Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El control de acceso basado en rol (RBAC) de Azure define quién puede acceder a los recursos de Azure, qué acciones pueden realizar y dónde pueden realizarlos. Esta estructura mejora la gobernanza, la seguridad y la claridad operativa en todo el entorno de nube.
Requisito previo:Creación de una cuenta de Azure. Las startups comprueben si califican para créditos de Azure.
Aplicar privilegios mínimos a todas las asignaciones de acceso
El principio de privilegios mínimos garantiza que los usuarios reciban solo los permisos necesarios para realizar sus tareas. Este enfoque reduce el riesgo y mejora la auditabilidad.
Comience con roles integrados. Azure RBAC tiene roles integrados con permisos que se alinean con escenarios comunes. Comience con los roles integrados y cree solo roles personalizados cuando sea claramente necesario. Comience con roles de función de trabajo y use solo roles de administrador con privilegios (propietario, colaborador, lector, administrador de control de acceso basado en roles y administrador de acceso de usuario) cuando los roles de función de trabajo no sean suficientes.
Asigne roles con permisos mínimos. Cada rol incluye un conjunto de permisos definidos en su definición de roles. Seleccione roles que concedan solo los permisos necesarios para las responsabilidades del usuario. Evite la sobreasignación de acceso.
Asigne roles en el ámbito más estrecho posible. El ámbito de rol determina dónde se aplican los permisos. Asigne roles en el ámbito necesario para realizar tareas esenciales.
Ámbito de rol Description Grupo de administración Los permisos de rol se aplican a todas las suscripciones y recursos del grupo de administración. Subscription Los permisos de rol se aplican a todos los grupos de recursos y recursos de la suscripción. Grupo de recursos Los permisos de rol se aplican a todos los recursos de ese grupo de recursos. Resource Los permisos de rol solo se aplican al recurso específico (por ejemplo, una instancia de Foundry).
Para ver los pasos detallados, consulte Aplicación de roles RBAC de Azure.
Uso de grupos para administrar el acceso a recursos
En lugar de asignar roles a usuarios individuales, asígnelos a grupos de identificadores de Microsoft Entra. Esta estructura mejora la escalabilidad, la auditabilidad y la gobernanza mediante la centralización de asignaciones de roles.
Cree grupos de seguridad basados en el ámbito de acceso. Defina grupos de seguridad que reflejen el ámbito de acceso, como en el nivel de recurso, grupo de recursos o suscripción. Por ejemplo, cree grupos independientes para entornos de desarrollo, pruebas y producción, como AI-Developer-Dev, AI-Developer-Test, AI-Developer-Prod. Esta estructura aplica el aislamiento de entorno y privilegios mínimos. Para ver los pasos para crear un grupo de seguridad, consulte Administrar grupos de identificadores de Microsoft Entra.
Asigne roles a grupos en el nivel más bajo necesario. Aplique el principio de privilegios mínimos al asignar roles a grupos. Evite asignar roles en ámbitos superiores a menos que sea necesario. Este enfoque reduce el riesgo y simplifica las auditorías.
Refinar la estructura de grupo a medida que evoluciona el entorno. Ajuste las definiciones de grupo para reflejar los cambios en las cargas de trabajo, los equipos o las responsabilidades. Este refinamiento garantiza una mayor claridad y control sobre el acceso. Por ejemplo:
Rol empresarial Necesidad empresarial Nombre del grupo Rol RBAC de Azure Ámbito de permisos Propietarios de suscripciones Administrar el control de acceso, la gobernanza y la facturación en toda la suscripción Propietarios de Suscripciones Propietario Nivel de suscripción Desarrolladores de IA Compilación e implementación de modelos en Foundry AI-Foundry-Dev Colaborador Nivel de grupo de recursos Finanzas Revisión de los informes de facturación, uso y costos Finance-Readers Lector Nivel de suscripción Limitar las asignaciones de roles de "propietario". El rol Propietario concede acceso total para administrar todos los recursos y asignar roles en RBAC de Azure. Limite este rol a tres o menos usuarios por suscripción. Revise y ajuste la asignación de propietario predeterminada para los creadores de suscripciones según sea necesario.
Revisión periódica del acceso
Las revisiones de acceso garantizan que los permisos permanezcan adecuados a medida que los usuarios cambien los roles o los proyectos finalicen.
Programe revisiones mensuales o trimestrales de acceso. Revise tanto los roles de Microsoft Entra ID como las asignaciones de RBAC de Azure. Quite los roles innecesarios rápidamente para mantener la seguridad.
Use herramientas automatizadas para simplificar las revisiones. Use herramientas como Access Review (Microsoft Entra ID Premium P2) o exporte asignaciones de roles para comprobaciones manuales. Trate la gobernanza del acceso como mantenimiento continuo.