Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Como usuario del análisis de firmware, es posible que desee administrar el acceso a los resultados del análisis de imágenes de firmware. El control de acceso basado en rol (RBAC) de Azure es un sistema de autorización que permite controlar quién tiene acceso a los resultados del análisis, qué permisos tiene y en qué nivel de la jerarquía de recursos. En este artículo se explica cómo almacenar los resultados del análisis de firmware en Azure, administrar los permisos de acceso y usar RBAC para compartir estos resultados en la organización y con terceros. Para más información sobre RBAC de Azure, visite ¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)?.
Nota:
- RBAC (Role-Based Access Control) y Azure Policy son controles independientes en Azure. Incluso si tiene los roles RBAC correctos, Azure Policy de la organización puede impedirle crear o usar un espacio de trabajo de análisis de firmware.
- Además de comprobar los permisos de RBAC, consulte con su administrador de TI para asegurarse de que el tipo de recurso "Área de trabajo de Análisis de Firmware" está en la lista de permitidos de la Azure Policy de su suscripción.
- Si encuentra una restricción de directiva, póngase en contacto con el equipo de TI para solicitar una exención o una lista de permitidos para este tipo de recurso. Para obtener instrucciones sobre cómo comprobar la configuración de directiva de la suscripción, consulte Leer la directiva de suscripción.
Funciones
Los roles son una colección de permisos empaquetados conjuntamente. Hay dos tipos de roles:
- Los roles de función de trabajo conceden a los usuarios permiso para realizar tareas o funciones de trabajo específicas, como los roles de colaborador de Key Vault o usuario de supervisión de clústeres de Azure Kubernetes Service.
- Los roles de administrador con privilegios conceden privilegios de acceso elevados, como los roles de propietario, colaboradoro administrador de acceso de usuarios. Para obtener más información sobre los roles, visite Roles integrados de Azure.
En el análisis de firmware, los roles más comunes son Propietario, Colaborador, Administrador de seguridad, Administrador de análisis de firmware, Usuario de análisis de firmware y Lector de análisis de firmware. Obtenga más información sobre los roles que se necesitan para los distintos permisos; por ejemplo, para cargar imágenes de firmware o compartir los resultados de los análisis de firmware.
Descripción de la representación de imágenes de firmware en la jerarquía de recursos de Azure
Azure organiza los recursos en jerarquías de recursos, que tienen una estructura descendente, y permite asignar roles en cada nivel de la jerarquía. El nivel en el que se asigna un rol es el "ámbito", y los ámbitos inferiores pueden heredar los roles asignados en ámbitos superiores. Obtenga más información sobre los niveles de jerarquía y cómo organizar los recursos en la jerarquía.
Al incorporar la suscripción al análisis de firmware, se le pedirá que cree un área de trabajo. Un área de trabajo es un recurso específico del servicio de análisis de firmware donde se alojan directamente las imágenes de firmware. Puede crear varias áreas de trabajo en cada grupo de recursos, lo que le permite organizar las imágenes de firmware en categorías en el nivel de grupo de recursos y subcategorías en el nivel de área de trabajo .
Vaya al grupo de recursos. Observe que todos los recursos del área de trabajo tienen el tipo área de trabajo de análisis de firmware.
Como se mencionó anteriormente, el recurso del conjunto de trabajo contiene directamente sus imágenes de firmware, por lo que puede interactuar periódicamente con sus conjuntos de trabajo en función de cómo haya organizado sus imágenes. Cada imagen de firmware que cargue se representará como un recurso y se almacenará aquí.
Puede usar RBAC en cada nivel de la jerarquía, incluido en el nivel de recurso del área de trabajo.
Esta es la jerarquía de recursos del análisis de firmware:
Aplicación de Azure RBAC
Nota:
Para empezar a usar el análisis de firmware, el usuario que incorpora la suscripción en el análisis de firmware debe ser propietario, colaborador, administrador de análisis de firmware o administrador de seguridad en el nivel de suscripción. Siga el tutorial de Analizar una imagen de firmware con el análisis de firmware para incorporar la suscripción. Una vez que haya incorporado la suscripción, un usuario solo debe ser administrador de análisis de firmware para usar el análisis de firmware.
Como usuario del análisis de firmware, es posible que tenga que realizar determinadas acciones para su organización, como cargar imágenes de firmware o compartir resultados de análisis.
Las acciones como estas implican el control de acceso basado en rol (RBAC). Para usar RBAC de forma eficaz para el análisis de firmware, debe saber cuál es la asignación de roles y en qué ámbito. Esta información le permitirá saber con qué permisos cuenta y, por tanto, si puede realizar determinadas acciones. Para comprobar la asignación de roles, consulte Comprobación del acceso de un usuario a un único recurso de Azure: Azure RBAC. A continuación, consulte la tabla siguiente para comprobar qué roles y ámbitos son necesarios para determinadas acciones.
Roles comunes en el análisis de firmware
En esta tabla se categoriza cada rol y se proporciona una breve descripción de los permisos correspondientes:
| Rol | Categoría | Descripción |
|---|---|---|
| Propietario | Rol de administrador con privilegios | Permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. |
| Colaborador | Rol de administrador con privilegios | Concede acceso completo para administrar todos los recursos, pero no permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes. |
| Administrador de seguridad | Rol de función de trabajo | Permite al usuario cargar y analizar imágenes de firmware, agregar o asignar iniciativas de seguridad y editar la directiva de seguridad. Learn more. |
| Administrador de análisis de firmware | Rol de función de trabajo | Permite al usuario cargar y analizar imágenes de firmware. El usuario puede realizar la configuración del área de trabajo, como crear y eliminar áreas de trabajo. El usuario no tiene acceso más allá del análisis de firmware (no puede acceder a otros grupos de recursos de la suscripción, crear o eliminar grupos de recursos, ni invitar a otros usuarios). |
| Usuario de análisis de firmware | Rol de función de trabajo | Permite al usuario cargar y analizar imágenes de firmware y ver los resultados del análisis. El usuario no puede realizar la configuración del área de trabajo. El usuario tampoco tiene acceso más allá del análisis de firmware (no puede acceder a otros grupos de recursos de la suscripción, crear o eliminar grupos de recursos, ni invitar a otros usuarios). |
| Lector de análisis de firmware | Rol de función de trabajo | Permite al usuario ver y descargar los resultados de la imagen de firmware, pero no cargar imágenes de firmware ni realizar configuraciones de área de trabajo. El usuario tampoco tiene acceso más allá del análisis de firmware (no puede acceder a otros grupos de recursos de la suscripción, crear o eliminar grupos de recursos, ni invitar a otros usuarios). |
Funciones, ámbitos y roles de análisis de firmware
En la tabla siguiente se resumen los roles que se necesitan para realizar determinadas acciones. Estos roles y permisos se aplican en los niveles suscripción, grupo de recursos y área de trabajo, a menos que se indique lo contrario.
| Acción | Rol necesario |
|---|---|
| Carga y análisis del firmware | Propietario, colaborador, administrador de seguridad, administrador de análisis de firmware, usuario de análisis de firmware |
| Invitar a usuarios de terceros a ver los resultados del análisis de firmware | Propietario |
| Invitar a usuarios a la suscripción | Propietario en el nivel de suscripción (el propietario en el nivel de grupo de recursos no puede invitar a usuarios a la suscripción) |
| Visualización de los resultados del análisis de firmware | Propietario, colaborador, administrador de seguridad, administrador de análisis de firmware, usuario de análisis de firmware, lector de análisis de firmware |
Carga de imágenes de firmware
Para cargar imágenes de firmware:
- Confirme que tiene permiso suficiente en Roles de análisis de firmware, ámbitos y funcionalidades.
- Cargue una imagen de firmware para su análisis.
Invitar a terceros a interactuar con los resultados del análisis de firmware
Es posible que quiera invitar a alguien a interactuar únicamente con los resultados del análisis de firmware, sin permitir el acceso a otras partes de la organización (como otros grupos de recursos de la suscripción). Para permitir este tipo de acceso, invite al usuario como lector de análisis de firmware en el nivel de grupo de recursos o área de trabajo.
Para invitar a un tercero, primero debe invitarlos a su directorio. Para ello, siga el tutorial Asignación de roles de Azure a usuarios invitados externos mediante Azure Portal .
- En el paso 3, vaya al grupo de recursos.
- En el paso 7, seleccione el rol Lector de análisis de firmware.
Nota:
Si ha recibido un correo electrónico para unirse a una organización y no lo ve en la bandeja de entrada, compruebe si está en la carpeta de correo no deseado.