Problemas con Deny Assignments o Restricciones en un Grupo de Recursos

Question

Hola, tengo un problema al intentar eliminar un grupo de recursos en mi suscripción de Azure. Recibo un error de DenyAssignmentAuthorizationFailed que indica que hay una asignación de denegación protegida por el sistema.

Acciones que he intentado:

• Revisé políticas con az policy assignment list y no encontré ninguna bloqueando.
• Revisé locks con az lock list y no hay bloqueos activos.
• Verifiqué si proviene de un Management Group, pero no tengo acceso para ver si hay políticas aplicadas.
• Intenté deshabilitar Defender for Cloud, pero la asignación de denegación persiste.

¿Podrían ayudarme a eliminar la asignación de denegación protegida del sistema o indicarme qué pasos debo seguir para desbloquear la eliminación del grupo de recursos? Necesito eliminar un grupo de recursos o el dominio personalizado que va asociado a ese grupo de recursos y no me lo permite.

Gracias,

Luis

Answer 1

Hola ESR,

¡Bienvenido(a) a Microsoft Q&A!

Entiendo que no puedes eliminar un grupo de recursos. Aquí hay algunos pasos adicionales que podrías intentar para resolver el error DenyAssignmentAuthorizationFailed:

Identifica la Asignación de Denegación:

• Ve al grupo de recursos en el portal de Azure.
• Navega a la sección Control de acceso (IAM).
• Busca cualquier asignación de denegación en la pestaña correspondiente.
• Si encuentras una asignación de denegación, necesitarás los permisos necesarios para eliminarla, puedes usar el siguiente comando de PowerShell para eliminar la asignación de denegación:

 Remove-AzRoleAssignment -ObjectId <ObjectId> -Scope <Scope> -RoleDefinitionName <RoleName>

Verifica Aplicaciones Administradas:

• Si la asignación de denegación fue creada por una aplicación administrada, es posible que necesites eliminar primero la aplicación administrada

Revisa Políticas en el Grupo de Administración:

• Si no tienes acceso para ver las políticas aplicadas en el grupo de administración, podrías necesitar la ayuda de un administrador con los permisos adecuados para revisar y modificar estas políticas

Consulta el Registro de Actividades:

• En el portal de Azure, busca el Registro de actividades y filtra por tu suscripción y un marco de tiempo relevante.
• Busca eventos relacionados con "Asignación de denegación" o "Política" para obtener pistas sobre por qué se creó la asignación de denegación

Si después de estos pasos aún no puedes resolver el problema, te recomendaría contactar al soporte de Azure para obtener asistencia adicional. Espero que la información haya sido de ayuda.

Atentamente,

Gao

---

Si esta respuesta resolvió tu consulta, por favor haz clic en 'Aceptar respuesta'. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones.

Answer 2

Hola de nuevo ESR,

Siento mucho escuchar que todavía no te han dado soporte. En el caso de la información proporcionada, para eliminar el error tambien puedes intentar remover el DenyAssigment desde Powershell\Azure CLI siguiendo estas instrucciones: Control de la desasociación y la eliminación.

Ahora sobre el soporte, realmente no es típico esperar una semana sin recibir una respuesta a una solicitud de soporte de Azure desde el portal de Azure. El tiempo de respuesta inicial para las solicitudes de soporte de Azure depende del plan de soporte y de la gravedad del problema.

Yo te recomendaría comprobar el estado de la solicitud de soporte técnico en Azure Portal o ponerse en contacto directamente con el soporte técnico de Azure para obtener una actualización. Si el estado está en pendiente, puedes crear otra solicitud de soporte usando las siguientes instrucciones: Obtener ayuda con una solicitud de soporte técnico

Saludos,

Gao