Enumeración de todas las asignaciones de denegación de Azure

De forma similar a una asignación de roles, una asignación de denegación asocia un conjunto de acciones de denegación a un usuario, grupo o entidad de servicio en un ámbito determinado con el fin de denegar el acceso. Las asignaciones de denegación impiden que los usuarios realicen acciones concretas en recursos de Azure, aunque una asignación de roles les conceda acceso.

En este artículo se describe cómo enumerar las asignaciones de denegación.

Importante

No se pueden crear directamente asignaciones de denegación propias. Azure crea y administra las asignaciones de denegación.

Cómo se crean las asignaciones de denegación

Azure crea y administra las asignaciones de denegación para proteger los recursos. No se pueden crear directamente asignaciones de denegación propias. Sin embargo, puede especificar la configuración de denegación al crear una pila de implementación, que crea una asignación de denegación que pertenece a los recursos de la pila de implementación. Las pilas de implementación se encuentran actualmente en versión preliminar. Para más información, consulte Protección de recursos administrados frente a la eliminación.

Asignaciones de roles de comparación y asignaciones de denegación

Las asignaciones de denegación siguen un patrón similar que las asignaciones de roles, pero también presentan algunas diferencias.

Funcionalidad	Asignación de roles	Asignación de denegación
Conceder acceso	✅
Denegación del acceso		✅
Se pueden crear directamente	✅
Se aplican en un ámbito	✅	✅
Excluyen entidades de seguridad		✅
Impiden la herencia de los ámbitos secundarios		✅
Se aplican a las asignaciones de administrador de suscripciones clásicas		✅

Propiedades de la asignación de denegación

Una asignación de denegación tiene las siguientes propiedades:

Propiedad	Obligatorio	Type	Descripción
DenyAssignmentName	Sí	Cadena	El nombre para mostrar de la asignación de denegación. Los nombres deben ser únicos para un ámbito determinado.
Description	No	Cadena	La descripción de la asignación de denegación.
Permissions.Actions	Al menos una Actions o una DataActions	String[]	Una matriz de cadenas que especifican las acciones del plano de control a las que la asignación de denegación bloquea el acceso.
Permissions.NotActions	No	String[]	Una matriz de cadenas que especifican la acción del plano de control que se debe excluir de la asignación de denegación.
Permissions.DataActions	Al menos una Actions o una DataActions	String[]	Una matriz de cadenas que especifican las acciones del plano de datos a las que la asignación de denegación bloquea el acceso.
Permissions.NotDataActions	No	String[]	Una matriz de cadenas que especifican las acciones del plano de datos que deben excluirse de la asignación de denegación.
Scope	No	Cadena	Una cadena que especifica el ámbito al que se aplica la asignación de denegación.
DoNotApplyToChildScopes	No	Booleano	Especifica si la asignación de denegación se aplica a los ámbitos secundarios. El valor predeterminado es Falso.
Principals[i].Id	Sí	String[]	Una matriz de identificadores de objetos de entidad de seguridad de Microsoft Entra (usuario, grupo, entidad de seguridad de servicio o identidad administrada) a los que se aplica la asignación de denegación. Establézcala en un GUID 00000000-0000-0000-0000-000000000000 vacío para representar a todas las entidades de seguridad.
Principals[i].Type	No	String[]	Una matriz de tipos de objetos representados por Principals[i].Id. Establézcala en SystemDefined para representar a todas las entidades de seguridad.
ExcludePrincipals[i].Id	No	String[]	Matriz de identificadores de objeto principal de Microsoft Entra (usuario, grupo, entidad de servicio o identidad administrada) a la que no se aplica la asignación de denegación.
ExcludePrincipals[i].Type	No	String[]	Una matriz de tipos de objetos representados por ExcludePrincipals[i].Id.
IsSystemProtected	No	Booleano	Especifica si Azure ha creado esta asignación de denegación y no se puede editar ni eliminar. Actualmente, el sistema protege todas las asignaciones de denegación.

La entidad de seguridad Todas las entidades de seguridad

Con objeto de admitir las asignaciones de denegación, se ha introducido una entidad de seguridad definida por el sistema llamada Todas las entidades de seguridad. Esta entidad de seguridad representa todos los usuarios, grupos, entidades de servicio e identidades administradas en un directorio de Microsoft Entra. Si el identificador de la entidad de seguridad es un GUID cero 00000000-0000-0000-0000-000000000000 y el tipo de entidad de seguridad es SystemDefined, la entidad de seguridad representa a todas las entidades de seguridad. En la salida de Azure PowerShell, la entidad Todas las entidades muestra un aspecto como el siguiente:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Todas las entidades se puede combinar con ExcludePrincipals para denegar todas las entidades de seguridad, salvo algunos usuarios. Todas las entidades tiene las siguientes restricciones:

• Solo se puede utilizar en Principals y no se puede usar en ExcludePrincipals.
• Principals[i].Type se debe establecer en SystemDefined.

Enumeración de asignaciones de denegación

Siga estos pasos para enumerar las asignaciones de denegación.

Importante

No se pueden crear directamente asignaciones de denegación propias. Azure crea y administra las asignaciones de denegación. Para más información, consulte Protección de recursos administrados frente a la eliminación.

Azure Portal

Requisitos previos

Para obtener información sobre una asignación de denegación, debe tener lo siguiente:

• El permiso Microsoft.Authorization/denyAssignments/read, que está incluido en la mayoría de los roles integrados de Azure.

Enumeración de asignaciones de denegación en Azure Portal

Siga estos pasos para enumerar las asignaciones de denegación en el ámbito de la suscripción o del grupo de administración.

1. En Azure Portal, abra el ámbito seleccionado, como el grupo de recursos o la suscripción.

2. Seleccione Access Control (IAM) .

3. Seleccione la pestaña Asignaciones de denegación (o seleccione el botón Ver en el mosaico Ver asignaciones de denegación).

   Si hay asignaciones de denegación en este ámbito o heredadas a este ámbito, aparecerán en la lista.

   

4. Para mostrar columnas adicionales, seleccione Editar columnas.

   

   Columna	Descripción
   Nombre	Nombre de la asignación de denegación.
   Tipo de entidad de seguridad	Usuario, grupo, grupo definido por el sistema o entidad de servicio.
   Se deniega	Nombre de la entidad de seguridad que se incluye en la asignación de denegación.
   Id	Identificador único para la asignación de denegación.
   Entidades de seguridad excluidas	Si hay entidades de seguridad que se excluyen de la asignación de denegación.
   No se aplica a los elementos secundarios	Si la asignación de denegación se hereda en los ámbitos secundarios.
   Protegida por el sistema	Si Azure administra la asignación de denegación. Actualmente, siempre es sí.
   Ámbito	Grupo de administración, suscripción, grupo de recursos o identificador de recurso.

5. Agregue una marca de verificación a cualquiera de los elementos habilitados y seleccione Aceptar para mostrar las columnas seleccionadas.

Enumeración de detalles sobre una asignación de denegación

Siga estos pasos para enumerar detalles adicionales sobre una asignación de denegación.

1. Abra el panel Asignaciones de denegación, tal como se describe en la sección anterior.

2. Seleccione el nombre de la asignación de denegación para abrir la página Usuarios.

   

   La página Usuarios incluye las dos secciones siguientes.

   Configuración de denegación	Descripción
   La asignación de denegación se aplica a	Entidades de seguridad a las que se aplica la asignación de denegación.
   La asignación de denegación excluye	Entidades de seguridad que se excluyen de la asignación de denegación.

   La entidad de seguridad definida por el sistema representa a todos los usuarios, grupos, entidades de servicio e identidades administradas de un directorio de Azure AD.

3. Para ver una lista de los permisos denegados, seleccione Permisos denegados.

   

   Tipo de acción	Descripción
   Acciones	Acciones de plano de control denegadas.
   NotActions	Acciones del plano de control excluidas de las acciones de plano de control denegadas.
   DataActions	Acciones de plano de datos denegadas.
   NotDataActions	Acciones del plano de datos excluidas de las acciones de plano de datos denegadas.

   Para el ejemplo mostrado en la captura de pantalla anterior, los siguientes son los permisos efectivos:

   • Se deniegan todas las acciones de almacenamiento en el plano de datos, excepto las acciones de proceso.

4. Para ver las propiedades de una asignación de denegación, seleccione Propiedades.

   

   En la página Propiedades, puede ver el nombre de la asignación de denegación, el identificador, la descripción y el ámbito. El modificador No se aplica a los elementos secundarios indica si la asignación de denegación se hereda a los ámbitos secundarios. El modificador Protegida por el sistema indica si Azure administra esta asignación de denegación. Actualmente, es Sí en todos los casos.

Azure PowerShell

Requisitos previos

Para obtener información sobre una asignación de denegación, debe tener lo siguiente:

• El permiso Microsoft.Authorization/denyAssignments/read, que está incluido en la mayoría de los roles integrados de Azure.
• PowerShell en Azure Cloud Shell o Azure PowerShell.

Enumeración de todas las asignaciones de denegación

Para enumerar todas las asignaciones de denegación para la suscripción actual, use Get-AzDenyAssignment.

Get-AzDenyAssignment

PS C:\> Get-AzDenyAssignment
Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/6d266d71-a890-53b7-b0d8-2af6769ac019
DenyAssignmentName      : Deny assignment '6d266d71-a890-53b7-b0d8-2af6769ac019' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Storage/storageAccounts/storef2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Id                      : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy/providers/Microsoft.Authorization/denyAssignments/36a162b5-ddcc-529a-9deb-673250f90ba7
DenyAssignmentName      : Deny assignment '36a162b5-ddcc-529a-9deb-673250f90ba7' created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Description             : Created by Deployment Stack '/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Resources/deploymentStacks/demoStack'.
Actions                 : {*/delete}
NotActions              : {Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/delete}
DataActions             : {}
NotDataActions          : {}
Scope                   : /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/demoRg/providers/Microsoft.Network/virtualNetworks/vnetf2dfaqv5dzzfy
DoNotApplyToChildScopes : True
Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }
ExcludePrincipals       : {
                          DisplayName:  User1
                          ObjectType:   User
                          ObjectId:     675986ff-5b6a-448c-9a22-fd2a65100221
                          }
IsSystemProtected       : True

Enumeración de asignaciones de denegación en un ámbito de grupo de recursos

Para enumerar todas las asignaciones en un ámbito de grupo de recursos, use Get-AzDenyAssignment.

Get-AzDenyAssignment -ResourceGroupName <resource_group_name>

Enumeración de asignaciones de denegación en un ámbito de suscripción

Para enumerar todas las asignaciones en un ámbito de suscripción, use Get-AzDenyAssignment. Para obtener el identificador de suscripción, puede encontrarlo en la página Suscripciones de Azure Portal o puede usar Get-AzSubscription.

Get-AzDenyAssignment -Scope /subscriptions/<subscription_id>

REST API

Requisitos previos

Para obtener información sobre una asignación de denegación, debe tener lo siguiente:

• El permiso Microsoft.Authorization/denyAssignments/read, que está incluido en la mayoría de los roles integrados de Azure.

Debe usar la versión siguiente:

• 2018-07-01-preview o posterior
• 2022-04-01 es la primera versión estable

Lista de una sola asignación de denegación

Para enumerar una única asignación de denegación, use la API REST Deny Assignments - Get.

1. Empiece con la solicitud siguiente:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments/{deny-assignment-id}?api-version=2022-04-01
   

2. En el identificador URI, reemplace {scope} por el ámbito cuya lista de asignaciones de denegación quiere obtener.

   Ámbito	Tipo
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

3. Reemplace {deny-assignment-id} por el identificador de asignación de denegación que desea recuperar.

Lista de varias asignaciones de denegación

Para enumerar varias asignaciones de denegación, use la API REST Deny Assignments - List.

1. Comience con una de las siguientes solicitudes:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01
   

   Con parámetros opcionales:

   GET https://management.azure.com/{scope}/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

2. En el identificador URI, reemplace {scope} por el ámbito cuya lista de asignaciones de denegación quiere obtener.

   Ámbito	Tipo
   subscriptions/{subscriptionId}	Subscription
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1	Resource group
   subscriptions/{subscriptionId}/resourceGroups/myresourcegroup1/providers/Microsoft.Web/sites/mysite1	Resource

3. Reemplace {filter} por la condición que quiere aplicar para filtrar la lista de asignaciones de denegación.

   Filter	Descripción
   (sin filtro)	Lista de todas las asignaciones de denegación del ámbito especificado, y también por encima y por debajo.
   $filter=atScope()	Lista de las asignaciones de denegación del ámbito especificado y por encima. No incluye las asignaciones de denegación de ámbitos secundarios.
   $filter=assignedTo('{objectId}')	Lista de las asignaciones de denegación para el usuario o la entidad de servicio especificados. Si el usuario es miembro de un grupo que tiene una asignación de denegación, también se muestra esa asignación de denegación. Este filtro es transitivo para los grupos, lo que significa que, si el usuario es miembro de un grupo y ese grupo es miembro de otro grupo que tiene una asignación de denegación, también se muestra esa asignación de denegación. Este filtro solo acepta un identificador de objeto para un usuario o una entidad de servicio. No se puede pasar un identificador de objeto para un grupo.
   $filter=atScope()+and+assignedTo('{objectId}')	Muestra las asignaciones de denegación para el usuario o la entidad de servicio determinados y en el ámbito especificado.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Lista de asignaciones de denegación con el nombre especificado.
   $filter=principalId+eq+'{objectId}'	Lista de las asignaciones de denegación para el usuario, el grupo o la entidad de servicio determinados.

Enumeración de las asignaciones de denegación en el ámbito raíz (/)

1. Eleve el acceso como se describe en Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure.

2. Use la siguiente solicitud:

   GET https://management.azure.com/providers/Microsoft.Authorization/denyAssignments?api-version=2022-04-01&$filter={filter}
   

3. Reemplace {filter} por la condición que quiere aplicar para filtrar la lista de asignaciones de denegación. Se requiere un filtro.

   Filter	Descripción
   $filter=atScope()	Lista de asignaciones de denegación solo en el ámbito raíz. No incluye las asignaciones de denegación de ámbitos secundarios.
   $filter=denyAssignmentName+eq+'{deny-assignment-name}'	Lista de asignaciones de denegación con el nombre especificado.

4. Elimine los privilegios de acceso elevados.

Pasos siguientes

• Pilas de implementación