Tutorial: Concesión de acceso de usuario a recursos de Azure mediante Azure PowerShell

El control de acceso basado en rol (RBAC) es la forma en la que se administra el acceso a los recursos de Azure. En este tutorial se concede a un usuario acceso para ver todos los elementos de una suscripción y administrar todo el contenido de un grupo de recursos mediante Azure PowerShell.

En este tutorial, aprenderá a:

  • Conceder acceso a un usuario a distintos ámbitos
  • Lista de acceso
  • Quitar acceso

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Nota

Para interactuar con Azure, se recomienda el módulo de Azure Az de PowerShell. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Prerrequisitos

Para realizar este tutorial, necesita:

  • Permisos para crear usuarios en Azure Active Directory (o tener un usuario existente)
  • Azure Cloud Shell

Asignaciones de roles

En Azure RBAC, para conceder acceso es preciso crear una asignación de roles. Una asignación de roles consta de tres elementos: entidad de seguridad, definición de rol y ámbito. Estas son las dos asignaciones de roles que llevará a cabo en este tutorial:

Entidad de seguridad Definición de roles Ámbito
Usuario
(Usuario de tutorial de RBAC)
Lector Subscription
Usuario
(Usuario de tutorial de RBAC)
Colaborador Resource group
(rbac-tutorial-resource-group)

Asignaciones de roles de un usuario

Creación de un usuario

Para asignar un rol, se necesita un usuario, un grupo o una entidad de servicio. Si aún no tiene un usuario, puede crearlo.

  1. En Azure Cloud Shell, cree una contraseña que cumpla con los requisitos de complejidad de contraseña.

    $PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
    $PasswordProfile.Password = "Password"
    
  2. Cree un nuevo usuario para el dominio mediante el comando New-AzureADUser.

    New-AzureADUser -DisplayName "RBAC Tutorial User" -PasswordProfile $PasswordProfile `
      -UserPrincipalName "rbacuser@example.com" -AccountEnabled $true -MailNickName "rbacuser"
    
    ObjectId                             DisplayName        UserPrincipalName    UserType
    --------                             -----------        -----------------    --------
    11111111-1111-1111-1111-111111111111 RBAC Tutorial User rbacuser@example.com Member
    

Crear un grupo de recursos

Use un grupo de recursos para mostrar cómo asignar un rol a un ámbito de un grupo de recursos.

  1. Obtenga una lista de regiones con el comando Get AzLocation.

    Get-AzLocation | select Location
    
  2. Seleccione una ubicación próxima y asígnela a una variable.

    $location = "westus"
    
  3. Cree un grupo de recursos con el comando New-AzResourceGroup.

    New-AzResourceGroup -Name "rbac-tutorial-resource-group" -Location $location
    
    ResourceGroupName : rbac-tutorial-resource-group
    Location          : westus
    ProvisioningState : Succeeded
    Tags              :
    ResourceId        : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
    

Conceder acceso

Para conceder acceso al usuario, use el comando New-AzRoleAssignment para asignar un rol. Debe especificar la entidad de seguridad, la definición del rol y el ámbito.

  1. Obtenga el identificador de la suscripción mediante el comando Get AzSubscription.

    Get-AzSubscription
    
    Name     : Pay-As-You-Go
    Id       : 00000000-0000-0000-0000-000000000000
    TenantId : 22222222-2222-2222-2222-222222222222
    State    : Enabled
    
  2. Guarde el ámbito de la suscripción en una variable.

    $subScope = "/subscriptions/00000000-0000-0000-0000-000000000000"
    
  3. Asigne el rol de lector al usuario en el ámbito de la suscripción.

    New-AzRoleAssignment -SignInName rbacuser@example.com `
      -RoleDefinitionName "Reader" `
      -Scope $subScope
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/44444444-4444-4444-4444-444444444444
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
    DisplayName        : RBAC Tutorial User
    SignInName         : rbacuser@example.com
    RoleDefinitionName : Reader
    RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : User
    CanDelegate        : False
    
  4. Asigne el rol de colaborador al usuario en el ámbito del grupo de recursos.

    New-AzRoleAssignment -SignInName rbacuser@example.com `
      -RoleDefinitionName "Contributor" `
      -ResourceGroupName "rbac-tutorial-resource-group"
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
    DisplayName        : RBAC Tutorial User
    SignInName         : rbacuser@example.com
    RoleDefinitionName : Contributor
    RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : User
    CanDelegate        : False
    

Lista de acceso

  1. Para comprobar el acceso de la suscripción, use el comando Get-AzRoleAssignment para enumerar las asignaciones de roles.

    Get-AzRoleAssignment -SignInName rbacuser@example.com -Scope $subScope
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
    DisplayName        : RBAC Tutorial User
    SignInName         : rbacuser@example.com
    RoleDefinitionName : Reader
    RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : User
    CanDelegate        : False
    

    En la salida, puede ver que se ha asignado que el rol de lector se ha asignado al usuario del tutorial de RBAC en el ámbito de la suscripción.

  2. Para comprobar el acceso del grupo de recursos, use el comando Get-AzRoleAssignment para enumerar las asignaciones de roles.

    Get-AzRoleAssignment -SignInName rbacuser@example.com -ResourceGroupName "rbac-tutorial-resource-group"
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group/providers/Microsoft.Authorization/roleAssignments/33333333-3333-3333-3333-333333333333
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/rbac-tutorial-resource-group
    DisplayName        : RBAC Tutorial User
    SignInName         : rbacuser@example.com
    RoleDefinitionName : Contributor
    RoleDefinitionId   : b24988ac-6180-42a0-ab88-20f7382dd24c
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : User
    CanDelegate        : False
    
    RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/22222222-2222-2222-2222-222222222222
    Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
    DisplayName        : RBAC Tutorial User
    SignInName         : rbacuser@example.com
    RoleDefinitionName : Reader
    RoleDefinitionId   : acdd72a7-3385-48ef-bd42-f606fba81ae7
    ObjectId           : 11111111-1111-1111-1111-111111111111
    ObjectType         : User
    CanDelegate        : False
    

    En la salida, puede ver que ambos roles, colaborador y lector, se han asignado al usuario del tutorial de RBAC. El rol de colaborador está en el ámbito de rbac-tutorial-resource-group, mientras que el rol de lector se hereda en el ámbito de la suscripción.

(Opcional) Acceso a la lista mediante Azure Portal

  1. Para ver el aspecto de las asignaciones de roles en Azure Portal, vea la hoja Control de acceso (IAM) de la suscripción.

    Asignaciones de roles para un usuario a un ámbito de la suscripción

  2. Vea la hoja Control de acceso (IAM) de un grupo de recursos.

    Asignaciones de roles para un usuario en el ámbito del grupo de recursos

Quitar acceso

Para quitar el acceso de usuarios, grupos y aplicaciones, use Remove-AzRoleAssignment para quitar una asignación de roles.

  1. Utilice el siguiente comando para quitar la asignación del rol de colaborador al usuario del ámbito del grupo de recursos.

    Remove-AzRoleAssignment -SignInName rbacuser@example.com `
      -RoleDefinitionName "Contributor" `
      -ResourceGroupName "rbac-tutorial-resource-group"
    
  2. Utilice el siguiente comando para quitar la asignación del rol de colaborador al usuario del ámbito de la suscripción.

    Remove-AzRoleAssignment -SignInName rbacuser@example.com `
      -RoleDefinitionName "Reader" `
      -Scope $subScope
    

Limpieza de recursos

Para limpiar los recursos creados por este tutorial puede eliminar tanto el usuario como el grupo de recursos.

  1. Elimine el grupo de recursos con el comando Remove-AzResourceGroup.

    Remove-AzResourceGroup -Name "rbac-tutorial-resource-group"
    
    Confirm
    Are you sure you want to remove resource group 'rbac-tutorial-resource-group'
    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"):
    
  2. Cuando se le pida confirmación, escriba Y. Tardará unos segundos en eliminarse.

  3. Elimine el usuario mediante el comando Remove-AzureADUser.

    Remove-AzureADUser -ObjectId "rbacuser@example.com"
    

Pasos siguientes