Delegación de la administración de asignación de roles de Azure a otros usuarios con condiciones

Como administrador, podría recibir varias solicitudes para conceder acceso a recursos de Azure que querrá delegar a otra persona. Puede asignar a un usuario los roles de Propietario o Administrador de acceso de usuario, pero estos son roles con privilegios elevados. En este artículo, se describe una manera más segura de delegar la administración de asignación de roles a otros usuarios de la organización, pero agregando restricciones para dichas asignaciones de roles. Por ejemplo, puede restringir los roles que se pueden asignar o restringir las entidades de seguridad a las que se pueden asignar los roles.

En el diagrama siguiente, se muestra cómo un delegado con condiciones solo puede asignar los roles Colaborador de copia de seguridad o Lector de copia de seguridad solo a los grupos marketing o ventas.

Requisitos previos

Para asignar roles de Azure, es necesario tener:

• Permisos de Microsoft.Authorization/roleAssignments/write, como Administrador de control de acceso basado en roles o Administrador de acceso de usuarios

Paso 1: Determinar los permisos que necesita el delegado

Para ayudar a determinar los permisos que necesita el delegado, responda a las siguientes preguntas:

• ¿Qué roles puede asignar el delegado?
• ¿A qué tipos de entidades de seguridad puede asignar roles el delegado?
• ¿A qué entidades de seguridad puede asignar roles el delegado?
• ¿Puede un delegado eliminar asignaciones de roles?

Una vez que conozca los permisos que necesita el delegado, siga estos pasos para agregar una condición a la asignación de roles del delegado. Para obtener ejemplos de condiciones, consulte Ejemplos para delegar la administración de la asignación de roles de Azure con condiciones.

Paso 2: Iniciar una nueva asignación de roles

1. Inicie sesión en Azure Portal.

2. Siga los pasos para abrir la página Agregar asignación de roles.

3. En la pestaña Roles, seleccione la pestaña Roles de administrador con privilegios.

4. Seleccione el rol Administrador de control de acceso basado en roles.

   Aparecerá la pestaña Condiciones.

   Puede seleccionar cualquier rol que incluya la acción Microsoft.Authorization/roleAssignments/write o Microsoft.Authorization/roleAssignments/delete (como, por ejemplo, administrador de acceso de usuario), aunque el Administrador de control de acceso basado en roles tiene menos permisos.

5. En la pestaña Miembros, busque y seleccione el delegado.

Paso 3: Agregar una condición

Puede agregar una condición de dos maneras. Puede usar una plantilla de condición o un editor de condiciones avanzadas.

Plantilla

1. En la pestaña Condiciones de Qué puede hacer el usuario, seleccione la opción Permitir al usuario asignar solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).

   

2. Seleccione Seleccionar roles y entidades de seguridad.

   Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

   

3. Seleccione una plantilla de condición y, a continuación, seleccione Configurar.

   Plantilla de condición	Seleccione esta plantilla para
   Restringir roles	Permitir que el usuario solo asigne roles que seleccione
   Restricción de roles y tipos de entidad de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a los tipos de entidad de seguridad que seleccione (usuarios, grupos o entidades de servicio)
   Restringir roles y entidades de seguridad	Permitir que el usuario solo asigne roles que seleccione Permitir que el usuario solo asigne estos roles a las entidades de seguridad que seleccione
   Permitir todos excepto roles específicos	Permitir que el usuario asigne todos los roles excepto los roles que seleccione

4. En el panel configurar, agregue las configuraciones necesarias.

   

5. Seleccione Guardar para agregar la condición a la asignación de roles.

Editor de condiciones

Si las plantillas de condición no funcionan para su escenario o si quiere más control, puede usar el editor de condiciones.

Abrir el editor de condiciones

1. En la pestaña Condiciones de Qué puede hacer el usuario, seleccione la opción Permitir al usuario asignar solo roles seleccionados a entidades de seguridad seleccionadas (menos privilegios).

   

2. Seleccione Seleccionar roles y entidades de seguridad.

   Aparece la página Agregar condición de asignación de roles con una lista de plantillas de condición.

   

3. Seleccione Abrir el editor de condiciones avanzadas.

   Aparece la página de condiciones de Agregar asignación de roles.

4. En la opción Editor type (tipo de editor), deje seleccionada la opción predeterminada Visual.

Agregar una acción

1. En la sección Agregar acción, seleccione Agregar acción.

   Se muestra el panel Selección de una acción. Este panel es una lista filtrada de acciones basada en la asignación de roles que será el destino de la condición.

   

2. Seleccione la acción Crear o actualizar asignaciones de roles que desea permitir si la condición es verdadera.

   Sugerencia

   Si selecciona las acciones Crear o actualizar asignaciones de roles y Eliminar una asignación de roles, no podrá agregar una expresión de condición. Si desea tener como destino ambas acciones, debe agregar dos condiciones. Para más información, consulte Ejemplo: Restringir roles.

Compilar expresiones

1. En la sección Generar expresión, seleccione Agregar expresión.

   Aquí se crea la expresión para restringir las asignaciones de roles que el delegado puede agregar.

2. En la lista Origen del atributo, seleccione Solicitud.

3. En la lista Atributo, seleccione uno de los atributos siguientes para el lado izquierdo de la expresión.

   • El id. de definición de roles se usa para restringir los roles que puede asignar el delegado.
   • El id. de entidad de seguridad se usa para restringir las entidades de seguridad específicas a las que el delegado puede asignar roles.
   • El tipo de entidad de seguridad se usa para restringir los tipos de entidades de seguridad (usuarios, grupos o entidades de servicio) a los que el delegado puede asignar roles.

4. En la lista Operador, seleccione un operador.

   Según el atributo y la expresión que quiera compilar, normalmente se seleccionan estos operadores, lo que le permite seleccionar uno o varios valores para el lado derecho de la expresión.

   Attribute	Operador común
   Identificador de definición de roles	ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
   Identificador de entidad de seguridad	ForAnyOfAnyValues:GuidEquals
   Tipo de entidad de seguridad	ForAnyOfAnyValues:StringEqualsIgnoreCase

5. En el cuadro Valor, escriba uno o varios valores para el lado derecho de la expresión.

   

6. Agregue expresiones adicionales según sea necesario.

   Sugerencia

   Al agregar varias expresiones para delegar la administración de asignación de roles con condiciones, normalmente se usa el operador And entre expresiones en lugar del operador predeterminado Or.

7. Seleccione Guardar para agregar la condición a la asignación de roles.

Paso 4: Asignación de roles con condición para delegar

1. En la pestaña Revisión y asignación, revise la configuración de la asignación de roles.

2. Seleccione Revisión y asignación para asignar el rol.

   Después de unos instantes, al delegado se le asigna el rol Administrador de control de acceso basado en roles con las condiciones de asignación de roles.

Paso 5: El delegado asigna roles con condiciones

• Ahora, el delegado puede seguir los pasos para asignar roles.

  

  Cuando el delegado intenta asignar roles en Azure Portal, la lista de roles se filtrará para mostrar solo los roles que el delegado puede asignar.

  

  Si hay una condición para las entidades de seguridad, también se filtrará la lista de entidades de seguridad disponibles para la asignación.

  

  Si el delegado intenta asignar un rol que está fuera de las condiciones mediante una API, se producirá un error en la asignación de roles. Para más información, consulte Síntoma: no se puede asignar un rol.

Edición de una condición

Puede editar una condición de dos maneras. Puede usar la plantilla de condición o el editor de condiciones.

1. En Azure Portal, abra la página Control de acceso (IAM) para la asignación de roles que tiene una condición que quiera ver, editar o eliminar.

2. Seleccione la pestaña Asignaciones de roles y busque la asignación de roles.

3. En la columna Condición, seleccione Ver o editar.

   Si no ve el vínculo Ver o editar, asegúrese de estar viendo el mismo ámbito de la asignación de roles.

   

   Aparecerá la página Agregar condición de asignación de roles. Esta página tendrá un aspecto diferente en función de si la condición coincide con una plantilla existente.

4. Si la condición coincide con una plantilla existente, seleccione Configurar para editar la condición.

   

5. Si la condición no coincide con una plantilla existente, use el editor de condiciones avanzadas para editar la condición.

   Por ejemplo, para editar una condición, desplácese hacia abajo hasta la sección de expresión de compilación y actualice los atributos, el operador o los valores.

   

   Para editar la condición directamente, seleccione el tipo de editor de Código y, a continuación, edite el código de la condición.

   

6. Cuando haya finalizado, haga clic en Guardar para actualizar la condición.

Pasos siguientes

• Delegar la administración de acceso de Azure a otros usuarios
• Acciones y atributos de autorización