Configuración de una identidad administrada para un centro de desarrollo

  • Artículo

En esta guía se explica cómo agregar y configurar una identidad administrada para el centro de desarrollo de entornos de implementación de Azure para habilitar la implementación segura para los equipos de desarrollo.

Los entornos de implementación de Azure usan identidades administradas para proporcionar a los equipos de desarrollo funcionalidades de implementación de autoservicio sin concederles acceso a las suscripciones en las que se crean los recursos de Azure. Una identidad administrada agrega funcionalidades de privilegios elevados y autenticación segura a cualquier servicio que admita la autenticación de Microsoft Entra.

A la identidad administrada asociada a un centro de desarrollo se le debe asignar tanto el rol Colaborador como el rol De acceso de usuario Administración istrator en las suscripciones de implementación para cada tipo de entorno. Cuando se solicita una implementación de entorno, el servicio concede los permisos adecuados a las identidades de implementación configuradas para el tipo de entorno a fin de realizar implementaciones en nombre del usuario. La identidad administrada asociada a un centro de desarrollo también se usa para agregar a un catálogo y tener acceso a definiciones de entorno en el catálogo.

Agregar una identidad administrada

En Azure Deployment Environments, puede elegir entre dos tipos de identidades administradas:

  • Identidad asignada por el sistema: una identidad asignada por el sistema está vinculada al centro de desarrollo o al tipo de entorno del proyecto. Cuando se elimina el recurso asociado, se elimina una identidad asignada por el sistema. Un centro de desarrollo o un tipo de entorno de proyecto solo puede tener una identidad asignada por el sistema.
  • Identidad asignada por el usuario: una identidad asignada por el usuario es un recurso de Azure independiente que se puede asignar al centro de desarrollo o al tipo de entorno de un proyecto. En entornos de implementación de Azure, un centro de desarrollo o un tipo de entorno de proyecto solo puede tener una identidad asignada por el usuario.

Como procedimiento recomendado de seguridad, si decide usar identidades asignadas por el usuario, use identidades diferentes para el proyecto y para el centro de desarrollo. Las identidades de proyecto deben tener un acceso más limitado a los recursos en comparación con un centro de desarrollo.

Nota:

En Entornos de implementación de Azure, si agrega una identidad asignada por el sistema y una identidad asignada por el usuario, solo se usa la identidad asignada por el usuario.

Adición de una identidad administrada asignada por el sistema

  1. Inicie sesión en Azure Portal y vaya a Azure Deployment Environments.

  2. En Centros de desarrollo, seleccione su centro de desarrollo.

  3. En el menú izquierdo de Configuración, seleccione Identidad.

  4. En Asignado por el sistema, establezca Estado en Activado.

  5. Seleccione Guardar.

    Screenshot that shows the system-assigned managed identity.

  6. En el diálogo Habilitar identidad administrada por el sistema, seleccione .

Adición de una identidad administrada asignada por el usuario

  1. Inicie sesión en Azure Portal y vaya a Azure Deployment Environments.

  2. En Centros de desarrollo, seleccione su centro de desarrollo.

  3. En el menú izquierdo de Configuración, seleccione Identidad.

  4. Un Asignada por el usuario, seleccione Agregar para asociar una identidad existente.

    Screenshot that shows the user-assigned managed identity.

  5. En Agregar identidad administrada asignada por el usuario, escriba o seleccione la siguiente información:

    1. En Suscripción, seleccione la suscripción en la que existe la identidad.
    2. En Identidades administradas asignadas por el usuario, seleccione una identidad existente.
    3. Seleccione Agregar.

Asignar una asignación de roles de suscripción

A la identidad adjunta al centro de desarrollo se le deben asignar los roles colaborador y acceso de usuario Administración istrator para todas las suscripciones de implementación y el rol Lector para todas las suscripciones que contienen el proyecto pertinente. Cuando un usuario crea o implementa un entorno, el servicio concede acceso adecuado a la identidad de implementación que está asociada al tipo de entorno del proyecto. La identidad de implementación usa el acceso para realizar implementaciones en nombre del usuario. Puede usar la identidad administrada para permitir a los desarrolladores crear entornos sin concederles acceso a la suscripción.

Incorporación de una asignación de roles a una identidad administrada asignada por el sistema

  1. En Azure Portal, vaya al centro de desarrollo en Entornos de implementación de Azure.

  2. En el menú izquierdo de Configuración, seleccione Identidad.

  3. En Asignada por el sistema>Permisos, seleccione Asignaciones de roles de Azure.

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. Para dar acceso de colaborador a la suscripción, seleccione Agregar asignación de roles (versión preliminar), escriba o seleccione la información siguiente y, a continuación, seleccione Guardar:

    NOMBRE Valor
    Ámbito Subscription
    Suscripción Seleccione la suscripción en la que se va a usar la identidad administrada.
    Rol Colaborador

  5. Para dar acceso de administrador de acceso de usuario a la suscripción, seleccione Agregar asignación de roles (versión preliminar), escriba o seleccione la información siguiente y, a continuación, seleccione Guardar:

    NOMBRE Valor
    Ámbito Subscription
    Suscripción Seleccione la suscripción en la que se va a usar la identidad administrada.
    Rol Administrador de acceso de usuario

Incorporación de una asignación de roles a una identidad administrada asignada por el usuario

  1. En Azure Portal, vaya al centro de desarrollo.

  2. En el menú izquierdo de Configuración, seleccione Identidad.

  3. En Asignada por el usuario, seleccione la identidad.

  4. En el menú de la izquierda, seleccione Asignaciones de roles de Azure.

  5. Para dar acceso de colaborador a la suscripción, seleccione Agregar asignación de roles (versión preliminar), escriba o seleccione la información siguiente y, a continuación, seleccione Guardar:

    NOMBRE Valor
    Ámbito Subscription
    Suscripción Seleccione la suscripción en la que se va a usar la identidad administrada.
    Rol Colaborador

  6. Para dar acceso de administrador de acceso de usuario a la suscripción, seleccione Agregar asignación de roles (versión preliminar), escriba o seleccione la información siguiente y, a continuación, seleccione Guardar:

    NOMBRE Valor
    Ámbito Subscription
    Suscripción Seleccione la suscripción en la que se va a usar la identidad administrada.
    Rol Administrador de acceso de usuario

Concesión a la identidad administrada de acceso al secreto del almacén de claves

Puede configurar el almacén de claves para usar una directiva de acceso del almacén de claves o un control de acceso basado en rol de Azure.

Nota:

Para poder agregar un repositorio como catálogo, debe conceder a la identidad administrada acceso al secreto del almacén de claves que contiene el token de acceso personal del repositorio.

Directiva de acceso de Key Vault

Si el almacén de claves está configurado para usar una directiva de acceso al almacén de claves:

  1. En Azure Portal, vaya al almacén de claves que contiene el secreto con el token de acceso personal.

  2. En el menú de la izquierda, seleccione Directivas de acceso y, a continuación, seleccione Crear.

  3. En Crear una directiva de acceso, escriba o seleccione la siguiente información:

    1. En la pestaña Permisos, en Permisos de secretos, active la casilla Obtener y, luego, seleccione Siguiente.
    2. En la pestaña Entidad de seguridad, seleccione la identidad asociada al centro de desarrollo.
    3. Seleccione Revisar y crear y, luego, Crear.

Control de acceso basado en roles de Azure

Si el almacén de claves está configurado para usar el control de acceso basado en roles de Azure:

  1. En Azure Portal, vaya al almacén de claves que contiene el secreto con el token de acceso personal.

  2. En el menú izquierdo, seleccione Control de acceso (IAM).

  3. Seleccione la identidad y, en el menú de la izquierda, seleccione Asignaciones de roles de Azure.

  4. Seleccione Agregar asignación de roles y escriba o seleccione la información siguiente:

    1. En Ámbito, seleccione el almacén de claves.
    2. En Suscripción, seleccione la suscripción que contiene el almacén de claves.
    3. En Recurso, seleccione el almacén de claves.
    4. En Rol, seleccione Usuario de secretos de Key Vault.
    5. Seleccione Guardar.

Contenido relacionado