Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Stack Hub admite el control de acceso basado en rol (RBAC), el mismo modelo de seguridad para la administración de acceso que usa Microsoft Azure. Puede usar RBAC para administrar el acceso de usuarios, grupos o aplicaciones a suscripciones, recursos y servicios.
Conceptos básicos de la administración de acceso
El control de acceso basado en rol (RBAC) proporciona un control de acceso específico que puede usar para proteger su entorno. Asigne a los usuarios los permisos exactos que necesitan mediante la asignación de un rol de RBAC en un ámbito determinado. El ámbito de la asignación de roles puede ser una suscripción, un grupo de recursos o un único recurso. Para obtener información más detallada sobre la administración de acceso, consulte el artículoRole-Based Access Control en Azure Portal .
Nota:
Cuando Azure Stack Hub se implementa mediante servicios de federación de Active Directory como proveedor de identidades, solo se admiten grupos universales para escenarios de RBAC.
Roles integrados
Azure Stack Hub tiene tres roles básicos que puede aplicar a todos los tipos de recursos:
- Propietario: concede acceso total para administrar todos los recursos, incluida la capacidad de asignar roles en RBAC de Azure Stack.
- Colaborador: concede acceso completo para administrar todos los recursos, pero no permite asignar roles en RBAC de Azure Stack.
- Lector: puede ver todo, pero no puede realizar ningún cambio.
Jerarquía y herencia de recursos
Azure Stack Hub tiene la siguiente jerarquía de recursos:
- Cada suscripción pertenece a un directorio.
- Cada grupo de recursos pertenece a una suscripción.
- Cada recurso pertenece a un grupo de recursos.
El acceso que concede en un ámbito primario se hereda en ámbitos secundarios. Por ejemplo:
- Asigne el rol Lector a un grupo de Microsoft Entra en el ámbito de la suscripción. Los miembros de ese grupo pueden ver todos los grupos de recursos y recursos de la suscripción.
- Asigne el rol Colaborador a una aplicación en el ámbito del grupo de recursos. La aplicación puede administrar recursos de todos los tipos de ese grupo de recursos, pero no de otros grupos de recursos de la suscripción.
Asignación de roles
Puede asignar más de un rol a un usuario y cada rol se puede asociar a un ámbito diferente. Por ejemplo:
- Asigne TestUser-A el rol Lector a Subscription-1.
- Asigne TestUser-A el rol Propietario a TestVM-1.
En el artículo Asignaciones de roles de Azure se proporciona información detallada sobre cómo ver, asignar y eliminar roles.
Establecimiento de los permisos de acceso de un usuario
En los pasos siguientes se describe cómo configurar permisos para un usuario.
Inicie sesión con una cuenta que tenga permisos de propietario en el recurso que desea administrar.
En el panel de navegación izquierdo, elija Grupos de recursos.
Elija el nombre del grupo de recursos en el que desea establecer permisos.
En el panel de navegación del grupo de recursos, elija Control de acceso (IAM) .
La vista Asignaciones de roles muestra los elementos que tienen acceso al grupo de recursos. Puede filtrar y agrupar los resultados.En la barra de menús Control de acceso , elija Agregar.
En el panel Agregar permisos :
- Elija el rol que desea asignar en la lista desplegable Rol .
- Elija el recurso que desea asignar en la lista desplegable Asignar acceso a .
- Seleccione el usuario, el grupo o la aplicación en el directorio al que desea conceder acceso. Puede buscar en el directorio con nombres para mostrar, direcciones de correo electrónico e identificadores de objeto.
Haga clic en Guardar.