Compartir vía


Ejemplos para delegar la administración de asignaciones de roles de Azure con condiciones

En este artículo se enumeran ejemplos de cómo delegar la administración de asignaciones de roles de Azure a otros usuarios con condiciones.

Requisitos previos

Para obtener información sobre los requisitos previos para agregar o editar condiciones de asignación de roles, consulte Requisitos previos de las condiciones.

Ejemplo: Restringir roles

Esta condición permite que un delegado solo agregue o quite asignaciones de roles para los roles de Colaborador de copia de seguridad o Lector de copia de seguridad de roles.

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan las siguientes acciones.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagrama de asignaciones de roles restringidas a los roles Colaborador de copia de seguridad o Lector de copia de seguridad.

Esta es la configuración para agregar esta condición mediante Azure Portal y una plantilla de condición.

Condición Configuración
Plantilla Restringir roles
Roles Colaborador de copias de seguridad
Lector de copias de seguridad

Ejemplo: Restricción de roles y tipos de entidad de seguridad

Esta condición permite que un delegado solo agregue o quite asignaciones de roles para los roles de Colaborador de copia de seguridad o Lector de copia de seguridad de roles. Además, el delegado solo puede asignar estos roles a entidades de seguridad de tipo usuario o grupo.

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan las siguientes acciones.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagrama de asignaciones de roles restringidas colaborador de copia de seguridad o roles lector de copia de seguridad y tipos de entidad de seguridad de usuario o grupo.

Esta es la configuración para agregar esta condición mediante Azure Portal y una plantilla de condición.

Condición Configuración
Plantilla Restricción de roles y tipos de entidad de seguridad
Roles Colaborador de copias de seguridad
Lector de copias de seguridad
Tipos de entidades de seguridad Usuarios
Grupos

Ejemplo: Restringir roles y grupos específicos

Esta condición permite que un delegado solo agregue o quite asignaciones de roles para los roles de Colaborador de copia de seguridad o Lector de copia de seguridad de roles. Además, el delegado solo puede asignar estos roles a grupos específicos denominados Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) o Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan las siguientes acciones.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagrama de asignaciones de roles restringidas a los roles Colaborador de copia de seguridad o Lector de copia de seguridad y Marketing o Grupos de ventas.

Esta es la configuración para agregar esta condición mediante Azure Portal y una plantilla de condición.

Condición Configuración
Plantilla Restringir roles y entidades de seguridad
Roles Colaborador de copias de seguridad
Lector de copias de seguridad
Principals Marketing
Sales

Ejemplo: Restricción de la administración de máquinas virtuales

Esta condición permite que un delegado solo agregue o quite asignaciones de roles para los roles de inicio de sesión de administrador de máquinas virtuales o roles de inicio de sesión de usuario de máquina virtual. Además, el delegado solo puede asignar estos roles a un usuario específico denominado Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Esta condición es útil cuando desea permitir que un delegado asigne un rol de inicio de sesión de máquina virtual a sí mismo para una máquina virtual que acaba de crear.

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan las siguientes acciones.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagrama de asignaciones de roles restringidas a los roles Inicio de sesión de administrador de máquinas virtuales o Inicio de sesión de usuario de máquina virtual y a un usuario específico.

Esta es la configuración para agregar esta condición mediante Azure Portal y una plantilla de condición.

Condición Configuración
Plantilla Restringir roles y entidades de seguridad
Roles Inicio de sesión de administrador de Virtual Machine
Inicio de sesión de usuario de Virtual Machine
Principals Dara

Ejemplo: Restricción de la administración de clústeres de AKS

Esta condición permite que un delegado solo agregue o quite asignaciones de roles para el Administrador de RBAC de Azure Kubernetes Service, Administrador de clústeres de RBAC de Azure Kubernetes Service, Lector RBAC de Azure Kubernetes Service, o roles de RBAC Writer de Azure Kubernetes Service. Además, el delegado solo puede asignar estos roles a un usuario específico denominado Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Esta condición es útil cuando desea permitir que un delegado asigne roles de autorización del plano de datos del clúster de Azure Kubernetes Service (AKS) a sí mismos para un clúster que acaba de crear.

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan las siguientes acciones.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagrama de asignaciones de roles restringidas al administrador de RBAC de Azure Kubernetes Service, el administrador de clústeres de RBAC de Azure Kubernetes Service, el lector de RBAC de Azure Kubernetes Service o los roles de RBAC de Azure Kubernetes Service y un usuario específico.

Esta es la configuración para agregar esta condición mediante Azure Portal y una plantilla de condición.

Ejemplo: Restringir la administración de ACR

Esta condición permite que un delegado solo agregue o quite asignaciones de roles para el rol de AcrPull. Además, el delegado solo puede asignar estos roles a entidades de seguridad de tipo entidad de servicio.

Esta condición es útil cuando desea permitir que un desarrollador asigne el rol AcrPull a una identidad administrada para que pueda extraer imágenes de Azure Container Registry (ACR).

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan las siguientes acciones.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagrama de asignaciones de roles restringidas al rol AcrPull y al tipo de entidad de servicio.

Esta es la configuración para agregar esta condición mediante Azure Portal y una plantilla de condición.

Condición Configuración
Plantilla Restricción de roles y tipos de entidad de seguridad
Roles AcrPull
Tipos de entidades de seguridad Entidades de servicio

Ejemplo: Restringir la adición de asignaciones de roles

Esta condición permite que un delegado solo agregue asignaciones de roles para los roles Colaborador de copia de seguridad o Lector de copia de seguridad. El delegado puede quitar cualquier asignación de roles.

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan la siguiente acción.

  • Microsoft.Authorization/roleAssignments/write

Diagrama de agregar y quitar asignaciones de roles restringidas a los roles Colaborador de copia de seguridad o Lector de copia de seguridad.

None

Ejemplo: Permitir la mayoría de los roles, pero no permitir que otros usuarios asignen roles

Esta condición permite que un delegado agregue o quite asignaciones de roles para todos los roles, excepto los roles Propietario, Administrador de control de acceso basado en roles, y Administrador de acceso de usuario.

Esta condición es útil cuando desea permitir que un delegado asigne la mayoría de los roles, pero no permita que otros usuarios asignen roles.

Nota:

Esta condición debe usarse con precaución. Si se agrega un nuevo rol integrado o personalizado que incluye el permiso para crear asignaciones de roles, esta condición no impediría que el delegado asignara roles. La condición tendría que actualizarse para incluir el nuevo rol integrado o personalizado.

Debe agregar esta condición a las asignaciones de roles para el delegado que incluyan las siguientes acciones.

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

Diagrama de agregar y quitar asignaciones de roles para todos los roles excepto Propietario, Administrador de control de acceso basado en roles y Administrador de acceso de usuario.

Esta es la configuración para agregar esta condición mediante Azure Portal y una plantilla de condición.

Condición Configuración
Plantilla Permitir todos excepto roles específicos
Excluir roles Propietario
Administrador de control de acceso basado en roles
Administrador de acceso de usuario

Pasos siguientes