Información general sobre el control de acceso basado en rol de Azure para Análisis de firmware de Defender para IoT
Como usuario de Análisis de firmware de Defender para IoT, es posible que desee administrar el acceso a los resultados del análisis de imágenes de firmware. El control de acceso basado en rol (RBAC) de Azure es un sistema de autorización que permite controlar quién tiene acceso a los resultados del análisis, qué permisos tiene y en qué nivel de la jerarquía de recursos. En este artículo se explica cómo almacenar los resultados del análisis de firmware en Azure, administrar los permisos de acceso y usar RBAC para compartir estos resultados en la organización y con terceros. Para obtener más información sobre Azure RBAC, consulte ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
Roles
Los roles son una colección de permisos empaquetados conjuntamente. Hay dos tipos de roles:
- Los roles de función de trabajo conceden a los usuarios permiso para realizar tareas o funciones de trabajo específicas, como los roles de colaborador de Key Vault o usuario de supervisión de clústeres de Azure Kubernetes Service.
- Los roles de administrador con privilegios conceden privilegios de acceso elevados, como los roles de propietario, colaboradoro administrador de acceso de usuarios. Para obtener más información sobre los roles, visite Roles integrados de Azure.
En Análisis de firmware de Defender para IoT, los roles más comunes son Propietario, Colaborador, Administrador de seguridad y Administrador de análisis de firmware. Obtenga más información sobre los roles que se necesitan para los distintos permisos; por ejemplo, para cargar imágenes de firmware o compartir los resultados de los análisis de firmware.
Descripción de la representación de imágenes de firmware en la jerarquía de recursos de Azure
Azure organiza los recursos en jerarquías de recursos, que tienen una estructura descendente, y permite asignar roles en cada nivel de la jerarquía. El nivel en el que se asigna un rol es el "ámbito", y los ámbitos inferiores pueden heredar los roles asignados en ámbitos superiores. Obtenga más información sobre los niveles de jerarquía y cómo organizar los recursos en la jerarquía.
Al incorporar la suscripción a Defender para IoT Firmware Analysis y seleccionar el grupo de recursos, la acción crea automáticamente el recurso predeterminado dentro del grupo de recursos.
Vaya al grupo de recursos y seleccione Mostrar tipos ocultos para mostrar el recurso predeterminado. El recurso predeterminado tiene el tipo Microsoft.IoTFirmwareDefense.workspaces.
Aunque el recurso de área de trabajo predeterminado no es algo con lo que vaya a interactuar habitualmente, cada imagen de firmware con la que se cargue se representará como un recurso y se almacenará aquí.
Puede usar RBAC en cada nivel de la jerarquía, incluido el nivel de recurso predeterminado oculto del área de trabajo de Análisis de firmware.
Esta es la jerarquía de recursos de Análisis de firmware de Defender para IoT:
Aplicación de Azure RBAC
Nota:
Para empezar a usar El análisis de firmware de Defender para IoT, el usuario que incorpora la suscripción al análisis de firmware de Defender para IoT debe ser propietario, colaborador, administrador de análisis de firmware o administrador de seguridad en el nivel de suscripción. Siga el tutorial de Análisis de una imagen de firmware con Microsoft Defender para IoT para incorporar la suscripción. Una vez que se incorpore la suscripción, basta con que el usuario sea administrador de análisis de firmware para poder usar Análisis de Firmware de Defender para IoT.
Como usuario de Análisis de firmware de Defender para IoT, es posible que tenga que realizar determinadas acciones para su organización, como cargar imágenes de firmware o compartir resultados de análisis.
Este tipo de acciones conllevan un control de acceso basado en rol (RBAC). Para usar de forma eficaz RBAC para Análisis de firmware de Defender para IoT, debe saber cuál es la asignación de roles y el ámbito. Esta información le permitirá saber con qué permisos cuenta y, por tanto, si puede realizar determinadas acciones. Para comprobar la asignación de roles, consulte Comprobación del acceso de un usuario a un único recurso de Azure: Azure RBAC. A continuación, consulte la tabla siguiente para comprobar qué roles y ámbitos son necesarios para determinadas acciones.
Roles comunes en Análisis de firmware de Defender para IoT
En esta tabla se categoriza cada rol y se proporciona una breve descripción de los permisos correspondientes:
| Rol | Categoría | Descripción |
|---|---|---|
| Propietario | Rol de administrador con privilegios | Permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. |
| Colaborador | Rol de administrador con privilegios | Concede acceso completo para administrar todos los recursos, pero no permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes. |
| Administrador de seguridad | Rol de función de trabajo | Permite al usuario cargar y analizar imágenes de firmware en Defender para IoT, agregar o asignar iniciativas de seguridad y editar la directiva de seguridad. Más información. |
| Administrador de análisis de firmware | Rol de función de trabajo | Permite al usuario cargar y analizar imágenes de firmware en Defender para IoT. El usuario no tiene acceso más allá del análisis de firmware (no puede acceder a otros recursos de la suscripción, crear o eliminar recursos, ni invitar a otros usuarios). |
Roles, ámbitos y capacidades de Análisis de firmware de Defender para IoT
En la tabla siguiente se resumen los roles que se necesitan para realizar determinadas acciones. Estos roles y permisos se aplican en los niveles de suscripción y de grupo de recursos, a menos que se indique lo contrario.
| Action | Rol necesario |
|---|---|
| Análisis de firmware | Propietario, Colaborador, Administrador de seguridad o Administrador de análisis de firmware |
| Invitar a usuarios de terceros a ver los resultados del análisis de firmware | Propietario |
| Invitar a usuarios a la suscripción | Propietario en el nivel de suscripción (el propietario en el nivel de grupo de recursos no puede invitar a usuarios a la suscripción) |
Carga de imágenes de firmware
Para cargar imágenes de firmware:
- Confirme que tiene el permiso necesario en Roles, ámbitos y capacidades de Análisis de firmware de Defender para IoT.
- Cargue una imagen de firmware para su análisis.
Invitar a terceros a interactuar con los resultados del análisis de firmware
Es posible que quiera invitar a alguien a interactuar únicamente con los resultados del análisis de firmware, sin permitir el acceso a otras partes de la organización (como otros grupos de recursos de la suscripción). Para permitir este tipo de acceso, invite al usuario como administrador de análisis de firmware en el nivel de grupo de recursos.
Para invitar a un tercero, siga el tutorial Asignación de roles de Azure a usuarios invitados externos mediante Azure Portal.
- En el paso 3, vaya al grupo de recursos.
- En el paso 7, seleccione el rol Administrador de análisis de firmware.
Nota:
Si ha recibido un correo electrónico para unirse a una organización y no lo ve en la bandeja de entrada, compruebe si está en la carpeta de correo no deseado.