datos denegadas.

    Para el ejemplo mostrado en la captura de pantalla anterior, los siguientes son los permisos efectivos:

    • Se deniegan todas las acciones de almacenamiento en el plano de datos, excepto las acciones de proceso.
  4. Para ver las propiedades de una asignación de denegación, seleccione Propiedades.

    Captura de pantalla de la página Propiedades de una asignación de denegación que enumera las propiedades.

    En la página Propiedades, puede ver el nombre de la asignación de denegación, el identificador, la descripción y el ámbito. El modificador No se aplica a los elementos secundarios indica si la asignación de denegación se hereda a los ámbitos secundarios. El modificador Protegida por el sistema indica si Azure administra esta asignación de denegación. Actualmente, es en todos los casos.

Pasos siguientes