Protección de los recursos con el control de acceso basado en rol

Completado

La implementación de Azure Policy ha garantizado que todos nuestros empleados con acceso de Azure siguen nuestros estándares internos para la creación de recursos, pero tenemos un segundo problema que es necesario solucionar: ¿cómo protegemos esos recursos una vez que se implementen? Contamos con personal de TI que necesita administrar la configuración, desarrolladores que necesitan tener acceso de solo lectura y administradores que deben poder controlarlos por completo. Utilice el control de acceso basado en rol (RBAC).

RBAC proporciona la administración de acceso específico para los recursos de Azure, lo que permite conceder a los usuarios los derechos específicos necesarios para realizar sus trabajos. RBAC se considera un servicio central y se incluye con todos los niveles de suscripción sin costo alguno.

Con RBAC, puede:

  • Permitir que un usuario administre las VM en una suscripción y que otro usuario administre las redes virtuales.
  • Permitir a un grupo de administradores de base de datos (DBA) administrar bases de datos SQL en una suscripción.
  • Permitir que un usuario administre todos los recursos de un grupo de recursos, como las máquinas virtuales, los sitios web y las subredes virtuales.
  • Permitir que una aplicación acceda a todos los recursos de un grupo de recursos.

Para ver los permisos de acceso, use el panel Control de acceso (IAM) del recurso en Azure Portal. En este panel, puede determinar quién puede acceder a un área y su rol asignado. Con este mismo panel, también puede conceder o quitar el acceso.

Captura de pantalla del panel Control de acceso: Asignación de roles en Azure Portal en la que se muestran los roles de operador de copia de seguridad y lector de facturación asignados a distintos usuarios.

Cómo define el acceso RBAC

RBAC usa un modelo de permisos para el acceso. Cuando se le asigna un rol, RBAC permite realizar acciones específicas, como leer, escribir o eliminar. Por lo tanto, si una asignación de roles concede permisos de lectura a un grupo de recursos y otra asignación de roles concede permisos de escritura al mismo grupo de recursos, tendrá permisos tanto de lectura como de escritura en ese grupo de recursos.

Procedimientos recomendados para RBAC

Estas son algunas prácticas recomendadas que debe usar al configurar los recursos:

  • Repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo. En lugar de proporcionar a todos los empleados permisos no restringidos en los recursos o la suscripción de Azure, permita solo acciones específicas en un ámbito concreto.
  • Al planear la estrategia de control de acceso, conceda a los usuarios el nivel de privilegios mínimo que necesitan para realizar su trabajo.
  • Use Bloqueos de recursos para asegurar que los recursos críticos no se modifican ni eliminan (como aprenderá en la siguiente unidad).