Compartir vía


Delegación de la administración de asignación de roles de Azure a otros usuarios con condiciones

Como administrador, podría recibir varias solicitudes para conceder acceso a recursos de Azure que querrá delegar a otra persona. Puede asignar a un usuario los roles de Propietario o Administrador de acceso de usuario, pero estos son roles con privilegios elevados. En este artículo, se describe una manera más segura de delegar la administración de asignación de roles a otros usuarios de la organización, pero agregando restricciones para dichas asignaciones de roles. Por ejemplo, puede restringir los roles que se pueden asignar o restringir las entidades de seguridad a las que se pueden asignar los roles.

En el diagrama siguiente, se muestra cómo un delegado con condiciones solo puede asignar los roles Colaborador de copia de seguridad o Lector de copia de seguridad solo a los grupos marketing o ventas.

Diagrama que muestra un administrador delegando la administración de la asignación de roles con condiciones.

Requisitos previos

Para asignar roles de Azure, es necesario tener:

Paso 1: Determinar los permisos que necesita el delegado

Para ayudar a determinar los permisos que necesita el delegado, responda a las siguientes preguntas:

  • ¿Qué roles puede asignar el delegado?
  • ¿A qué tipos de entidades de seguridad puede asignar roles el delegado?
  • ¿A qué entidades de seguridad puede asignar roles el delegado?
  • ¿Puede un delegado eliminar asignaciones de roles?

Una vez que conozca los permisos que necesita el delegado, siga estos pasos para agregar una condición a la asignación de roles del delegado. Para obtener ejemplos de condiciones, consulte Ejemplos para delegar la administración de la asignación de roles de Azure con condiciones.

Paso 2: Iniciar una nueva asignación de roles

  1. Inicie sesión en Azure Portal.

  2. Siga los pasos para abrir la página Agregar asignación de roles.

  3. En la pestaña Roles, seleccione la pestaña Roles de administrador con privilegios.

  4. Seleccione el rol Administrador de control de acceso basado en roles.

    Aparecerá la pestaña Condiciones.

    Puede seleccionar cualquier rol que incluya la acción Microsoft.Authorization/roleAssignments/write o Microsoft.Authorization/roleAssignments/delete (como, por ejemplo, administrador de acceso de usuario), aunque el Administrador de control de acceso basado en roles tiene menos permisos.

  5. En la pestaña Miembros, busque y seleccione el delegado.

Paso 3: Agregar una condición

Puede agregar una condición de dos maneras. Puede usar una plantilla de condición o un editor de condiciones avanzadas.

  1. En la pestaña Condiciones de Qué puede hacer el usuario, seleccione la opción Permitir al usuario asignar solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).

    Captura de pantalla de Agregar asignación de roles con la opción restringida seleccionada.

  2. Seleccione Seleccionar roles y entidades de seguridad.

    Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

    Captura de pantalla de Agregar condición de asignación de roles con una lista de plantillas de condición.

  3. Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

    Plantilla de condición Seleccione esta plantilla para
    Restringir roles Permitir que el usuario solo asigne roles que seleccione
    Restricción de roles y tipos de entidad de seguridad Permitir que el usuario solo asigne roles que seleccione
    Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio)
    Restringir roles y entidades de seguridad Permitir que el usuario solo asigne roles que seleccione
    Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccione
    Permitir todos excepto roles específicos Permitir que el usuario asigne todos los roles excepto los roles que seleccione
  4. En el panel configurar, agregue las configuraciones necesarias.

    Captura de pantalla del panel de configuración de una condición con la selección agregada.

  5. Seleccione Guardar para agregar la condición a la asignación de roles.

Paso 4: Asignación de roles con condición para delegar

  1. En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.

  2. Seleccione Revisión y asignación para asignar el rol.

    Después de unos instantes, al delegado se le asigna el rol Administrador de control de acceso basado en roles con las condiciones de asignación de roles.

Paso 5: El delegado asigna roles con condiciones

  • Ahora, el delegado puede seguir los pasos para asignar roles.

    Diagrama de asignaciones de roles restringidas a roles y grupos específicos.

    Cuando el delegado intenta asignar roles en Azure Portal, la lista de roles se filtrará para mostrar solo los roles que el delegado puede asignar.

    Captura de pantalla de las asignaciones de roles restringidas a roles específicos.

    Si hay una condición para las entidades de seguridad, también se filtrará la lista de entidades de seguridad disponibles para la asignación.

    Captura de pantalla de las asignaciones de roles restringidas a grupos específicos.

    Si el delegado intenta asignar un rol que está fuera de las condiciones mediante una API, se producirá un error en la asignación de roles. Para más información, consulte Síntoma: no se puede asignar un rol.

Edición de una condición

Puede editar una condición de dos maneras. Puede usar la plantilla de condición o el editor de condiciones.

  1. En Azure Portal, abra la página Control de acceso (IAM) para la asignación de roles que tiene una condición que quiera ver, editar o eliminar.

  2. Seleccione la pestaña Asignaciones de roles y busque la asignación de roles.

  3. En la columna Condición, seleccione Ver o editar.

    Si no ve el vínculo Ver o editar, asegúrese de estar viendo el mismo ámbito de la asignación de roles.

    Captura de pantalla de la lista de asignación de roles con el vínculo Ver o editar para la condición.

    Aparecerá la página Agregar condición de asignación de roles. Esta página tendrá un aspecto diferente en función de si la condición coincide con una plantilla existente.

  4. Si la condición coincide con una plantilla existente, seleccione Configurar para editar la condición.

    Captura de pantalla de las plantillas de condición con la plantilla coincidente habilitada.

  5. Si la condición no coincide con una plantilla existente, use el editor de condiciones avanzadas para editar la condición.

    Por ejemplo, para editar una condición, desplácese hacia abajo hasta la sección de expresión de compilación y actualice los atributos, el operador o los valores.

    Captura de pantalla del editor de condiciones que muestra las opciones para editar la expresión de compilación.

    Para editar la condición directamente, seleccione el tipo de editor de Código y, a continuación, edite el código de la condición.

    Captura de pantalla del editor de condiciones que muestra el tipo de editor de código.

  6. Cuando haya finalizado, haga clic en Guardar para actualizar la condición.

Pasos siguientes