Enumeración de todas las asignaciones de denegación de Azure
De forma similar a una asignación de roles, una asignación de denegación asocia un conjunto de acciones de denegación a un usuario, grupo o entidad de servicio en un ámbito determinado con el fin de denegar el acceso. Las asignaciones de denegación impiden que los usuarios realicen acciones concretas en recursos de Azure, aunque una asignación de roles les conceda acceso.
En este artículo se describe cómo enumerar las asignaciones de denegación.
Importante
No se pueden crear directamente asignaciones de denegación propias. Azure crea y administra las asignaciones de denegación.
Cómo se crean las asignaciones de denegación
Azure crea y administra las asignaciones de denegación para proteger los recursos. No se pueden crear directamente asignaciones de denegación propias. Sin embargo, puede especificar la configuración de denegación al crear una pila de implementación, que crea una asignación de denegación que pertenece a los recursos de la pila de implementación. Las pilas de implementación se encuentran actualmente en versión preliminar. Para más información, consulte Protección de recursos administrados frente a la eliminación.
Asignaciones de roles de comparación y asignaciones de denegación
Las asignaciones de denegación siguen un patrón similar que las asignaciones de roles, pero también presentan algunas diferencias.
Funcionalidad | Asignación de roles | Asignación de denegación |
---|---|---|
Conceder acceso | ✅ | |
Denegación del acceso | ✅ | |
Se pueden crear directamente | ✅ | |
Se aplican en un ámbito | ✅ | ✅ |
Excluyen entidades de seguridad | ✅ | |
Impiden la herencia de los ámbitos secundarios | ✅ | |
Se aplican a las asignaciones de administrador de suscripciones clásicas | ✅ |
Propiedades de la asignación de denegación
Una asignación de denegación tiene las siguientes propiedades:
Propiedad | Obligatorio | Type | Descripción |
---|---|---|---|
DenyAssignmentName |
Sí | Cadena | El nombre para mostrar de la asignación de denegación. Los nombres deben ser únicos para un ámbito determinado. |
Description |
No | Cadena | La descripción de la asignación de denegación. |
Permissions.Actions |
Al menos una Actions o una DataActions | String[] | Una matriz de cadenas que especifican las acciones del plano de control a las que la asignación de denegación bloquea el acceso. |
Permissions.NotActions |
No | String[] | Una matriz de cadenas que especifican la acción del plano de control que se debe excluir de la asignación de denegación. |
Permissions.DataActions |
Al menos una Actions o una DataActions | String[] | Una matriz de cadenas que especifican las acciones del plano de datos a las que la asignación de denegación bloquea el acceso. |
Permissions.NotDataActions |
No | String[] | Una matriz de cadenas que especifican las acciones del plano de datos que deben excluirse de la asignación de denegación. |
Scope |
No | Cadena | Una cadena que especifica el ámbito al que se aplica la asignación de denegación. |
DoNotApplyToChildScopes |
No | Booleano | Especifica si la asignación de denegación se aplica a los ámbitos secundarios. El valor predeterminado es Falso. |
Principals[i].Id |
Sí | String[] | Una matriz de identificadores de objetos de entidad de seguridad de Microsoft Entra (usuario, grupo, entidad de seguridad de servicio o identidad administrada) a los que se aplica la asignación de denegación. Establézcala en un GUID 00000000-0000-0000-0000-000000000000 vacío para representar a todas las entidades de seguridad. |
Principals[i].Type |
No | String[] | Una matriz de tipos de objetos representados por Principals[i].Id. Establézcala en SystemDefined para representar a todas las entidades de seguridad. |
ExcludePrincipals[i].Id |
No | String[] | Matriz de identificadores de objeto principal de Microsoft Entra (usuario, grupo, entidad de servicio o identidad administrada) a la que no se aplica la asignación de denegación. |
ExcludePrincipals[i].Type |
No | String[] | Una matriz de tipos de objetos representados por ExcludePrincipals[i].Id. |
IsSystemProtected |
No | Booleano | Especifica si Azure ha creado esta asignación de denegación y no se puede editar ni eliminar. Actualmente, el sistema protege todas las asignaciones de denegación. |
La entidad de seguridad Todas las entidades de seguridad
Con objeto de admitir las asignaciones de denegación, se ha introducido una entidad de seguridad definida por el sistema llamada Todas las entidades de seguridad. Esta entidad de seguridad representa todos los usuarios, grupos, entidades de servicio e identidades administradas en un directorio de Microsoft Entra. Si el identificador de la entidad de seguridad es un GUID cero 00000000-0000-0000-0000-000000000000
y el tipo de entidad de seguridad es SystemDefined
, la entidad de seguridad representa a todas las entidades de seguridad. En la salida de Azure PowerShell, la entidad Todas las entidades muestra un aspecto como el siguiente:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Todas las entidades se puede combinar con ExcludePrincipals
para denegar todas las entidades de seguridad, salvo algunos usuarios. Todas las entidades tiene las siguientes restricciones:
- Solo se puede utilizar en
Principals
y no se puede usar enExcludePrincipals
. Principals[i].Type
se debe establecer enSystemDefined
.
Enumeración de asignaciones de denegación
Siga estos pasos para enumerar las asignaciones de denegación.
Importante
No se pueden crear directamente asignaciones de denegación propias. Azure crea y administra las asignaciones de denegación. Para más información, consulte Protección de recursos administrados frente a la eliminación.
Requisitos previos
Para obtener información sobre una asignación de denegación, debe tener lo siguiente:
- El permiso
Microsoft.Authorization/denyAssignments/read
, que está incluido en la mayoría de los roles integrados de Azure.
Enumeración de asignaciones de denegación en Azure Portal
Siga estos pasos para enumerar las asignaciones de denegación en el ámbito de la suscripción o del grupo de administración.
En Azure Portal, abra el ámbito seleccionado, como el grupo de recursos o la suscripción.
Seleccione Access Control (IAM) .
Seleccione la pestaña Asignaciones de denegación (o seleccione el botón Ver en el mosaico Ver asignaciones de denegación).
Si hay asignaciones de denegación en este ámbito o heredadas a este ámbito, aparecerán en la lista.
Para mostrar columnas adicionales, seleccione Editar columnas.
Columna Descripción Nombre Nombre de la asignación de denegación. Tipo de entidad de seguridad Usuario, grupo, grupo definido por el sistema o entidad de servicio. Se deniega Nombre de la entidad de seguridad que se incluye en la asignación de denegación. Id Identificador único para la asignación de denegación. Entidades de seguridad excluidas Si hay entidades de seguridad que se excluyen de la asignación de denegación. No se aplica a los elementos secundarios Si la asignación de denegación se hereda en los ámbitos secundarios. Protegida por el sistema Si Azure administra la asignación de denegación. Actualmente, siempre es sí. Ámbito Grupo de administración, suscripción, grupo de recursos o identificador de recurso. Agregue una marca de verificación a cualquiera de los elementos habilitados y seleccione Aceptar para mostrar las columnas seleccionadas.
Enumeración de detalles sobre una asignación de denegación
Siga estos pasos para enumerar detalles adicionales sobre una asignación de denegación.
Abra el panel Asignaciones de denegación, tal como se describe en la sección anterior.
Seleccione el nombre de la asignación de denegación para abrir la página Usuarios.
La página Usuarios incluye las dos secciones siguientes.
Configuración de denegación Descripción La asignación de denegación se aplica a Entidades de seguridad a las que se aplica la asignación de denegación. La asignación de denegación excluye Entidades de seguridad que se excluyen de la asignación de denegación. La entidad de seguridad definida por el sistema representa a todos los usuarios, grupos, entidades de servicio e identidades administradas de un directorio de Azure AD.
Para ver una lista de los permisos denegados, seleccione Permisos denegados.
Tipo de acción Descripción Acciones Acciones de plano de control denegadas. NotActions Acciones del plano de control excluidas de las acciones de plano de control denegadas. DataActions Acciones de plano de datos denegadas. NotDataActions Acciones del plano de datos excluidas de las acciones de plano de datos denegadas. Para el ejemplo mostrado en la captura de pantalla anterior, los siguientes son los permisos efectivos:
- Se deniegan todas las acciones de almacenamiento en el plano de datos, excepto las acciones de proceso.
Para ver las propiedades de una asignación de denegación, seleccione Propiedades.
En la página Propiedades, puede ver el nombre de la asignación de denegación, el identificador, la descripción y el ámbito. El modificador No se aplica a los elementos secundarios indica si la asignación de denegación se hereda a los ámbitos secundarios. El modificador Protegida por el sistema indica si Azure administra esta asignación de denegación. Actualmente, es Sí en todos los casos.