Protección de la jerarquía de recursos

Los recursos, grupos de recursos, suscripciones, grupos de administración y el inquilino forman la jerarquía de recursos. La configuración en el grupo de administración raíz, como los roles de Azure personalizados o las asignaciones de directiva, puede afectar a todos los recursos de la jerarquía. Es importante proteger la jerarquía de recursos de los cambios que podrían afectar negativamente a todos los recursos.

Los grupos de administración tienen una configuración de jerarquía que permite al administrador de inquilinos controlar estos comportamientos. En este artículo se describe cada una de las configuraciones de jerarquía disponibles y cómo establecerlas.

Permisos de Azure RBAC para la configuración de jerarquía

La configuración de las opciones de jerarquía requiere operaciones de proveedor de recursos siguientes en el grupo de administración raíz:

• Microsoft.Management/managementgroups/settings/write
• Microsoft.Management/managementgroups/settings/read

Estas operaciones representan permisos de control de acceso basado en rol (Azure RBAC) de Azure. Solo permiten que un usuario lea y actualice la configuración de la jerarquía. No proporcionan ningún otro acceso a la jerarquía del grupo de administración ni a los recursos de la jerarquía.

Las dos operaciones están disponibles en el rol de Azure integrado Hierarchy Settings Administrator (Administrador de configuración de jerarquía).

Configuración: definir el grupo de administración predeterminado

De forma predeterminada, una nueva suscripción que agregue en un inquilino se convierte en miembro del grupo de administración raíz. Si asigna asignaciones de directivas, Azure RBAC y otras construcciones de gobernanza al grupo de administración raíz, afectan inmediatamente a estas nuevas suscripciones. Por este motivo, muchas organizaciones no aplican estas construcciones en el grupo de administración raíz, aunque es el lugar deseado para asignarlas. En otros casos, una organización quiere un conjunto más restrictivo de controles para nuevas suscripciones, pero no quiere asignarlos a todas las suscripciones. Este valor admite los dos casos de uso.

Al permitir definir el grupo de administración predeterminado para las nuevas suscripciones, puede aplicar construcciones de gobernanza para toda la organización en el grupo de administración raíz. Puede definir un grupo de administración independiente con asignaciones de directivas o asignaciones de roles de Azure más adecuadas para una nueva suscripción.

Definir el grupo de administración predeterminado en el portal

1. Inicie sesión en Azure Portal.

2. Use la barra de búsqueda para buscar y seleccionar Grupos de administración.

3. Seleccione el grupo de administración raíz.

4. Seleccione Configuración en el lado izquierdo de la página.

5. Seleccione el botón Cambiar el grupo de administración predeterminado.

   Si el botón Cambiar grupo de administración predeterminado no está disponible, la causa es una de estas condiciones:

   • El grupo de administración que está viendo no es el grupo de administración raíz.
   • La entidad de seguridad no tiene los permisos necesarios para modificar la configuración de la jerarquía.

6. Seleccione un grupo de administración de la jerarquía y, a continuación, elija el botón Seleccionar.

Definir el grupo de administración predeterminado mediante la API de REST

Para definir el grupo de administración predeterminado mediante la API de REST, debe llamar al punto de conexión Configuración de jerarquía. Use el siguiente formato de URI de la API de REST y de cuerpo. Reemplace {rootMgID} por el id. del grupo de administración raíz. Reemplace {defaultGroupID} por el id. del grupo de administración que se convertirá en el grupo de administración predeterminado.

• URI de la API REST:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Cuerpo de la solicitud:

  {
      "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}"
      }
  }
  

Para volver a establecer el grupo de administración predeterminado en el grupo de administración raíz, use el mismo punto de conexión y establezca defaultManagementGroup en un valor de /providers/Microsoft.Management/managementGroups/{rootMgID}.

Configuración: requerir autorización

De forma predeterminada, cualquier usuario puede crear grupos de administración en un inquilino. Es posible que los administradores de un inquilino quieran proporcionar estos permisos solo a usuarios específicos para mantener la coherencia y la conformidad en la jerarquía de grupos de administración. Para crear grupos de administración secundarios, un usuario requiere la operación Microsoft.Management/managementGroups/write en el grupo de administración raíz.

Requerir autorización en el portal

1. Inicie sesión en Azure Portal.

2. Use la barra de búsqueda para buscar y seleccionar Grupos de administración.

3. Seleccione el grupo de administración raíz.

4. Seleccione Configuración en el lado izquierdo de la página.

5. Active la alternancia Permisos para crear nuevos grupos de administración.

   Si la alternancia Requerir permisos de escritura para crear nuevos grupos de administración no está disponible, la causa es una de estas condiciones:

   • El grupo de administración que está viendo no es el grupo de administración raíz.
   • La entidad de seguridad no tiene los permisos necesarios para modificar la configuración de la jerarquía.

Requerir autorización mediante la API de REST

Para requerir autorización mediante la API de REST, llame al punto de conexión Configuración de jerarquía. Use el siguiente formato de URI de la API de REST y de cuerpo. Este valor es un valor booleano, por lo que proporciona true o false para el valor. Un valor de true habilita este método de protección de la jerarquía de grupos de administración.

• URI de la API REST:

  PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
  

• Cuerpo de la solicitud:

  {
      "properties": {
          "requireAuthorizationForGroupCreation": true
      }
  }
  

Para desactivar la configuración, use el mismo punto de conexión y establezca requireAuthorizationForGroupCreation en un valor de false.

Ejemplo de Azure PowerShell

Azure PowerShell no tiene un comando Az para definir el grupo de administración predeterminado o para requerir autorización. Como solución alternativa, puede usar la API de REST con el ejemplo de Azure PowerShell siguiente:

$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"

$body = '{
     "properties": {
          "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
          "requireAuthorizationForGroupCreation": true
     }
}'

$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"

Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Contenido relacionado

Para más información sobre los grupos de administración, consulte:

• Creación de grupos de administración para organizar los recursos de Azure
• Cambiar, eliminar y administrar los grupos de administración