Administración de identidades administradas asignadas por el usuario

Las identidades administradas para los recursos de Azure eliminan la necesidad de administrar las credenciales en el código. Puede usarlos para obtener un token de Microsoft Entra para las aplicaciones. Las aplicaciones pueden utilizar el token cuando accedan a recursos que soporten la autenticación Microsoft Entra. Azure administra la identidad para que usted no tenga que hacerlo.

Hay dos tipos de identidades administradas: asignadas por el sistema y asignadas por el usuario. Las identidades administradas asignadas por el sistema tienen su ciclo de vida vinculado al recurso que las creó. Esta identidad está restringida a un único recurso y puede conceder permisos a la identidad administrada mediante el control de acceso basado en roles (RBAC) de Azure. Las identidades administradas asignadas por el usuario se pueden usar en varios recursos. Para obtener más información sobre las identidades administradas, consulte ¿Qué son las identidades administradas para los recursos de Azure?.

En este artículo obtendrá información sobre cómo usar Azure Portal para crear y eliminar una identidad administrada asignada por el usuario, obtener una lista de sus identidades, y concederles un rol.

Requisitos previos

• Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción. No olvide revisar la diferencia entre una identidad administrada asignada por el sistema y una identidad administrada asignada por el usuario .
• Si aún no tiene una, regístrese para obtener una cuenta gratuita de Azure antes de continuar.

Crear una identidad administrada asignada por el usuario

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda, escriba Identidades administradas. En Servicios, seleccione Identidades administradas.

3. Seleccione Agregar y escriba valores en los siguientes cuadros del panel Crear identidad administrada asignada por el usuario:

   • Suscripción: elija la suscripción donde crear la identidad administrada asignada por el usuario.
   • Grupo de recursos: elija un grupo de recursos en el que crear la identidad administrada asignada por el usuario, o bien seleccione Crear nuevo para crear un grupo.
   • Región: elija una región para implementar la identidad administrada asignada por el usuario, por ejemplo, Oeste de EE. UU.
   • Nombre: especifique el nombre de la identidad administrada asignada por el usuario, por ejemplo, "UAI1".

   Importante

   Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

   

4. Seleccione Revisar y crear para revisar los cambios.

5. Seleccione Crear.

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que su cuenta tenga las asignaciones de roles Operador de identidades administradas o Colaborador de identidades administradas.

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda, escriba Identidades administradas. En Servicios, seleccione Identidades administradas.

3. Se devuelve una lista de las identidades administradas asignadas por el usuario de la suscripción. Para ver los detalles de una identidad administrada asignada por el usuario, seleccione el nombre.

4. Ahora puede ver los detalles de la identidad administrada, como se muestra en la imagen.

   

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Al eliminar una identidad asignada por el usuario, no se elimina de ninguna VM ni ningún recurso a los que estuviera asignada. Para eliminar la identidad asignada por el usuario de una VM, consulte Eliminación de una identidad administrada asignada por el usuario de una VM.

1. Inicie sesión en Azure Portal.

2. Seleccione la identidad administrada asignada por el usuario y haga clic en Eliminar.

3. En el cuadro de confirmación, seleccione SÍ.

   

Administración del acceso a identidades administradas asignadas por el usuario

En algunos entornos, los administradores deciden limitar quién puede administrar identidades administradas asignadas por los usuarios. Los administradores pueden implementar esta limitación mediante roles RBAC integrados. Puede usar estos roles para conceder a un usuario o grupo de su organización derechos sobre una identidad administrada asignada por un usuario.

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda, escriba Identidades administradas. En Servicios, seleccione Identidades administradas.

3. Se devuelve una lista de las identidades administradas asignadas por el usuario de la suscripción. Seleccione la identidad administrada asignada por el usuario que desea administrar.

4. Seleccione Access Control (IAM) .

5. Seleccione Agregar asignación de roles.

   

6. En el panel Agregar asignación de roles, elija el rol que desea asignar y elija Siguiente.

7. Elija quién debe tener asignado el rol.

Nota

Puede consultar información sobre la asignación de roles a identidades administradas en Asignación de roles de Azure a una identidad administrada (versión preliminar).

En este artículo obtendrá información sobre cómo usar la CLI de Azure para crear y eliminar una identidad administrada asignada por el usuario, obtener una lista de sus identidades, y concederles un rol.

Requisitos previos

• Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción. No olvide revisar la diferencia entre una identidad administrada asignada por el sistema y una identidad administrada asignada por el usuario .
• Si aún no tiene una, regístrese para obtener una cuenta gratuita de Azure antes de continuar.

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

Importante

Con el fin de modificar los permisos de usuario al usar una entidad de servicio de aplicación mediante la CLI, debe proporcionar más permisos a la entidad de servicio en Graph API de Azure Active Directory, ya que partes de la CLI realizan solicitudes GET a Graph API. De lo contrario, puede acabar recibiendo el mensaje "No tiene privilegios suficientes para completar la operación". Para realizar este paso, vaya al Registro de aplicaciones en Microsoft Entra ID, seleccione su aplicación, seleccione Permisos de API, y desplácese hacia abajo y seleccione Azure Active Directory Graph. Allí, seleccione Permisos de la aplicación y, a continuación, agregue los permisos correspondientes.

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Use el comando az identity create para crear una identidad administrada asignada por el usuario. El parámetro -g especifica el grupo de recursos donde se debe crear la identidad administrada asignada por el usuario. El parámetro -n especifica su nombre. Reemplace los valores de parámetro <RESOURCE GROUP> y <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que se asignen a su cuenta los roles Operador de identidades administradas o Colaborador de identidades administradas.

Para enumerar las identidades administradas asignadas por el usuario, use el comando az identity list. Reemplace el valor <RESOURCE GROUP> por su propio valor.

az identity list -g <RESOURCE GROUP>

En la respuesta JSON, las identidades administradas asignadas por el usuario obtienen el valor "Microsoft.ManagedIdentity/userAssignedIdentities" para la clave type.

"type": "Microsoft.ManagedIdentity/userAssignedIdentities"

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para eliminar una identidad administrada asignada por el usuario, use el comando az identity delete. El parámetro -n especifica su nombre. El parámetro -g especifica el grupo de recursos donde se creó la identidad administrada asignada por el usuario. Reemplace los valores de parámetro <USER ASSIGNED IDENTITY NAME> y <RESOURCE GROUP> por sus propios valores.

az identity delete -n <USER ASSIGNED IDENTITY NAME> -g <RESOURCE GROUP>

Nota

Al eliminar una identidad administrada asignada por el usuario, no se eliminará la referencia de ningún recurso al que se haya asignado. Para eliminarlos de una máquina virtual o un conjunto de escalado de máquinas virtuales, use el comando az vm/vmss identity remove.

Pasos siguientes

Para obtener una lista completa de comandos de identidad de la CLI de Azure, consulte az identity.

Para obtener información sobre cómo asignar una identidad administrada asignada por el usuario a una VM de Azure, consulte Configuración de identidades administradas para recursos de Azure en una VM de Azure mediante la CLI de Azure.

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.

En este artículo obtendrá información sobre cómo usar PowerShell para crear y eliminar una identidad administrada asignada por el usuario, obtener una lista de sus identidades, y concederles un rol.

Requisitos previos

• Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción. No olvide revisar la diferencia entre una identidad administrada asignada por el sistema y una identidad administrada asignada por el usuario .
• Si aún no tiene una, regístrese para obtener una cuenta gratuita de Azure antes de continuar.
• Para ejecutar los scripts de ejemplo, tiene dos opciones:
  • Use Azure Cloud Shell, que puede abrir mediante el botón Probar, ubicado en la esquina superior derecha de los bloques de código.
  • Ejecute los scripts localmente con Azure PowerShell, tal como se describe en la sección siguiente.

En este artículo obtendrá información sobre cómo usar PowerShell para crear y eliminar una identidad administrada asignada por el usuario, y obtener una lista de sus identidades.

Configuración de Azure PowerShell de forma local

Para usar Azure PowerShell localmente con este artículo en lugar de usar Cloud Shell:

1. Instale la versión más reciente de Azure PowerShell si aún no lo ha hecho.

2. Inicie sesión en Azure.

   Connect-AzAccount
   

3. Instalar la versión más reciente de PowerShellGet.

   Install-Module -Name PowerShellGet -AllowPrerelease
   

   Es posible que necesite Exit fuera de la sesión de PowerShell actual después de ejecutar este comando para el siguiente paso.

4. Instale la versión preliminar del módulo Az.ManagedServiceIdentity con el fin de realizar las operaciones con identidades administradas asignadas por el usuario que se indican en este artículo.

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para crear una identidad administrada asignada por el usuario, use el comando New-AzUserAssignedIdentity. El parámetro ResourceGroupName especifica el grupo de recursos donde se debe crear la identidad administrada asignada por el usuario. El parámetro -Name especifica su nombre. Reemplace los valores de parámetro <RESOURCE GROUP> y <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

New-AzUserAssignedIdentity -ResourceGroupName <RESOURCEGROUP> -Name <USER ASSIGNED IDENTITY NAME>

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que se asignen a su cuenta los roles Operador de identidades administradas o Colaborador de identidades administradas.

Para enumerar las identidades administradas asignadas por el usuario, use el comando [Get-AzUserAssigned]. El parámetro -ResourceGroupName especifica el grupo de recursos donde se creó la identidad administrada asignada por el usuario. Reemplace el valor <RESOURCE GROUP> por su propio valor.

Get-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP>

En la respuesta, las identidades administradas asignadas por el usuario obtienen el valor "Microsoft.ManagedIdentity/userAssignedIdentities" para la clave Type.

Type :Microsoft.ManagedIdentity/userAssignedIdentities

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para eliminar una identidad administrada asignada por el usuario, use el comando Remove-AzUserAssignedIdentity. El parámetro -ResourceGroupName especifica el grupo de recursos donde se creó la identidad asignada por el usuario. El parámetro -Name especifica su nombre. Reemplace los valores de parámetro <RESOURCE GROUP> y <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Remove-AzUserAssignedIdentity -ResourceGroupName <RESOURCE GROUP> -Name <USER ASSIGNED IDENTITY NAME>

Nota

Al eliminar una identidad administrada asignada por el usuario, no se eliminará la referencia de ningún recurso al que se haya asignado. Las asignaciones de identidad deben eliminarse por separado.

Pasos siguientes

Para obtener una lista completa y más detalles sobre las identidades administradas de Azure PowerShell para los comandos de los recursos de Azure, consulte Az.ManagedServiceIdentity.

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.

En este artículo va a crear una identidad administrada asignada por el usuario mediante Azure Resource Manager.

Requisitos previos

• Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción. No olvide revisar la diferencia entre una identidad administrada asignada por el sistema y una identidad administrada asignada por el usuario .
• Si aún no tiene una, regístrese para obtener una cuenta gratuita de Azure antes de continuar.

No se puede visualizar ni eliminar una identidad administrada asignada por el usuario mediante una plantilla de Resource Manager. Consulte los artículos siguientes para crear y enumerar una identidad administrada asignada por el usuario:

• Enumeración de identidades administradas asignadas por el usuario
• Eliminación de identidades administradas asignadas por el usuario

Creación y edición de una plantilla

Las plantillas de Resource Manager le ayudan a implementar recursos nuevos o modificados definidos por un grupo de recursos de Azure. Hay disponibles varias opciones para editar e implementar plantillas, tanto locales como basadas en el portal. Puede:

• Usar una plantilla personalizada de Azure Marketplace para crear otra desde cero o basarla en una plantilla común ya existente o de inicio rápido.
• Derive de un grupo de recursos existente mediante la exportación de una plantilla. Puede exportarlas desde la implementación original o desde el estado actual de la implementación.
• Usar un editor de JSON (por ejemplo, VS Code) localmente y, a continuación, cargarla e implementarla con PowerShell o la CLI de Azure.
• Usar el proyecto del grupo de recursos de Azure de Visual Studio para crear e implementar una plantilla.

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Para crear una identidad administrada asignada por el usuario, use la siguiente plantilla. Reemplace el valor de <USER ASSIGNED IDENTITY NAME> por sus propios valores.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
          "type": "string",
          "metadata": {
            "description": "<USER ASSIGNED IDENTITY NAME>"
          }
        }
  },
  "resources": [
    {
      "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
      "name": "[parameters('resourceName')]",
      "apiVersion": "2018-11-30",
      "location": "[resourceGroup().location]"
    }
  ],
  "outputs": {
      "identityName": {
          "type": "string",
          "value": "[parameters('resourceName')]"
      }
  }
}

Pasos siguientes

Para asignar una identidad administrada asignada por el usuario a una VM de Azure mediante una plantilla de Resource Manager, consulte Configuración de identidades administradas para recursos de Azure en una VM de Azure mediante una plantilla.

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.

En este artículo obtendrá información sobre cómo usar REST para crear y eliminar una identidad administrada asignada por el usuario, y obtener una lista de sus identidades.

Requisitos previos

• Si no está familiarizado con las identidades administradas de los recursos de Azure, consulte la sección de introducción. No olvide revisar la diferencia entre una identidad administrada asignada por el sistema y una identidad administrada asignada por el usuario .
• Si aún no tiene una, regístrese para obtener una cuenta gratuita de Azure antes de continuar.
• Puede ejecutar todos los comandos de este artículo, ya sea en la nube o localmente:
  • Para ejecutarlos en la nube, use Azure Cloud Shell.
  • Para ejecutar localmente, instale curl y la CLI de Azure.

En este artículo obtendrá información sobre cómo usar CURL para realizar llamadas API, con el fin de crear y eliminar una identidad administrada asignada por el usuario, y obtener una lista de sus identidades.

Obtención de un token de acceso de portador

1. Si se ejecuta localmente, inicie sesión en Azure a través de la CLI.

   az login
   

2. Para obtener un token de acceso, use az account get-access-token.

   az account get-access-token
   

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Importante

Al crear identidades administradas asignadas por el usuario, el nombre debe comenzar con una letra o un número, y puede incluir una combinación de caracteres alfanuméricos, guiones (-) y guiones bajos (_). Para que la asignación a una máquina virtual o un conjunto de escalado de máquinas virtuales funcione correctamente, el nombre está limitado a 24 caracteres. Para más información, consulte Preguntas más frecuentes y problemas conocidos.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Encabezados de solicitud

Encabezado de solicitud	Descripción
Content-Type	Necesario. Establézcalo en application/json.
Autorización	Necesario. Establézcalo en un token de acceso Bearer válido.

Cuerpo de la solicitud

Nombre	Descripción
Location	Necesario. Ubicación del recurso

Enumerar identidades administradas asignadas por el usuario

Para visualizar o leer una identidad administrada asignada por el usuario, es necesario que se asignen a su cuenta los roles Operador de identidades administradas o Colaborador de identidades administradas.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview' -H "Authorization: Bearer <ACCESS TOKEN>"

GET https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities?api-version=2015-08-31-preview HTTP/1.1

Encabezado de solicitud	Descripción
Content-Type	Necesario. Establézcalo en application/json.
Autorización	Necesario. Establézcalo en un token de acceso Bearer válido.

Eliminar una identidad administrada asignada por el usuario

Para eliminar una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Nota

Al eliminar una identidad administrada asignada por el usuario, no se eliminará la referencia de ningún recurso al que se haya asignado. Para eliminar una identidad administrada asignada por el usuario de una máquina virtual mediante CURL, consulte Eliminación de una identidad asignada por el usuario de una máquina virtual de Azure.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X DELETE -H "Authorization: Bearer <ACCESS TOKEN>"

DELETE https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/TestRG/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview HTTP/1.1

Encabezado de solicitud	Descripción
Content-Type	Necesario. Establézcalo en application/json.
Autorización	Necesario. Establézcalo en un token de acceso Bearer válido.

Pasos siguientes

Para obtener información sobre cómo usar CURL para asignar una identidad administrada asignada por el usuario a una máquina virtual de Azure o un conjunto de escalado de máquinas virtuales, consulte los siguientes artículos:

• Configuración de identidades administradas de recursos de Azure en una VM de Azure mediante llamadas a la API de REST
• Configuración de identidades administradas de recursos de Azure en un conjunto de escalado de máquinas virtuales mediante llamadas a la API REST

Aprenda a utilizar la federación de identidades de carga de trabajo para identidades administradas para acceder a los recursos protegidos de Microsoft Entra sin administrar secretos.