Descripción del acceso al área de trabajo de Azure Quantum
Aprenda a administrar el acceso (autorización) a un área de trabajo de Azure Quantum.
Control de acceso basado en roles de Azure
El control de acceso basado en rol de Azure (RBAC de Azure) es el sistema de autorización que se usa para administrar el acceso a los recursos de Azure, como un área de trabajo. Para conceder acceso, asigne roles a una entidad de seguridad.
Entidad de seguridad
Una entidad de seguridad es un objeto que representa un usuario, un grupo, una entidad de servicio o una identidad administrada.
| Entidad de seguridad | Definición |
|---|---|
| Usuario | Una cuenta de usuario que inicia sesión en Azure para crear, administrar y usar recursos. |
| Grupo | Un grupo de usuarios. Se usa para administrar usuarios que necesitan el mismo acceso y permisos a los recursos. |
| Entidad de servicio | Una identidad de usuario para una aplicación, un servicio o una plataforma que necesite acceder a los recursos. |
| Identidad administrada | Una identidad administrada automáticamente en Azure Active Directory (Azure AD) para que las aplicaciones las usen al conectarse a recursos que admiten la autenticación de Azure AD. |
Rol
Al conceder acceso a una entidad de seguridad, se asigna un rol integrado o se crea un rol personalizado. Los roles integrados más usados son Propietario, Colaborador y Lector.
| Role | Nivel de acceso |
|---|---|
| Propietario | Permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. |
| Colaborador | Concede acceso total para administrar todos los recursos, pero no le permite asignar roles en RBAC de Azure. |
| Lector | Ver todo recursos, pero no realizar cambios. |
Ámbito
Los roles se asignan en un ámbito determinado. Ámbito es el conjunto de recursos al que se aplica el acceso. Los ámbitos se estructuran en una relación de elementos primarios y secundarios. Cada nivel de jerarquía hace que el ámbito sea más específico. El nivel que seleccione determina el grado de amplitud con que se aplica el rol. Los niveles inferiores heredan los permisos de rol de los niveles superiores. Puede asignar roles en cuatro niveles de ámbito: grupo de administración, suscripción, grupo de recursos o recurso.
| Ámbito | Descripción |
|---|---|
| Grupo de administración | Le ayuda a administrar el acceso, la directiva y el cumplimiento de varias suscripciones. Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración. Es posible que necesite un grupo de administración si su organización tiene varias suscripciones. |
| Subscription | Asocia lógicamente las cuentas de usuario con los recursos que crean. Una cuenta de usuario es una identidad de usuario y una o varias suscripciones. Una suscripción representa una agrupación de recursos de Azure. Se genera una factura en el ámbito de la suscripción. Debe tener una cuenta con una suscripción activa para crear recursos de Azure. Para ver las opciones de suscripción, consulte Creación de un área de trabajo de Azure Quantum. |
| Grupos de recursos | Contenedor que contiene recursos relacionados para una solución de Azure. El grupo de recursos incluye los recursos que se desean administrar como grupo. Por ejemplo, se requieren los siguientes recursos para ejecutar aplicaciones en Azure Quantum:
|
| Recurso | Una instancia de un servicio que puede crear, como un área de trabajo o una cuenta de almacenamiento. |
Nota: Dado que el acceso se puede limitar a varios niveles en Azure, un usuario puede tener roles diferentes en cada nivel. Por ejemplo, un usuario con acceso de propietario a un área de trabajo podría no tener acceso de propietario al grupo de recursos que contiene el área de trabajo.
Requisitos de rol para crear un área de trabajo
Al crear un área de trabajo, primero se selecciona una suscripción, un grupo de recursos y una cuenta de almacenamiento para asociarla al área de trabajo. La capacidad de crear un área de trabajo depende de los niveles de acceso que tenga, empezando por el ámbito de la suscripción. Para ver la autorización de varios recursos, consulte Comprobación de las asignaciones de roles.
Propietario de la suscripción
Los propietarios de la suscripción pueden crear áreas de trabajo mediante las opciones Creación rápida o Creación avanzada . Puede elegir un grupo de recursos y una cuenta de almacenamiento que ya existan en la suscripción o crear otras nuevas. También tiene la capacidad de asignar roles a otros usuarios.
Colaborador de la suscripción
Los colaboradores de la suscripción pueden crear áreas de trabajo mediante la opción De creación avanzada .
Para crear una cuenta de almacenamiento, debe seleccionar un grupo de recursos existente del que sea propietario.
Para seleccionar una cuenta de almacenamiento existente, debe ser propietario de la cuenta de almacenamiento. También debe seleccionar el grupo de recursos existente al que pertenece la cuenta de almacenamiento.
Los colaboradores de la suscripción no pueden asignar roles a otros usuarios.
Lector de la suscripción
Los lectores de suscripción no pueden crear áreas de trabajo. Puede ver todos los recursos creados en la suscripción, pero no puede realizar ningún cambio ni asignar roles.
Comprobación de las asignaciones de roles
Comprobación de las suscripciones
Para ver una lista de las suscripciones y los roles asociados:
- Inicie sesión en Azure Portal.
- En Servicios de Azure, seleccione, Suscripciones. Si no ve Suscripciones aquí, use el cuadro de búsqueda para encontrarlo.
- El filtro Suscripciones situado junto al cuadro de búsqueda puede tener como valor predeterminado Suscripciones == filtro global. Para ver una lista de todas las suscripciones, seleccione el filtro Suscripciones y anule la selección de la opción "Seleccionar solo suscripciones seleccionadas en..." Caja. Luego, seleccione Aplicar. A continuación, el filtro debe mostrar Subscriptions == all.
Comprobación de los recursos
Para comprobar la asignación de roles que tiene u otro usuario para un recurso determinado, consulte Comprobación del acceso de un usuario a los recursos de Azure.
Asignación de roles
Para agregar nuevos usuarios a un área de trabajo, debe ser propietario del área de trabajo. Para conceder acceso a 10 o menos usuarios al área de trabajo, consulte Uso compartido del acceso al área de trabajo de Azure Quantum. Para conceder acceso a más de 10 usuarios, consulte Incorporación de un grupo al área de trabajo de Azure Quantum.
Para asignar roles a cualquier recurso en cualquier ámbito, incluido el nivel de suscripción, consulte Asignación de roles de Azure mediante el Azure Portal.
Solución de problemas
Al crear un recurso en Azure (por ejemplo, un área de trabajo), no es directamente el propietario del recurso. El rol se hereda del rol más alto del ámbito con el que está autorizado en esa suscripción.
A veces, las nuevas asignaciones de roles pueden tardar hasta una hora en surtir efecto sobre los permisos almacenados en caché en la pila.
Para obtener soluciones a problemas comunes, consulte Solución de problemas de Azure Quantum: Creación de un área de trabajo de Azure Quantum.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de