Configuración del límite de datos
En esta documentación se proporcionan detalles sobre cómo los clientes pueden configurar Azure Resource Manager para su uso en un límite de datos. La única configuración de límite de datos admitida actualmente, además de la configuración global predeterminada, es para la Unión Europea (UE). El límite de datos de la UE es un límite definido geográficamente dentro del que Microsoft se ha comprometido a almacenar y procesar los datos de los clientes y la información personal pseudoanonimizada, y a almacenar la información de servicios profesionales para los servicios en línea comerciales de Microsoft, incluido Azure, Dynamics 365, Power Platform y Microsoft 365, sujetos a circunstancias limitadas en las que la información personal seguirán siendo transferidos fuera del límite de datos de la UE. Para obtener más información, consulte Introducción al límite de datos de la UE (EU Data Boundary).
Importante
Para almacenar datos de servicios profesionales en el límite de datos de la UE para Azure, los clientes deben configurar Azure Resource Manager en el límite de datos de la UE. En esta documentación se proporcionan detalles sobre cómo los clientes pueden configurar Azure Resource Manager para su uso en el límite de datos de la UE.
Solo se puede establecer un límite de datos en nuevos inquilinos que no tengan suscripciones existentes ni recursos implementados. Una vez que un inquilino participa en un límite de datos, no se puede quitar ni modificar la configuración del límite de datos. Las suscripciones y los recursos creados en un inquilino con un límite de datos no se pueden mover fuera de ese inquilino. Las suscripciones y recursos existentes no se pueden mover a un inquilino con un límite de datos. Cada inquilino está limitado a un límite de datos y, una vez configurado el límite de datos, Azure Resource Manager restringirá las implementaciones de recursos a regiones dentro de ese límite. Un límite de datos global no tiene restricciones en las regiones en las que un recurso se puede implementar. Los clientes pueden optar por poner sus inquilinos en un límite de datos mediante la implementación de un recurso Microsoft.Resources/dataBoundaries en el nivel de inquilino.
El rol integrado DataBoundaryTenantAdministrator es necesario para configurar el límite de datos. Para obtener más información, consulte Permisos obligatorios.
Para optar por poner el inquilino en un límite de datos de la UE de Azure, realice los siguientes pasos:
- Cree un nuevo inquilino dentro de un país o región de la UE para configurar un límite de datos de la UE de Microsoft Entra. Para obtener más información sobre cómo crear un nuevo inquilino dentro de un país o región de la UE, consulte Creación de un nuevo inquilino en Microsoft Entra ID.
- Antes de crear nuevas suscripciones o recursos, implemente un recurso Microsoft.Resources/dataBoundaries con una configuración de la UE.
- Cree una suscripción e implemente recursos de Azure.
Permisos requeridos
Para configurar el límite de datos, el rol integrado DataBoundaryTenantAdministrator es necesario en el ámbito del inquilino. Siga los siguientes pasos para asignar el rol:
- Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure. Para más información, consulte Elevación de los privilegios de acceso para administrar todas las suscripciones y los grupos de administración de Azure.
- Con el privilegio Administrador de acceso de usuario, concédase a usted mismo el rol
DataBoundaryTenantAdministratoren el ámbito de inquilino (/) mediante la CLI de Azure, la API de REST o Azure PowerShell.
DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"
az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"
Para más información, consulte Asignación de roles de Azure.
Creación del límite de datos
Actualmente, la geografía del límite de datos tiene dos opciones:
| Geografía de límites de datos | Descripción |
|---|---|
| Global | De manera predeterminada, todos los inquilinos tienen un límite de datos global. |
| EU | Establezca un límite de datos de la UE. |
Para incluir un inquilino en el límite de datos, use los siguientes comandos.
az data-boundary create --data-boundary <data-boundary-geo> --default default
El conmutador --default es obligatorio actualmente, pero se eliminará gradualmente en el futuro.
Para obtener más información, consulte Referencia a la CLI de Azure.
Lectura del límite de datos
Para obtener el límite de datos en ámbitos especificados. Los ámbitos incluyen:
| Ámbito | Valor |
|---|---|
| Inquilino | (vacío) |
| Suscripción | subscriptions/{subscriptionId} |
| Resource group | subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} |
az data-boundary show --scope <scope-path> --default default
Obtenga el límite de datos del inquilino:
az data-boundary show-tenant --default default
El conmutador --default es obligatorio actualmente, pero se eliminará gradualmente en el futuro.
Para obtener más información, consulte Referencia a la CLI de Azure.
Solución de problemas
En la tabla siguiente se enumeran los mensajes de error relacionados con los límites de datos:
| Código de error | Mensaje de error | Explicación |
|---|---|---|
| NonEmptyTenantCannotChangeDataBoundary | El inquilino <tenant-name> ya contiene suscripciones. No se admite la actualización de límites de datos para inquilinos no vacíos. | Los clientes solo pueden aplicar un límite de datos de Azure a un nuevo inquilino sin grupos de administración, suscripciones ni recursos. |
| AuthorizationFailed | El cliente <client-name> con el id de objeto <object-id> no tiene autorización para realizar la acción Microsoft.Resources/dataBoundaries/write a través del ámbito <scope-name> o el ámbito no es válido. Si el acceso se ha concedido recientemente, actualice las credenciales. |
Asegúrese de que tiene el rol Administrador de límites de datos en el ámbito del inquilino. Consulte Permisos necesarios. |
| InvalidResourceLocation InvalidResourceGroupLocation |
Ubicación del grupo de recursos <region-name> no válida. El identificador de inquilino de la suscripción dada se ha incluido en el límite de datos <data-boundary-geo>. La ubicación del grupo de recursos está restringida por el límite de datos. La lista de regiones del límite de datos es: <region-list>. | Una vez que un límite de datos se aplica a un inquilino, los usuarios solo pueden crear recursos en regiones dentro del límite de datos. Por ejemplo, los usuarios no pueden crear recursos en WestUS si se aplica un límite de datos de la UE al inquilino. Para resolver este error, elija una región de la lista devuelta en el mensaje de error. |
| InvalidSubscriptionMoveDataBoundary | No se pudo realizar la acción de transferencia. No se permite la transferencia de esta suscripción debido a restricciones del límite de datos en el inquilino. | No es posible mover una suscripción si los inquilinos de origen o de destino tienen un límite de datos no global. El movimiento de la suscripción se bloquea incluso si los inquilinos de origen y destino tienen el mismo límite de datos. |
Pasos siguientes
Para obtener más información, consulte Introducción al límite de datos de la UE (EU Data Boundary).