Configuración de roles personalizados de Azure

  • 3 minutos

Si los roles integrados de Azure no satisfacen las necesidades específicas de la organización, puede crear sus propios roles personalizados de Azure. Como sucede con los roles integrados, puede asignar roles personalizados a usuarios, grupos y entidades de servicio en los ámbitos del grupo de administración (solo en la versión preliminar), de la suscripción y del grupo de recursos. Los roles personalizados se almacenan en Microsoft Entra ID y se pueden compartir entre suscripciones. Cada directorio puede tener hasta 5000 roles personalizados. Se pueden crear roles personalizados con Azure Portal, Azure PowerShell, la CLI de Azure o la API REST.

Creación de un rol personalizado desde la interfaz de usuario

Recorte de pantalla de la pantalla Microsoft Entra ID con un nuevo cuadro de diálogo de rol personalizado. Seleccione los atributos que desea que tenga el rol.

Debe asignar un rol personalizado a un usuario, grupo u otro recurso, tal como lo haría en el caso de un rol integrado. El administrador tiene que controlar a qué funcionalidades tiene acceso el rol personalizado. El principio de privilegios mínimos le permite elegir solo las funcionalidades que necesita. Para crear el rol personalizado:

  1. Abra el Centro de administración de Microsoft Entra.
  2. En el menú Identidad, seleccione Roles y administración.
  3. Seleccione + Nuevo rol personalizado.
  4. A continuación, indique las funcionalidades y asigne las que sean necesarias.

Creación de un rol personalizado a partir de una plantilla JSON

Puede usar un archivo JSON para crear un rol personalizado. Aquí tiene un ejemplo:

{
    "properties": {
        "roleName": "Billing Reader Plus",
        "description": "Read billing data and download invoices",
        "assignableScopes": [
            "/subscriptions/your-subscription-number"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.Billing/*/read",
                    "Microsoft.Commerce/*/read",
                    "Microsoft.Consumption/*/read",
                    "Microsoft.Management/managementGroups/read",
                    "Microsoft.CostManagement/*/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

El asterisco (*) se usa como carácter comodín. Si necesita asignar todos los permisos de lectura (read) del recurso de facturación denominado Billing, use el comando Microsoft/Billing/*/read. El carácter comodín puede existir en cualquier nivel.