Asignación de un usuario como administrador de una suscripción de Azure con condiciones

  • Artículo

Para que un usuario sea administrador de una suscripción de Azure, asígnele el rol Propietario en el ámbito de la suscripción. El rol Propietario da al usuario acceso total a todos los recursos de la suscripción, incluido el derecho a conceder acceso a otros. Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles. Por ejemplo, puede permitir que un usuario solo asigne el rol Colaborador de máquina virtual a las entidades de servicio.

En este artículo se describe cómo asignar un usuario como administrador de una suscripción de Azure con condiciones. Estos pasos son los mismos que para la asignación de cualquier otro rol.

Requisitos previos

Para asignar roles de Azure, es necesario tener:

Paso 1: Abrir la suscripción

  1. Inicie sesión en Azure Portal.

  2. Busque las suscripciones en el cuadro de búsqueda.

  3. Haga clic en la suscripción que desee usar.

    A continuación se muestra una suscripción de ejemplo.

    Screenshot of Subscriptions overview

Paso 2: Abrir la página Agregar asignación de roles

Control de acceso (IAM) es la página que se usa normalmente para asignar roles y conceder acceso a los recursos de Azure. También se conoce como administración de identidad y acceso (IAM) y aparece en varias ubicaciones de Azure Portal.

  1. Haga clic en Control de acceso (IAM).

    A continuación se muestra un ejemplo de la página Control de acceso (IAM) de una suscripción.

    Screenshot of Access control (IAM) page for a subscription.

  2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

  3. Haga clic en Agregar>Agregar asignación de roles.

    Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.

    Screenshot of Add > Add role assignment menu.

    Se abre la página Agregar asignación de roles.

Paso 3: Seleccionar el rol Propietario.

El rol Propietario permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. Debe tener un máximo de 3 propietarios de suscripción para reducir el riesgo de vulneración por parte de un propietario en peligro.

  1. En la pestaña Rol , seleccione la pestaña Roles de administrador con privilegios .

    Screenshot of Add role assignment page with Privileged administrator roles tab selected.

  2. Seleccione el rol Propietario.

  3. Haga clic en Next.

Paso 4: elegir quién necesita acceso

  1. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio.

    Screenshot of Add role assignment page with Add members tab.

  2. Haga clic en Seleccionar miembros.

  3. Busque y seleccione el usuario.

    Puede escribir en el cuadro Seleccionar para buscar en el directorio por nombre para mostrar o dirección de correo electrónico.

    Screenshot of Select members pane.

  4. Haga clic en Guardar para agregar el usuario a la lista Miembros.

  5. En el cuadro de texto Descripción, escriba una descripción opcional para esta asignación de roles.

    Más adelante puede mostrar esta descripción en la lista de asignaciones de roles.

  6. Haga clic en Next.

Paso 5: Agregar una condición

Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles.

  1. En la pestaña Condiciones en ¿Qué puede hacer el usuario?, seleccione la opción Permitir que el usuario asigne solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).

    Screenshot of Add role assignment with the constrained option selected.

  2. Seleccione Seleccionar roles y entidades de seguridad.

    Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

    Screenshot of Add role assignment condition with a list of condition templates.

  3. Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

    Plantilla de condición Seleccione esta plantilla para
    Restringir roles Permitir que el usuario solo asigne roles que seleccione
    Restricción de roles y tipos de entidad de seguridad Permitir que el usuario solo asigne roles que seleccione
    Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio).
    Restringir roles y entidades de seguridad Permitir que el usuario solo asigne roles que seleccione
    Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccione

    Sugerencia

    Si quiere permitir la mayoría de las asignaciones de roles, pero no permite asignaciones de roles específicas, puede usar el editor de condiciones avanzadas y agregar manualmente una condición. Para obtener un ejemplo, vea Ejemplo: Permitir la mayoría de los roles, pero no permitir que otros usuarios asignen roles.

  4. En el panel configurar, agregue las configuraciones necesarias.

    Screenshot of configure pane for a condition with selection added.

  5. Seleccione Guardar para agregar la condición a la asignación de roles.

Paso 6: Asignar un rol

  1. En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.

  2. Haga clic en Revisión y asignación para asignar el rol.

    Transcurridos unos instantes, al usuario se le asigna el rol Propietario para la suscripción.

    Screenshot of role assignment list after assigning role.

Pasos siguientes