Compartir a través de

Uso del control de acceso basado en rol para administrar máquinas virtuales locales de Azure

  • Artículo

Se aplica a: Azure Local, versión 23H2

En este artículo se describe cómo usar el Control de acceso basado en rol (RBAC) para controlar el acceso a máquinas virtuales (VM) de Arc que se ejecutan en Azure Local.

Puede usar los roles RBAC integrados para controlar el acceso a máquinas virtuales y recursos de máquina virtual, como discos virtuales, interfaces de red, imágenes de máquina virtual, redes lógicas y rutas de acceso de almacenamiento. Puede asignar estos roles a usuarios, grupos, entidades de servicio e identidades administradas.

Acerca de los roles RBAC integrados

Para controlar el acceso a máquinas virtuales y recursos de máquina virtual en Azure Local, puede usar los siguientes roles de RBAC:

  • Administrador de Azure Stack HCI: este rol concede acceso completo a la instancia local de Azure y a sus recursos. Un administrador de Azure Stack HCI puede registrar el sistema, así como asignar roles de colaborador de máquina virtual de Azure Stack HCI y lector de máquinas virtuales de Azure Stack HCI a otros usuarios. También pueden crear recursos compartidos, como redes lógicas, imágenes de máquina virtual y rutas de acceso de almacenamiento.
  • Colaborador de máquina virtual de Azure Stack HCI: este rol concede permisos para realizar todas las acciones de máquina virtual, como iniciar, detener y reiniciar las máquinas virtuales. Un colaborador de máquina virtual de Azure Stack HCI puede crear y eliminar máquinas virtuales, así como los recursos y extensiones conectados a las máquinas virtuales. Un colaborador de máquina virtual de Azure Stack HCI no puede registrar el sistema ni asignar roles a otros usuarios ni crear recursos compartidos por el sistema, como redes lógicas, imágenes de máquina virtual y rutas de acceso de almacenamiento.
  • Lector de máquina virtual de Azure Stack HCI: este rol concede permisos para ver solo las máquinas virtuales. Un lector de vm no puede realizar ninguna acción en las máquinas virtuales o en los recursos y extensiones de máquina virtual.

Esta es una tabla que describe las acciones de máquina virtual que concede cada rol para las máquinas virtuales y los distintos recursos de máquina virtual. Los recursos de máquina virtual se conocen como recursos necesarios para crear una máquina virtual e incluir discos virtuales, interfaces de red, imágenes de máquina virtual, redes lógicas y rutas de acceso de almacenamiento:

Rol integrado Máquinas virtuales Recursos sobre máquinas virtuales
Administrador de Azure Stack HCI Creación, lista y eliminación de máquinas virtuales

Inicio, detención y reinicio de máquinas virtuales		 Creación, enumeración y eliminación de todos los recursos de máquina virtual, incluidas las redes lógicas, las imágenes de máquina virtual y las rutas de acceso de almacenamiento
Colaborador de máquina virtual de Azure Stack HCI Creación, lista y eliminación de máquinas virtuales

Inicio, detención y reinicio de máquinas virtuales		 Crear, enumerar, eliminar todos los recursos de máquina virtual, excepto las redes lógicas, las imágenes de máquina virtual y las rutas de acceso de almacenamiento
Lector de máquinas virtuales de Azure Stack HCI Enumerar todas las máquinas virtuales Enumeración de todos los recursos de máquina virtual

Requisitos previos

Asegúrese de que cumple los siguientes requisitos previos antes de empezar:

  1. Asegúrese de completar los requisitos locales de Azure.

  2. Asegúrese de que tiene acceso a la suscripción de Azure como propietario o administrador de acceso de usuario para asignar roles a otros usuarios.

Asignación de roles de RBAC a los usuarios

Puede asignar roles de RBAC al usuario a través de Azure Portal. Siga estos pasos para asignar roles de RBAC a los usuarios:

  1. En Azure Portal, busque el ámbito al que conceder acceso, por ejemplo, busque suscripciones, grupos de recursos o un recurso específico. En este ejemplo, se usa la suscripción en la que se implementa Azure Local.

  2. Vaya a la suscripción y, a continuación, vaya a Asignaciones de roles de Control de acceso (IAM). > En la barra de comandos superior, seleccione + Agregar y, a continuación, seleccione Agregar asignación de roles.

    Si no tiene permisos para asignar roles, la opción Agregar asignación de roles está deshabilitada.

    Captura de pantalla que muestra la asignación de roles de RBAC en Azure Portal para Azure Local.

  3. En la pestaña Rol , seleccione un rol RBAC para asignar y elija uno de los siguientes roles integrados:

    • Administrador de Azure Stack HCI
    • Colaborador de máquina virtual de Azure Stack HCI
    • Lector de máquinas virtuales de Azure Stack HCI

    Captura de pantalla que muestra la pestaña Rol durante la asignación de roles de RBAC en Azure Portal para la instancia local de Azure.

  4. En la pestaña Miembros , seleccione el usuario, el grupo o la entidad de servicio. Seleccione también un miembro para asignar el rol.

    Captura de pantalla que muestra la pestaña Miembros durante la asignación de roles en Azure Portal para la instancia local de Azure.

  5. Revise el rol y asígnelo.

    Captura de pantalla que muestra la pestaña Revisar y asignar durante la asignación de roles en Azure Portal para la instancia local de Azure.

  6. Compruebe la asignación de roles. Vaya a Control de acceso (IAM) > Comprobar acceso > Ver mi acceso. Debería ver la asignación de roles.

    Captura de pantalla que muestra el rol recién asignado en Azure Portal para la instancia local de Azure.

Para más información sobre la asignación de roles, consulte Asignación de roles de Azure mediante Azure Portal.

Pasos siguientes