Descripción del acceso basado en roles al área de trabajo de Azure Quantum
Obtenga información sobre las distintas entidades de seguridad y roles que puede usar para administrar el acceso al área de trabajo de Azure Quantum.
Control de acceso basado en rol (RBAC) de Azure
El control de acceso basado en rol de Azure (RBAC de Azure) es el sistema de autorización que se usa para administrar el acceso a los recursos de Azure, como un área de trabajo. Para conceder acceso, asigne roles a una entidad de seguridad.
Entidad de seguridad
Una entidad de seguridad es un objeto que representa un usuario, un grupo, una entidad de servicio o una identidad administrada.
| Entidad de seguridad | Definición |
|---|---|
| Usuario | Una cuenta de usuario que inicia sesión en Azure para crear, administrar y usar recursos. |
| Grupo | Un grupo de usuarios. Se usa para administrar usuarios que necesitan el mismo acceso y permisos a los recursos. |
| Entidad de servicio | Una identidad de usuario para una aplicación, un servicio o una plataforma que necesite acceder a los recursos. |
| Identidad administrada | Una identidad administrada automáticamente en Azure Active Directory (Azure AD) para que las aplicaciones se usen al conectarse a recursos que admiten la autenticación de Azure AD. |
Role
Cuando se concede acceso a una entidad de seguridad, se asigna un rol integrado o se crea un rol personalizado. Los roles integrados más usados son Propietario, Colaborador y Lector.
| Role | Nivel de acceso |
|---|---|
| Owner | Permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. |
| Colaborador | Concede acceso completo para administrar todos los recursos, pero no permite asignar roles en Azure RBAC. |
| Lector | Ver todo recursos, pero no realizar cambios. |
Ámbito
Los roles se asignan en un ámbito determinado. Ámbito es el conjunto de recursos al que se aplica el acceso. Los ámbitos se estructuran en una relación de elementos primarios y secundarios. Cada nivel de jerarquía hace que el ámbito sea más específico. El nivel que seleccione determina el grado de amplitud con que se aplica el rol. Los niveles inferiores heredan los permisos de rol de los niveles superiores. Puede asignar roles en cuatro niveles de ámbito: grupo de administración, suscripción, grupo de recursos o recurso.
| Ámbito | Descripción |
|---|---|
| Grupo de administración | Le ayuda a administrar el acceso, la directiva y el cumplimiento de varias suscripciones. Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración. Es posible que necesite un grupo de administración si su organización tiene varias suscripciones. |
| Subscription | Asocia lógicamente las cuentas de usuario a los recursos que crean. Una cuenta de usuario es una identidad de usuario y una o varias suscripciones. Una suscripción representa una agrupación de recursos de Azure. Se genera una factura en el ámbito de la suscripción. Debe tener una cuenta con una suscripción activa para crear recursos de Azure. Para ver las opciones de suscripción, consulte Creación de un área de trabajo de Azure Quantum. |
| Grupo de recursos | Contenedor que incluye los recursos relacionados para una solución de Azure. El grupo de recursos incluye los recursos que se desean administrar como un grupo. Por ejemplo, se requieren los siguientes recursos para ejecutar aplicaciones en Azure Quantum:
|
| Resource | Instancia de un servicio que puede crear, como un área de trabajo o una cuenta de almacenamiento. |
Nota:
Dado que el acceso se puede limitar a varios niveles en Azure, un usuario puede tener roles diferentes en cada nivel. Por ejemplo, un usuario con acceso de propietario a un área de trabajo podría no tener acceso de propietario al grupo de recursos que contiene el área de trabajo.
Requisitos de rol para crear un área de trabajo
Al crear una nueva área de trabajo, primero se selecciona una suscripción, un grupo de recursos y una cuenta de almacenamiento para asociarla al área de trabajo. La capacidad de crear un área de trabajo depende de los niveles de acceso que tenga, empezando por el ámbito de la suscripción. Para ver la autorización de varios recursos, consulte Comprobación de las asignaciones de roles.
Propietario de la suscripción
Los propietarios de suscripciones pueden crear áreas de trabajo mediante las opciones Creación rápida o Creación avanzada . Puede elegir un grupo de recursos y una cuenta de almacenamiento que ya existan en la suscripción o crear otras nuevas. También tiene la capacidad de asignar roles a otros usuarios.
Colaborador de la suscripción
Los colaboradores de la suscripción pueden crear áreas de trabajo mediante la opción Creación avanzada.
Para crear una cuenta de almacenamiento, debe seleccionar un grupo de recursos existente del que sea propietario.
Para seleccionar una cuenta de almacenamiento existente, debe ser propietario de la cuenta de almacenamiento. También debe seleccionar el grupo de recursos existente al que pertenece la cuenta de almacenamiento.
Los colaboradores de la suscripción no pueden asignar roles a otros usuarios.
Lector de la suscripción
Los lectores de suscripciones no pueden crear áreas de trabajo. Puede ver todos los recursos creados en la suscripción, pero no puede realizar ningún cambio ni asignar roles.
Comprobación de las asignaciones de roles
Comprobación de las suscripciones
Para ver una lista de las suscripciones y los roles asociados:
- Inicie sesión en Azure Portal.
- En Servicios de Azure, seleccione, Suscripciones. Si no ve Suscripciones aquí, use el cuadro de búsqueda para encontrarlo.
- El filtro Suscripciones junto al cuadro de búsqueda puede tener como valor predeterminado Suscripciones == filtro global. Para ver una lista de todas las suscripciones, seleccione el filtro Suscripciones y anule la selección de la opción "Seleccionar solo suscripciones seleccionadas en..." caja. Luego, selecciona Aplicar. A continuación, el filtro debe mostrar Suscripciones == all.
Comprobación de los recursos
Para comprobar la asignación de roles que tiene u otro usuario para un recurso determinado, consulte Comprobación del acceso de un usuario a recursos de Azure.
Asignación de roles
Para agregar nuevos usuarios a un área de trabajo, debe ser propietario del área de trabajo. Para conceder acceso a 10 o menos usuarios al área de trabajo, consulte Uso compartido del acceso al área de trabajo de Azure Quantum. Para conceder acceso a más de 10 usuarios, consulte Incorporación de un grupo al área de trabajo de Azure Quantum.
Para asignar roles para cualquier recurso en cualquier ámbito, incluido el nivel de suscripción, consulte Asignación de roles de Azure mediante Azure Portal.
Solución de problemas
Para obtener soluciones a problemas comunes, consulte Solución de problemas de Azure Quantum: Creación de un área de trabajo de Azure Quantum.
Al crear un recurso en Azure (por ejemplo, un área de trabajo), no es directamente el propietario del recurso. El rol se hereda del rol más alto del ámbito con el que está autorizado en esa suscripción.
Al crear nuevas asignaciones de roles, a veces pueden tardar hasta una hora en surtir efecto sobre los permisos almacenados en caché en la pila.