Creación de un rol o una directiva en el panel Corrección

En este artículo se describe cómo puede usar el panel Corrección de la Administración de permisos de Microsoft Entra para crear roles o directivas para los sistemas de autorización de Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP).

Nota:

Para ver la pestaña Corrección, debe tener permisos de Visor, Controlador o Administrador. Para realizar cambios en esta pestaña, debe tener permisos de Controlador o Administrador. Si no tiene estos permisos, póngase en contacto con el administrador del sistema.

Nota:

Microsoft Azure usa el término rol para lo que otros proveedores de nube llaman directiva. Permissions Management realiza automáticamente este cambio de terminología al seleccionar el tipo de sistema de autorización. En la documentación del usuario, usamos rol o directiva para hacer referencia a ambos.

Creación de una directiva para AWS

Nota

Para obtener información sobre las cuotas de servicio de AWS y solicitar un aumento en esta cuota de servicio, visite la documentación de AWS.

1. En la página principal de Microsoft Entra, seleccione la pestaña Corrección y después la pestaña Rol/Directivas.

2. Use las listas desplegables para seleccionar el tipo de sistema de autorización y el sistema de autorización.

3. Seleccione Crear directiva.

4. En la página Detalles, los campos Authorization System Type (Tipo de sistema de autorización) y Authorization System (Sistema de autorización) se rellenan previamente desde la configuración anterior.

   • Para cambiar la configuración, realice una selección en la lista desplegable.

5. En How would you like to create the policy? (¿Cómo desea crear la directiva?), seleccione la opción necesaria:

   • Activity of User(s) (Actividad de los usuarios): permite crear una directiva basada en la actividad del usuario.
   • Activity of Group(s) (Actividad de grupos): permite crear una directiva basada en la actividad agregada de todos los usuarios que pertenecen a los grupos.
   • Activity of Resource(s) (Actividad de recursos): permite crear una directiva basada en la actividad de un recurso, por ejemplo, una instancia de EC2.
   • Activity of Role (Actividad de rol): permite crear una directiva basada en la actividad agregada de todos los usuarios que han asumido el rol.
   • Activity of Tag(s) (Actividad de etiquetas): permite crear una directiva basada en la actividad agregada de todas las etiquetas.
   • Activity of Lambda Function (Actividad de la función lambda): permite crear una nueva directiva basada en la función lambda.
   • From Existing Policy (A partir de la directiva existente): permite crear una directiva basada en una directiva existente.
   • New Policy (Nueva directiva): permite crear una directiva desde cero.

6. En Tasks performed in the last (Tareas realizadas en el último periodo de), seleccione la duración: 90 días, 60 días, 30 días, 7 días o 1 día.

7. En función de sus preferencias, seleccione o anule la selección de Include Access Advisor data (Incluir datos de Access Advisor).

8. En Configuración, en la columna Disponible, seleccione el signo más (+) para mover la identidad a la columna Seleccionado y, a continuación, seleccione Siguiente.

9. En la página Tareas, en la columna Disponible, seleccione el signo más (+) para mover la tarea a la columna Seleccionado.

   • Para agregar una categoría completa, seleccione una categoría.
   • Para agregar elementos individuales de una categoría, seleccione la flecha abajo situada a la izquierda del nombre de categoría y, a continuación, seleccione elementos individuales.

10. En Recursos, seleccione Todos los recursos o Recursos específicos.

    Si selecciona Recursos específicos, aparecerá una lista de los recursos disponibles. Busque los recursos que desea agregar y, a continuación, seleccione Agregar.

11. En Condiciones de solicitud, seleccione JSON.

12. En Efecto, seleccione Permitir o Denegar y, a continuación, seleccione Siguiente.

13. En Nombre de la directiva:, escriba un nombre para la directiva.

14. Para agregar otra instrucción a la directiva, seleccione Agregar instrucción y, luego, en la lista Instrucciones, seleccione una instrucción.

15. Revise la configuración de Tarea, Recursos, Condiciones de solicitud y Efecto y, a continuación, seleccione Siguiente.

16. En la página Versión preliminar, revise el script para confirmar que es lo que quiere.

17. Si el controlador no está habilitado, seleccione Descargar JSON o Descargar script para descargar el código y ejecutarlo usted mismo.

    Si el controlador está habilitado, omita este paso.

18. Seleccione Split policy (Dividir directiva) y, luego, elija Enviar.

    Un mensaje confirma que la directiva se ha enviado para su creación

19. El panel Tareas de Permissions Management aparece en la parte derecha.

    • En la pestaña Activas se muestra una lista de las directivas que Permissions Management procesa actualmente.
    • En la pestaña Completadas se muestra una lista de las directivas que Permissions Management ha completado.

20. Actualice la pestaña Rol/Directivas para ver la directiva que ha creado.

Creación de un rol para Azure

1. En la página principal de Permissions Management, seleccione la pestaña Corrección y después la pestaña Rol/Directivas.

2. Use las listas desplegables para seleccionar el tipo de sistema de autorización y el sistema de autorización.

3. Seleccione Create Role (Crear rol).

4. En la página Detalles, los campos Authorization System Type (Tipo de sistema de autorización) y Authorization System (Sistema de autorización) se rellenan previamente desde la configuración anterior.

   • Para cambiar la configuración, seleccione el cuadro y realice una selección en la lista desplegable.

5. En How would you like to create the role? (¿Cómo desea crear el rol?), seleccione la opción necesaria:

   • Activity of User(s) (Actividad de los usuarios): permite crear un rol basado en la actividad del usuario.
   • Activity of Group(s) (Actividad de grupos): permite crear un rol basado en la actividad agregada de todos los usuarios que pertenecen a los grupos.
   • Activity of App(s) (Actividad de aplicaciones): permite crear un rol basado en la actividad agregada de todas las aplicaciones.
   • From Existing Role (A partir del rol existente): permite crear un nuevo rol basado en un rol existente.
   • Nuevo rol: permite crear un rol desde cero.

6. En Tasks performed in the last (Tareas realizadas en el último periodo de), seleccione la duración: 90 días, 60 días, 30 días, 7 días o 1 día.

7. Según sus preferencias:

   • Seleccione o deseleccione Ignore non-Microsoft read actions (Omitir acciones de lectura que no son de Microsoft).
   • Seleccione o deseleccione Include read-only tasks (Incluir tareas de solo lectura).

8. En Configuración, en la columna Disponible, seleccione el signo más (+) para mover la identidad a la columna Seleccionado y, a continuación, seleccione Siguiente.

9. En la página Tareas, en Nombre de rol:, escriba un nombre para el rol.

10. En la columna Disponible, seleccione el signo más (+) para mover la tarea a la columna Seleccionado.

    • Para agregar una categoría completa, seleccione una categoría.
    • Para agregar elementos individuales de una categoría, seleccione la flecha abajo situada a la izquierda del nombre de categoría y, a continuación, seleccione elementos individuales.

11. Seleccione Siguiente.

12. (Opcional) Un administrador puede copiar la cadena de ámbito Grupos de recursos que se va a usar como ámbito. En Azure, seleccione Grupo de recursos>Supervisión>Propiedades y, después, copie el Id. de recurso.

13. En la página Versión preliminar, revise:

    • Lista de Acciones y Acciones no seleccionadas.
    • JSON o script para confirmar que es lo que quiere.

14. Si el controlador no está habilitado, seleccione Descargar JSON o Descargar script para descargar el código y ejecutarlo usted mismo.

    Si el controlador está habilitado, omita este paso.

15. Seleccione Submit (Enviar).

    Un mensaje confirma que el rol se ha enviado para su creación

16. El panel Tareas de Permissions Management aparece en la parte derecha.

    • En la pestaña Activas se muestra una lista de las directivas que Permissions Management procesa actualmente.
    • En la pestaña Completadas se muestra una lista de las directivas que Permissions Management ha completado.

17. Actualice la pestaña Rol/Directivas para ver el rol que ha creado.

Creación de un rol para GCP

1. En la página principal de Permissions Management, seleccione la pestaña Corrección y después la pestaña Rol/Directivas.

2. Use las listas desplegables para seleccionar el tipo de sistema de autorización y el sistema de autorización.

3. Seleccione Create Role (Crear rol).

4. En la página Detalles, los campos Authorization System Type (Tipo de sistema de autorización) y Authorization System (Sistema de autorización) se rellenan previamente desde la configuración anterior.

   • Para cambiar la configuración, seleccione el cuadro y realice una selección en la lista desplegable.

5. En How would you like to create the role? (¿Cómo desea crear el rol?), seleccione la opción necesaria:

   • Activity of User(s) (Actividad de los usuarios): permite crear un rol basado en la actividad del usuario.
   • Activity of Group(s) (Actividad de grupos): permite crear un rol basado en la actividad agregada de todos los usuarios que pertenecen a los grupos.
   • Activity of Service Account(s) (Actividad de las cuentas de servicio): permite crear un rol basado en la actividad agregada de todas las cuentas de servicio.
   • From Existing Role (A partir del rol existente): permite crear un nuevo rol basado en un rol existente.
   • Nuevo rol: permite crear un rol desde cero.

6. En Tasks performed in the last (Tareas realizadas en el último periodo de), seleccione la duración: 90 días, 60 días, 30 días, 7 días o 1 día.

7. Si seleccionó Activity of service account(s) (Actividad de las cuentas de servicio) en el paso anterior, seleccione o deseleccione Collect activity across all GCP authorization systems (Recopilar actividad en todos los sistemas de autorización de GCP).

8. En la columna Disponible, seleccione el signo más (+) para mover la identidad a la columna Seleccionado y, a continuación, seleccione Siguiente.

9. En la página Tareas, en Nombre de rol:, escriba un nombre para el rol.

10. En la columna Disponible, seleccione el signo más (+) para mover la tarea a la columna Seleccionado.

    • Para agregar una categoría completa, seleccione una categoría.
    • Para agregar elementos individuales de una categoría, seleccione la flecha abajo situada a la izquierda del nombre de categoría y, a continuación, seleccione elementos individuales.

11. Seleccione Next (Siguiente).

12. En la página Versión preliminar, revise:

    • Lista de Acciones seleccionadas.
    • YAML o script para confirmar que es lo que quiere.

13. Si el controlador no está habilitado, seleccione Descargar YAML o Descargar script para descargar el código y ejecutarlo usted mismo.

14. Seleccione Submit (Enviar). Un mensaje confirma que el rol se ha enviado para su creación

15. El panel Tareas de Permissions Management aparece en la parte derecha.

    • En la pestaña Activas se muestra una lista de las directivas que Permissions Management procesa actualmente.
    • En la pestaña Completadas se muestra una lista de las directivas que Permissions Management ha completado.

16. Actualice la pestaña Rol/Directivas para ver el rol que ha creado.

Pasos siguientes

• Para obtener información sobre cómo ver los roles, las directivas, las solicitudes y los permisos existentes, consulte Visualización de roles,directivas, solicitudes y permisos en el panel Corrección.
• Para obtener información sobre cómo modificar un rol o directiva, consulte Modificación de un rol o una directiva.