Descripción de la diferencia entre los roles de Azure y los roles de Microsoft Entra

  • 5 minutos

Los recursos de Azure y Microsoft Entra ID tienen sistemas de permisos independientes. Se usan los roles de Azure para administrar el acceso a máquinas virtuales, almacenamiento y otros recursos de Azure. Se usan los roles de Microsoft Entra para administrar el acceso a recursos de Microsoft Entra, como cuentas de usuario y contraseñas.

En esta unidad, revisará los aspectos básicos de los roles de Azure y los de Microsoft Entra. Explorará los diferentes ámbitos disponibles. Después, identificará los roles adecuados que debe asignar en función del escenario.

Roles de Azure

El control de acceso basado en rol de Azure (Azure RBAC) es el sistema que permite controlar quién tiene acceso a qué recursos de Azure, y qué puede hacer con esos recursos. Puede conseguir el control mediante la asignación de roles a los usuarios, los grupos o las aplicaciones en un ámbito concreto. Un rol se podría describir como una colección de permisos.

Con RBAC de Azure puede permitir que un usuario o un conjunto de usuarios accedan a los recursos de una suscripción. También puede separar la responsabilidad para determinados recursos en función de las especializaciones del equipo. Por ejemplo, es posible que quiera conceder a los científicos de datos de la organización acceso a Azure Machine Learning y todos los recursos asociados, como Azure SQL Database, o bien a Azure Blob Storage dentro de un grupo de recursos de Machine Learning dedicado. Al conceder acceso específico, aísla estos recursos de los miembros del equipo que no tienen los conocimientos necesarios o no necesitan esos recursos.

Puede especificar permisos detallados para aplicaciones, de modo que una aplicación web de marketing solo tenga acceso a la base de datos de marketing asociada y a la cuenta de almacenamiento. En el caso de los administradores o miembros del equipo situados más arriba en la organización, podría conceder acceso a todos los recursos de un grupo de recursos, a una suscripción con fines de administración, así como información general sobre la facturación y el consumo.

RBAC de Azure tiene muchos roles integrados, y puede crear roles personalizados.

Estos son cuatro ejemplos de roles integrados:

  • Propietario: tiene acceso total a todos los recursos, incluida la capacidad de delegar este acceso a otros usuarios
  • Colaborador: puede crear y administrar los recursos de Azure
  • Lector: solo puede ver los recursos existentes de Azure
  • Administrador de acceso de usuario: puede administrar el acceso a los recursos de Azure

Identificación del ámbito adecuado

Puede aplicar roles de Azure en cuatro niveles de ámbito: grupos de administración, suscripciones, grupos de recursos y recursos. En el diagrama siguiente se muestra la jerarquía de estos cuatro niveles.

Diagram of scope hierarchy.

Los grupos de administración de Azure ayudan a administrar las suscripciones de Azure mediante su agrupación. Si la organización tiene muchas suscripciones, es posible que necesite una forma de administrar con eficacia el acceso, las directivas y el cumplimiento para esas suscripciones. Los grupos de administración de Azure ofrecen un nivel de ámbito que está por encima de las suscripciones.

Las suscripciones de Azure le ayudan a organizar el acceso a los recursos de Azure y determinar cómo se registra, factura y paga el uso de los recursos. Cada suscripción puede tener una configuración de facturación y pago diferente, por lo que puede tener suscripciones y planes distintos por oficina, departamento, proyecto, etc.

Los grupos de recursos son contenedores de los recursos relacionados de una solución de Azure. Un grupo de recursos incluye los recursos que se quieren administrar como grupo. Puede decidir qué recursos pertenecen a un grupo de recursos en función de lo que más le convenga para la organización.

El ámbito es importante y establece qué recursos deben tener aplicado un tipo de acceso específico. Imagine que un usuario de la organización necesita acceso a las máquinas virtuales. Podría usar el rol de colaborador de máquina virtual, que permite al usuario administrar máquinas virtuales solo en un grupo de recursos específico. Puede limitar el ámbito del rol a un nivel concreto de recursos, grupo de recursos, suscripción o grupo de administración.

Mediante la combinación de un rol de Azure y un ámbito, puede establecer permisos adaptados de forma precisa para los recursos de Azure.

Roles de Microsoft Entra

Microsoft Entra ID también tiene su propio conjunto de roles que se aplican principalmente a usuarios, contraseñas y dominios. Estos roles tienen otros fines. Estos son algunos ejemplos:

  • Administrador global: puede administrar el acceso a las características administrativas de Microsoft Entra ID. Un usuario con este rol puede conceder roles de administrador a otros usuarios y restablecer una contraseña para cualquier usuario o administrador. De forma predeterminada, este rol se asigna automáticamente a quien se registre en el directorio.

  • Administrador de usuarios: puede administrar todos los aspectos de los usuarios y grupos, como las incidencias de soporte técnico, la supervisión del estado del servicio y el restablecimiento de las contraseñas de determinados tipos de usuarios.

  • Administrador de facturación: puede realizar compras, administrar suscripciones e incidencias de soporte técnico, y supervisar el estado del servicio. Además de los permisos de Azure RBAC, Azure tiene permisos de facturación detallados. Los permisos de facturación disponibles dependen del contrato que tenga con Microsoft.

Diferencias entre los roles de Azure y los roles de Microsoft Entra

La principal diferencia entre los roles de Azure y los de Microsoft Entra son las áreas que abarcan. Los roles de Azure se aplican a los recursos de Azure, mientras que los roles de Microsoft Entra se aplican a los recursos de Microsoft Entra (especialmente a usuarios, grupos y dominios). Además, Microsoft Entra ID solo tiene un ámbito: el directorio. El ámbito de RBAC de Azure abarca grupos de administración, suscripciones, grupos de recursos y recursos.

Los roles comparten un área clave de superposición. Un administrador global de Microsoft Entra puede elevar su acceso para administrar todas las suscripciones y los grupos de administración de Azure. Este mayor acceso le concede el rol de administrador de acceso de usuario de RBAC de Azure para todas las suscripciones de su directorio. A través del rol Administrador de acceso de usuario, el administrador global puede conceder a otros usuarios el acceso a los recursos de Azure.

En este escenario, tiene que conceder privilegios completos de administración y facturación de RBAC de Azure a un nuevo administrador. Para ello, elevará temporalmente su acceso para que incluya el rol de administrador de acceso de usuarios. Después, podrá conceder al nuevo administrador el rol de propietario para que pueda crear y administrar recursos. También establecerá el ámbito en el nivel de la suscripción, para que el administrador pueda hacerlo para todos los recursos de la suscripción.

En el diagrama siguiente se muestran los recursos que el administrador global puede ver cuando sus permisos se elevan a administrador de acceso de usuario.

Diagram of User Access Administrator elevated permissions.

Comprobar los conocimientos

1.

Tiene que conceder acceso de administrador a una suscripción de Azure a otra persona de la organización. Esa persona debe poder administrar los recursos de Azure que se han creado en esa suscripción. También necesita acceso a la información de facturación de esa suscripción. ¿Qué rol debería concederle?

2.

¿Cuál es la principal diferencia entre los roles de Azure y los roles de Microsoft Entra?