Editar

Compartir vía


Enumeración de asignaciones de roles de Azure mediante Azure Portal

El control de acceso basado en rol (RBAC) de Azure es el sistema de autorización que puede utilizar para administrar el acceso a los recursos de Azure. Para determinar a qué recursos tienen acceso los usuarios, grupos, entidades de servicio o identidades administradas, se muestran sus asignaciones de roles. En este artículo se describe cómo enumerar las asignaciones de roles mediante Azure Portal.

Nota:

Si su organización ha externalizado las funciones de administración a un proveedor de servicios que usa Azure Lighthouse, las asignaciones de roles autorizadas por ese proveedor de servicios no se mostrarán aquí. Del mismo modo, los usuarios del inquilino del proveedor de servicios no verán asignaciones de roles para los usuarios en el inquilino de un cliente, independientemente del rol que se les haya asignado.

Requisitos previos

Permiso Microsoft.Authorization/roleAssignments/read, como Lector

Lista de las asignaciones de rol de un usuario o grupo

Una forma rápida de ver los roles asignados a un usuario o grupo de una suscripción es usar el panel Asignaciones de roles de Azure.

  1. En el menú de Azure Portal, seleccione Todos los servicios.

  2. Seleccione Microsoft Entra ID y, a continuación, seleccione Usuarios o Grupos.

  3. Haga clic en el usuario o grupo del que desea enumerar las asignaciones de roles.

  4. Haga clic en Asignaciones de roles de Azure.

    Verá una lista de los roles asignados al usuario o grupo seleccionado en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.

    Captura de las asignaciones de rol de un usuario.

  5. Para cambiar la suscripción, haga clic en la lista Suscripciones.

Enumeración de los propietarios de una suscripción

Los usuarios que se han asignado al rol de propietario para una suscripción pueden administrar todo en esta. Siga estos pasos para mostrar los propietarios de una suscripción.

  1. En Azure Portal, haga clic en Todos los servicios y luego en Suscripciones.

  2. Haga clic en la suscripción de la que quiera mostrar los propietarios.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles para esta suscripción.

  5. Desplácese hasta la sección Propietarios para ver todos los usuarios a los que se ha asignado el rol de propietario para esta suscripción.

    Captura de pantalla de la pestaña Control de acceso a la suscripción y asignación de roles.

Enumerar o administrar asignaciones de roles de administrador con privilegios

En la pestaña Asignaciones de roles, puede enumerar y ver el recuento de asignaciones de roles de administrador con privilegios en el ámbito actual. Para obtener más información, vea Roles de administrador con privilegios.

  1. En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Asignaciones de roles y, a continuación, haga clic en la pestaña Privilegios para enumerar las asignaciones de roles de administrador con privilegios en este ámbito.

    Captura de pantalla de la página Control de acceso, la pestaña Asignaciones de roles y la pestaña Privilegios en la que se muestran las asignaciones de roles con privilegios.

  5. Para ver el recuento de asignaciones de roles de administrador con privilegios en este ámbito, vea la tarjeta Privilegio.

  6. Para administrar las asignaciones de roles de administrador con privilegios, vea la tarjeta de Privilegios y haga clic en Ver asignaciones.

    En la página Administrar asignaciones de roles con privilegios, puede agregar una condición para restringir la asignación de roles con privilegios o quitar la asignación de roles. Para más información, vea Delegación de la administración de asignaciones de roles de Azure a otros usuarios con condiciones.

    Captura de pantalla de la página Administrar asignaciones de roles con privilegios en la que se muestra cómo agregar condiciones o quitar asignaciones de roles.

Lista de las asignaciones de roles en un ámbito

Importante

La integración de la asignación de roles de Azure con Privileged Identity Management se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Siga estos pasos:

  1. En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

    Si tiene una licencia de Microsoft Entra ID gratis o Microsoft Entra ID P1, la pestaña Asignaciones de roles es similar al siguiente recorte de pantalla.

    Captura de pantalla de la pestaña Control de acceso y asignación de roles.

    Si tiene una licencia de Microsoft Entra ID P2 o Gobierno de Microsoft Entra ID, la pestaña Asignaciones de roles es similar al siguiente recorte de pantalla para los ámbitos de grupo de administración, suscripción y grupo de recursos. Esta funcionalidad se está implementando en fases, por lo que es posible que aún no esté disponible en el inquilino o que la interfaz tenga un aspecto diferente.

    Recorte de pantalla de las pestañas Control de acceso y Asignaciones activas y Asignaciones aptas.

    Verá la columna Estado con uno de los siguientes estados:

    Estado Descripción
    Activa permanente Asignación de roles en la que un usuario siempre puede usar el rol, sin realizar ninguna acción.
    Activa por un tiempo determinado Asignación de roles en la que un usuario puede usar el rol sin realizar ninguna acción solo dentro de las fechas de inicio y finalización.
    Apta permanente Asignación de roles en la que un usuario siempre es apto para activar el rol.
    Apta por un tiempo determinado Asignación de roles en la que un usuario es apto para activar el rol solo dentro de un intervalo entre una fecha de inicio y otra de finalización.

    Es posible establecer la fecha de inicio en el futuro.

    Si desea enumerar la hora de inicio y la hora de finalización de las asignaciones de roles, haga clic en Editar columnas y, a continuación, seleccione Hora de inicio y Hora de finalización.

    Recorte de pantalla del panel Columnas que muestra las casillas Hora de inicio y Hora de finalización.

    Observe que el ámbito de algunos roles es este recurso, mientras que el de otros es (heredado) de otro ámbito. El acceso se asigna específicamente a este recurso o se hereda de una asignación en el ámbito principal.

Lista de las asignaciones de rol de un usuario en un ámbito

Para mostrar el acceso de un usuario, grupo, entidad de servicio o identidad administra, puede mostrar sus asignaciones de roles. Siga estos pasos para mostrar las asignaciones de roles de un solo usuario, grupo, entidad de servicio o identidad administrada en un ámbito determinado.

  1. En Azure Portal, haga clic en Todos los servicios y luego seleccione el ámbito. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

    Captura de pantalla de la pestaña Control de acceso a los grupos de recursos y comprobación de acceso.

  4. En la pestaña Comprobar acceso, haga clic en el botón Comprobación del acceso.

  5. En el panel Comprobar acceso, haga clic en Usuario, grupo o entidad de servicio o Identidad administrada.

  6. En el cuadro de búsqueda, escriba una cadena para buscar nombres para mostrar, direcciones de correo electrónico o identificadores de objeto en el directorio.

    Captura de pantalla de lista de selección de Comprobar acceso

  7. Haga clic en la entidad de seguridad para abrir el panel Asignaciones.

    En este panel, puede ver el acceso para la entidad de seguridad seleccionada en este ámbito y heredada a este ámbito. No se muestran las asignaciones en ámbitos secundarios. Aparecerán las siguientes asignaciones:

    • Asignaciones de roles agregadas con Azure RBAC.
    • Asignaciones de denegación agregadas mediante Azure Blueprints o aplicaciones administradas de Azure.
    • Asignaciones de coadministradores y administradores de servicios clásicos para implementaciones clásicas.

    Captura de pantalla del panel de asignaciones.

Lista de asignaciones de roles para una identidad administrada

Puede mostrar las asignaciones de roles para las identidades administradas asignadas por el usuario y por el sistema en un ámbito determinado mediante la hoja Control de acceso (IAM) como se describió anteriormente. En esta sección se describe cómo mostrar asignaciones de roles solo para la identidad administrada.

Identidad administrada asignada por el sistema

  1. En Azure Portal, abra una identidad administrada asignada por el sistema.

  2. En el menú izquierdo, haga clic en Identidad.

    Captura de pantalla de la identidad administrada asignada por el sistema.

  3. En Permisos, haga clic en Asignaciones de roles de Azure.

    Verá una lista de los roles asignados a la identidad administrada asignada por el sistema seleccionada en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.

    Captura de pantalla de las asignaciones de roles para una identidad administrada asignada por el sistema.

  4. Para cambiar la suscripción, haga clic en la lista Suscripción.

    Identidad administrada asignada por el usuario

    1. En Azure Portal, abra una identidad administrada asignada por el usuario.

    2. Haga clic en Asignaciones de roles de Azure.

      Verá una lista de los roles asignados a la identidad administrada asignada por el usuario seleccionada en varios ámbitos como los de grupo de administración, suscripción, grupo de recursos o recurso. En esta lista se incluyen todas las asignaciones de roles de las que tenga permiso para leer.

      Captura de pantalla de las asignaciones de roles para una identidad administrada asignada por el usuario.

    3. Para cambiar la suscripción, haga clic en la lista Suscripción.

Enumeración del número de asignaciones de roles

Puede tener hasta 4000 asignaciones de roles en cada suscripción. Este límite incluye las asignaciones de roles en los ámbitos de suscripción, grupo de recursos y recurso. Las asignaciones de funciones aptas y las asignaciones de roles programadas en el futuro no cuentan para este límite. Para ayudarle a realizar un seguimiento de este límite, la pestaña Asignaciones de roles incluye un gráfico que muestra el número de asignaciones de roles de la suscripción actual.

Captura de pantalla del gráfico de control de acceso y número de asignaciones de roles

Si está cerca del número máximo e intenta agregar más asignaciones de roles, verá una advertencia en el panel Agregar asignación de roles. Para ver formas de reducir el número de asignaciones de roles, vea Solución de problemas de límites de RBAC de Azure.

Captura de pantalla de la advertencia Control de acceso y adición de asignación de roles.

Descarga de asignaciones de rol

Puede descargar las asignaciones de roles en un ámbito en formato CSV o JSON. Esto puede ser útil si necesita inspeccionar la lista en una hoja de cálculo o realizar un inventario al efectuar una suscripción.

Al descargar asignaciones de roles, debe tener en cuenta los siguientes criterios:

  • Si no tiene permisos para leer el directorio, como el rol de lectores de directorio, las columnas DisplayName, SignInName y ObjectType estarán en blanco.
  • No se incluyen las asignaciones de roles cuya entidad de seguridad se haya eliminado.
  • No se incluye el acceso concedido a los administradores clásicos.

Siga estos pasos para descargar asignaciones de roles en un ámbito.

  1. En Azure Portal, haga clic en Todos los servicios y, a continuación, seleccione el ámbito del que quiere descargar las asignaciones de roles. Por ejemplo, puede seleccionar Grupos de administración, Suscripciones, Grupos de recursos o un recurso.

  2. Haga clic en el recurso específico.

  3. Haga clic en Control de acceso (IAM).

  4. Haga clic en Descargar asignaciones de roles para abrir el panel Descargar asignaciones de roles.

    Captura de pantalla del control de acceso y descarga asignaciones de roles.

  5. Use las casillas para seleccionar las asignaciones de roles que quiere incluir en el archivo descargado.

    • Heredadas: incluye asignaciones de roles heredadas para el ámbito actual.
    • En el ámbito actual: incluye asignaciones de roles para el ámbito actual.
    • Elementos secundarios: incluye asignaciones de roles en niveles inferiores al ámbito actual. Esta casilla está deshabilitada para el ámbito del grupo de administración.
  6. Seleccione el formato de archivo, que puede ser con valores separados por comas (CSV) o notación de objetos JavaScript (JSON).

  7. Especifique el nombre de archivo.

  8. Haga clic en Iniciar para iniciar la descarga.

    A continuación se muestran ejemplos de la salida para cada formato de archivo.

    Captura de pantalla de la descarga de asignación de roles como archivo .csv.

    Captura de pantalla de las asignaciones de roles descargadas en formato JSON.