Asignación de un usuario como administrador de una suscripción de Azure con condiciones

Para que un usuario sea un administrador de una suscripción de Azure, asígneles el rolPropietario en el ámbito de la suscripción. El rol Propietario da al usuario acceso total a todos los recursos de la suscripción, incluido el derecho a conceder acceso a otros. Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles. Por ejemplo, puede permitir que un usuario solo asigne el rol Colaborador de máquina virtual a las entidades de servicio.

En este artículo se describe cómo asignar un usuario como administrador de una suscripción de Azure con condiciones. Estos pasos son los mismos que para la asignación de cualquier otro rol.

Requisitos previos

Para asignar roles de Azure, es necesario tener:

• Microsoft.Authorization/roleAssignments/write permisos, como Administrador de control de acceso basado en roles o Administrador de acceso de usuarios

Paso 1: Abrir la suscripción

Siga estos pasos:

1. Inicie sesión en Azure Portal.

2. Busque las suscripciones en el cuadro de búsqueda.

3. Haga clic en la suscripción que desee usar.

   A continuación se muestra una suscripción de ejemplo.

   

Paso 2: Abrir la página Agregar asignación de roles

Control de acceso (IAM) es la página que se usa normalmente para asignar roles y conceder acceso a los recursos de Azure. También se conoce como administración de identidad y acceso (IAM) y aparece en varias ubicaciones de Azure Portal.

1. Haga clic en Control de acceso (IAM).

   A continuación se muestra un ejemplo de la página Control de acceso (IAM) de una suscripción.

   

2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

3. Haga clic en Agregar>Agregar asignación de roles.

   Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.

   

   Se abre la página Agregar asignación de roles.

Paso 3: Seleccionar el rol Propietario

El rol Propietario permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. Debe tener un máximo de 3 propietarios de suscripción para reducir el riesgo de vulneración por parte de un propietario en peligro.

1. En la pestaña Rol, seleccione la pestaña Roles de administrador con privilegios.

   

2. Seleccione el rol Propietario.

3. Haga clic en Next.

Paso 4: Seleccionar quién necesita acceso

Siga estos pasos:

1. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio.

   

2. Haga clic en Seleccionar miembros.

3. Busque y seleccione el usuario.

   Puede escribir en el cuadro Seleccionar para buscar en el directorio por nombre para mostrar o dirección de correo electrónico.

   

4. Haga clic en Guardar para agregar el usuario a la lista Miembros.

5. En el cuadro de texto Descripción, escriba una descripción opcional para esta asignación de roles.

   Más adelante puede mostrar esta descripción en la lista de asignaciones de roles.

6. Haga clic en Next.

Paso 5: Agregar una condición

Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles.

1. En la pestaña Condiciones de Qué puede hacer el usuario, seleccione la opción Permitir al usuario asignar solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).

   

2. Seleccione Seleccionar roles y entidades de seguridad.

   Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

   

3. Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

   Plantilla de condición	Seleccione esta plantilla para
   Restringir roles	Permitir que el usuario solo asigne roles que seleccione
   Restricción de roles y tipos de entidad de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio)
   Restringir roles y entidades de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccione

   Sugerencia

   Si quiere permitir la mayoría de las asignaciones de roles, pero no permite asignaciones de roles específicas, puede usar el editor de condiciones avanzadas y agregar manualmente una condición. Para obtener un ejemplo, vea Ejemplo: Permitir la mayoría de los roles, pero no permitir que otros usuarios asignen roles.

4. En el panel configurar, agregue las configuraciones necesarias.

   

5. Seleccione Guardar para agregar la condición a la asignación de roles.

Paso 6: Asignar un rol

Siga estos pasos:

1. En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.

2. Haga clic en Revisión y asignación para asignar el rol.

   Transcurridos unos instantes, al usuario se le asigna el rol Propietario para la suscripción.

   

Contenido relacionado

• Asignación de roles de Azure mediante Azure Portal
• Organización de los recursos con grupos de administración de Azure
• Alerta sobre asignaciones de roles de Azure con privilegios

Para que un usuario sea un administrador de una suscripción de Azure, asígneles el rolPropietario en el ámbito de la suscripción. El rol Propietario da al usuario acceso total a todos los recursos de la suscripción, incluido el derecho a conceder acceso a otros. Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles. Por ejemplo, puede permitir que un usuario solo asigne el rol Colaborador de máquina virtual a las entidades de servicio.

En este artículo se describe cómo asignar un usuario como administrador de una suscripción de Azure con condiciones. Estos pasos son los mismos que para la asignación de cualquier otro rol.

Para asignar roles de Azure, es necesario tener:

• Microsoft.Authorization/roleAssignments/write permisos, como Administrador de control de acceso basado en roles o Administrador de acceso de usuarios

Siga estos pasos:

1. Inicie sesión en Azure Portal.

2. Busque las suscripciones en el cuadro de búsqueda.

3. Haga clic en la suscripción que desee usar.

   A continuación se muestra una suscripción de ejemplo.

   

Control de acceso (IAM) es la página que se usa normalmente para asignar roles y conceder acceso a los recursos de Azure. También se conoce como administración de identidad y acceso (IAM) y aparece en varias ubicaciones de Azure Portal.

1. Haga clic en Control de acceso (IAM).

   A continuación se muestra un ejemplo de la página Control de acceso (IAM) de una suscripción.

   

2. Haga clic en la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

3. Haga clic en Agregar>Agregar asignación de roles.

   Si no tiene permisos para asignar roles, la opción Agregar asignación de roles se deshabilitará.

   

   Se abre la página Agregar asignación de roles.

El rol Propietario permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. Debe tener un máximo de 3 propietarios de suscripción para reducir el riesgo de vulneración por parte de un propietario en peligro.

1. En la pestaña Rol, seleccione la pestaña Roles de administrador con privilegios.

   

2. Seleccione el rol Propietario.

3. Haga clic en Next.

Siga estos pasos:

1. En la pestaña Miembros, seleccione Usuario, grupo o entidad de servicio.

   

2. Haga clic en Seleccionar miembros.

3. Busque y seleccione el usuario.

   Puede escribir en el cuadro Seleccionar para buscar en el directorio por nombre para mostrar o dirección de correo electrónico.

   

4. Haga clic en Guardar para agregar el usuario a la lista Miembros.

5. En el cuadro de texto Descripción, escriba una descripción opcional para esta asignación de roles.

   Más adelante puede mostrar esta descripción en la lista de asignaciones de roles.

6. Haga clic en Next.

Puesto que el rol Propietario es un rol con privilegios elevados, Microsoft recomienda agregar una condición para restringir la asignación de roles.

1. En la pestaña Condiciones de Qué puede hacer el usuario, seleccione la opción Permitir al usuario asignar solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).

   

2. Seleccione Seleccionar roles y entidades de seguridad.

   Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

   

3. Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

   Plantilla de condición	Seleccione esta plantilla para
   Restringir roles	Permitir que el usuario solo asigne roles que seleccione
   Restricción de roles y tipos de entidad de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio)
   Restringir roles y entidades de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccione

   Sugerencia

   Si quiere permitir la mayoría de las asignaciones de roles, pero no permite asignaciones de roles específicas, puede usar el editor de condiciones avanzadas y agregar manualmente una condición. Para obtener un ejemplo, vea Ejemplo: Permitir la mayoría de los roles, pero no permitir que otros usuarios asignen roles.

4. En el panel configurar, agregue las configuraciones necesarias.

   

5. Seleccione Guardar para agregar la condición a la asignación de roles.

Siga estos pasos:

1. En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.

2. Haga clic en Revisión y asignación para asignar el rol.

   Transcurridos unos instantes, al usuario se le asigna el rol Propietario para la suscripción.