Introducción al control de acceso basado en rol de Azure para el análisis de firmware
Como usuario del análisis de firmware, es posible que desee administrar el acceso a los resultados del análisis de imágenes de firmware. El control de acceso basado en rol (RBAC) de Azure es un sistema de autorización que permite controlar quién tiene acceso a los resultados del análisis, qué permisos tiene y en qué nivel de la jerarquía de recursos. En este artículo se explica cómo almacenar los resultados del análisis de firmware en Azure, administrar los permisos de acceso y usar RBAC para compartir estos resultados en la organización y con terceros. Para más información sobre RBAC de Azure, visite ¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)?.
Roles
Los roles son una colección de permisos empaquetados conjuntamente. Hay dos tipos de roles:
- Los roles de función de trabajo conceden a los usuarios permiso para realizar tareas o funciones de trabajo específicas, como los roles de colaborador de Key Vault o usuario de supervisión de clústeres de Azure Kubernetes Service.
- Los roles de administrador con privilegios conceden privilegios de acceso elevados, como los roles de propietario, colaboradoro administrador de acceso de usuarios. Para obtener más información sobre los roles, visite Roles integrados de Azure.
En el análisis de firmware, los roles más comunes son Propietario, Colaborador, Administrador de seguridad y Administrador de análisis de firmware. Obtenga más información sobre los roles que se necesitan para los distintos permisos; por ejemplo, para cargar imágenes de firmware o compartir los resultados de los análisis de firmware.
Descripción de la representación de imágenes de firmware en la jerarquía de recursos de Azure
Azure organiza los recursos en jerarquías de recursos, que tienen una estructura descendente, y permite asignar roles en cada nivel de la jerarquía. El nivel en el que se asigna un rol es el "ámbito", y los ámbitos inferiores pueden heredar los roles asignados en ámbitos superiores. Obtenga más información sobre los niveles de jerarquía y cómo organizar los recursos en la jerarquía.
Al incorporar la suscripción al análisis de firmware y seleccionar el grupo de recursos, la acción crea automáticamente el recurso predeterminado dentro del grupo de recursos.
Vaya al grupo de recursos y seleccione Mostrar tipos ocultos para mostrar el recurso predeterminado. El recurso predeterminado tiene el tipo Microsoft.IoTFirmwareDefense.workspaces.
Aunque el recurso de área de trabajo predeterminado no es algo con lo que vaya a interactuar habitualmente, cada imagen de firmware con la que se cargue se representará como un recurso y se almacenará aquí.
Puede usar RBAC en cada nivel de la jerarquía, incluido el nivel de recurso predeterminado oculto del área de trabajo de Análisis de firmware.
Esta es la jerarquía de recursos del análisis de firmware:
Aplicación de Azure RBAC
Nota:
Para empezar a usar el análisis de firmware, el usuario que incorpora la suscripción en el análisis de firmware debe ser propietario, colaborador, administrador de análisis de firmware o administrador de seguridad en el nivel de suscripción. Siga el tutorial de Analizar una imagen de firmware con el análisis de firmware para incorporar la suscripción. Una vez que haya incorporado la suscripción, un usuario solo debe ser administrador de análisis de firmware para usar el análisis de firmware.
Como usuario del análisis de firmware, es posible que tenga que realizar determinadas acciones para su organización, como cargar imágenes de firmware o compartir resultados de análisis.
Las acciones como estas implican el control de acceso basado en rol (RBAC). Para usar RBAC de forma eficaz para el análisis de firmware, debe saber cuál es la asignación de roles y en qué ámbito. Esta información le permitirá saber con qué permisos cuenta y, por tanto, si puede realizar determinadas acciones. Para comprobar la asignación de roles, consulte Comprobación del acceso de un usuario a un único recurso de Azure: Azure RBAC. A continuación, consulte la tabla siguiente para comprobar qué roles y ámbitos son necesarios para determinadas acciones.
Roles comunes en el análisis de firmware
En esta tabla se categoriza cada rol y se proporciona una breve descripción de los permisos correspondientes:
Rol | Categoría | Descripción |
---|---|---|
Propietario | Rol de administrador con privilegios | Permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. |
Colaborador | Rol de administrador con privilegios | Concede acceso completo para administrar todos los recursos, pero no permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes. |
Administrador de seguridad | Rol de función de trabajo | Permite al usuario cargar y analizar imágenes de firmware, agregar o asignar iniciativas de seguridad y editar la directiva de seguridad. Más información. |
Administrador de análisis de firmware | Rol de función de trabajo | Permite al usuario cargar y analizar imágenes de firmware. El usuario no tiene acceso más allá del análisis de firmware (no puede acceder a otros recursos de la suscripción, crear o eliminar recursos, ni invitar a otros usuarios). |
Funciones, ámbitos y roles de análisis de firmware
En la tabla siguiente se resumen los roles que se necesitan para realizar determinadas acciones. Estos roles y permisos se aplican en los niveles de suscripción y de grupo de recursos, a menos que se indique lo contrario.
Action | Rol necesario |
---|---|
Análisis de firmware | Propietario, Colaborador, Administrador de seguridad o Administrador de análisis de firmware |
Invitar a usuarios de terceros a ver los resultados del análisis de firmware | Propietario |
Invitar a usuarios a la suscripción | Propietario en el nivel de suscripción (el propietario en el nivel de grupo de recursos no puede invitar a usuarios a la suscripción) |
Carga de imágenes de firmware
Para cargar imágenes de firmware:
- Confirme que tiene permiso suficiente en Roles de análisis de firmware, ámbitos y funcionalidades.
- Cargue una imagen de firmware para su análisis.
Invitar a terceros a interactuar con los resultados del análisis de firmware
Es posible que quiera invitar a alguien a interactuar únicamente con los resultados del análisis de firmware, sin permitir el acceso a otras partes de la organización (como otros grupos de recursos de la suscripción). Para permitir este tipo de acceso, invite al usuario como administrador de análisis de firmware en el nivel de grupo de recursos.
Para invitar a un tercero, siga el tutorial Asignación de roles de Azure a usuarios invitados externos mediante Azure Portal.
- En el paso 3, vaya al grupo de recursos.
- En el paso 7, seleccione el rol Administrador de análisis de firmware.
Nota:
Si ha recibido un correo electrónico para unirse a una organización y no lo ve en la bandeja de entrada, compruebe si está en la carpeta de correo no deseado.