Partekatu honen bidez:


Configuración del entorno para un operador de plano técnico

Importante

El 11 de julio de 2026, Blueprints (versión preliminar) quedará en desuso. Migre las definiciones y asignaciones de planos técnicos existentes a Especificaciones de plantilla y Pilas de implementación. Los artefactos de plano técnico se convertirán en plantillas JSON de ARM o archivos de Bicep que se usan para definir pilas de implementación. Para obtener información sobre cómo crear un artefacto como un recurso de ARM, consulte:

La administración de las definiciones del plano técnico y las asignaciones del plano técnico se pueden conceder a distintos equipos. Es habitual que un arquitecto o equipo de gobernanza sea el responsable de la administración del ciclo de vida de las definiciones del plano técnico, y que un equipo de operaciones sea el responsable de administrar las asignaciones de esas definiciones de plano técnico controladas centralmente.

El rol integrado Operador de Azure Blueprints está diseñado específicamente para su uso en este tipo de escenario. El rol permite a los equipos de los tipos de operaciones administrar la asignación de las definiciones del plano técnico de las organizaciones, pero no concede la capacidad de modificarlas. Para ello, se requiere cierta configuración en el entorno de Azure, y en este artículo se explican los pasos necesarios.

Concesión de permiso al operador de plano técnico

El primer paso consiste en conceder el rol de operador de plano técnico a la cuenta o al grupo de seguridad (recomendado) que va a asignar los planos. Esta acción debe realizarse en el nivel más alto de la jerarquía de grupos de administración que abarque todos los grupos de administración y las suscripciones a las que el equipo de operaciones debe tener acceso de asignación de planos. Se recomienda seguir el principio de privilegios mínimos al conceder los permisos.

  1. (Recomendado) Crear un grupo de seguridad y agregar miembros

  2. Asignación del rol de Azure de Operador del plano técnico a la cuenta o grupo de seguridad

Identidad administrada asignada por el usuario

Una definición de plano técnico puede usar identidades administradas asignadas por el sistema o por el usuario. Sin embargo, al usar el rol de operador de plano técnico, la definición del plano técnico debe configurarse para usar una identidad administrada asignada por el usuario. Además, la cuenta o el grupo de seguridad a quien se concede el rol de operador de plano técnico debe tener concedido el rol de operador de identidad administrada en la identidad administrada asignada por el usuario. Sin este permiso, las asignaciones de plano técnico generan errores debido a la falta de permisos.

  1. Cree una identidad administrada asignada por el usuario para que la use un plano técnico asignado.

  2. Conceda a la identidad administrada asignada por el usuario cualquier rol o permiso que requiera la definición de plano técnico para el ámbito previsto.

  3. Agregue una asignación de roles de operador de identidad administrada a la cuenta o al grupo de seguridad. Limite la asignación de roles a la nueva identidad administrada asignada por el usuario.

  4. Como operador de plano técnico, asigne un plano que use la nueva identidad administrada asignada por el usuario.

Pasos siguientes