Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
El control de acceso basado en rol (RBAC) es la forma en la que se administra el acceso a los recursos de Azure. En este tutorial se concede a un grupo acceso para ver todos los elementos de una suscripción y administrar todo el contenido de un grupo de recursos mediante Azure PowerShell.
En este tutorial, aprenderá a:
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Nota
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para empezar, consulta Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Para realizar este tutorial, necesita:
En Azure RBAC, para conceder acceso es preciso crear una asignación de roles. Una asignación de roles consta de tres elementos: entidad de seguridad, definición de rol y ámbito. Estas son las dos asignaciones de roles que llevará a cabo en este tutorial:
| Entidad de seguridad | Definición de roles | Ámbito |
|---|---|---|
| Grupo (Grupo de tutorial de RBAC) |
Lector | Subscription |
| Grupo (Grupo de tutorial de RBAC) |
Colaborador | Resource group (rbac-tutorial-resource-group) |
Para asignar un rol, se necesita un usuario, un grupo o una entidad de servicio. Si aún no tiene un grupo, puede crearlo.
En Azure Cloud Shell, cree un nuevo grupo con el comando New-MgGroup.
New-MgGroup -DisplayName "RBAC Tutorial Group" -MailEnabled:$false `
-SecurityEnabled:$true -MailNickName "NotSet"
DisplayName Id MailNickname Description GroupTypes
----------- -- ------------ ----------- ----------
RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet {}
Si no tiene permisos para crear grupos, puede probar el Tutorial: Concesión de acceso de usuario a recursos de Azure PowerShell en su lugar.
Use un grupo de recursos para mostrar cómo asignar un rol a un ámbito de un grupo de recursos.
Obtenga una lista de regiones con el comando Get AzLocation.
Get-AzLocation | select Location
Seleccione una ubicación próxima y asígnela a una variable.
$location = "westus"
Cree un grupo de recursos con el comando New-AzResourceGroup.
New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
ResourceGroupName : rbac-tutorial-resource-group
Location : westus
ProvisioningState : Succeeded
Tags :
ResourceId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
Para conceder acceso al grupo, use el comando New-AzRoleAssignment para asignar un rol. Debe especificar la entidad de seguridad, la definición del rol y el ámbito.
Obtenga el identificador de objeto del grupo mediante el comando Get-MgGroup.
Get-MgGroup -Filter "DisplayName eq 'RBAC Tutorial Group'"
DisplayName Id MailNickname Description GroupTypes
----------- -- ------------ ----------- ----------
RBAC Tutorial Group aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb NotSet {}
Guarde el identificador de objeto del grupo en una variable.
$groupId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Obtenga el identificador de la suscripción mediante el comando Get AzSubscription.
Get-AzSubscription
Name : Pay-As-You-Go
Id : 00000000-0000-0000-0000-000000000000
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
State : Enabled
Guarde el ámbito de la suscripción en una variable.
$subScope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
Asigne el rol de lector al grupo en el ámbito de la suscripción.
New-AzRoleAssignment -ObjectId $groupId `
-RoleDefinitionName "Reader" `
-Scope $subScope
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : Group
CanDelegate : False
Asigne el rol de colaborador al grupo en el ámbito del grupo de recursos.
New-AzRoleAssignment -ObjectId $groupId `
-RoleDefinitionName "Contributor" `
-ResourceGroupName "rbac-tutorial-resource-group"
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : Group
CanDelegate : False
Para comprobar el acceso de la suscripción, use el comando Get-AzRoleAssignment para enumerar las asignaciones de roles.
Get-AzRoleAssignment -ObjectId $groupId -Scope $subScope
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : Group
CanDelegate : False
En la salida, puede ver que se ha asignado que el rol de lector se ha asignado al grupo del tutorial de RBAC en el ámbito de la suscripción.
Para comprobar el acceso del grupo de recursos, use el comando Get-AzRoleAssignment para enumerar las asignaciones de roles.
Get-AzRoleAssignment -ObjectId $groupId -ResourceGroupName "rbac-tutorial-resource-group"
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rbac-tutorial-resource-group
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Contributor
RoleDefinitionId : b24988ac-6180-42a0-ab88-20f7382dd24c
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : Group
CanDelegate : False
RoleAssignmentId : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
Scope : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
DisplayName : RBAC Tutorial Group
SignInName :
RoleDefinitionName : Reader
RoleDefinitionId : acdd72a7-3385-48ef-bd42-f606fba81ae7
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : Group
CanDelegate : False
En la salida, puede ver que ambos roles, colaborador y lector, se han asignado al grupo del tutorial de RBAC. El rol de colaborador está en el ámbito de rbac-tutorial-resource-group, mientras que el rol de lector se hereda en el ámbito de la suscripción.
Para ver el aspecto de las asignaciones de roles en Azure Portal, vea la hoja Control de acceso (IAM) de la suscripción.
Vea la hoja Control de acceso (IAM) de un grupo de recursos.
Para quitar el acceso de usuarios, grupos y aplicaciones, use Remove-AzRoleAssignment para quitar una asignación de roles.
Utilice el siguiente comando para quitar la asignación del rol de colaborador al grupo del ámbito del grupo de recursos.
Remove-AzRoleAssignment -ObjectId $groupId `
-RoleDefinitionName "Contributor" `
-ResourceGroupName "rbac-tutorial-resource-group"
Utilice el siguiente comando para quitar la asignación del rol de colaborador al grupo del ámbito de la suscripción.
Remove-AzRoleAssignment -ObjectId $groupId `
-RoleDefinitionName "Reader" `
-Scope $subScope
Para limpiar los recursos creados por este tutorial puede eliminar tanto el grupo como el grupo de recursos.
Elimine el grupo de recursos con el comando Remove-AzResourceGroup.
Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
Confirm
Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):
Cuando se le pida confirmación, escriba Y. Tardará unos segundos en eliminarse.
Elimine el grupo mediante el comando Remove-MgGroup.
Remove-MgGroup -GroupID $groupId
Si recibe un error al intentar eliminar el grupo, también puede eliminarlo en el portal.
Cursos
Módulo
Descubra cómo usar el control de acceso basado en rol de Azure para administrar de forma eficaz el acceso de su equipo a los recursos de Azure.
Certificación
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.
Documentación
Tutorial: Concesión de acceso de usuario a recursos de Azure mediante Azure PowerShell: Azure RBAC
En este tutorial aprenderá a conceder acceso de usuario a recursos de Azure mediante Azure PowerShell y el control de acceso basado en rol (Azure RBAC).
Asignación de roles de Azure mediante Azure PowerShell: RBAC de Azure
Aprenda a conceder acceso a recursos de Azure para usuarios, grupos, entidades de servicio e identidades administradas mediante el control de acceso basado en rol (RBAC) de Azure y Azure PowerShell.
Pasos para asignar un rol de Azure: RBAC de Azure
Conozca los pasos para asignar roles de Azure a usuarios, grupos, entidades de servicio o identidades administradas mediante el control de acceso basado en roles de Azure (Azure RBAC).