Azure RBAC: Gobernando la identidad y el acceso a nuestro Tenant

Seguridad
mundoazureDeja un comentario en Azure RBAC: Gobernando la identidad y el acceso a nuestro Tenant

Cuando se trata de identidad y acceso, la mayoría de las organizaciones que están considerando el uso de la nube pública están preocupadas por dos cosas:

  1. Garantizar que cuando las personas abandonen la organización, pierdan el acceso a los recursos en la nube.
  2. Lograr el equilibrio adecuado entre la autonomía y la gobernanza central; por ejemplo, dar a los equipos de proyecto la capacidad de crear y administrar máquinas virtuales en la nube mientras controlan de forma centralizada las redes que usan esas máquinas virtuales para comunicarse con otros recursos.

Microsoft Entra ID y el control de acceso basado en rol de Azure (Azure RBAC) trabajan juntos para facilitar la realización de estos objetivos.

Suscripciones de Azure

En primer lugar, recuerde que cada suscripción de Azure está asociada a un único directorio de Microsoft Entra. Los usuarios, grupos y aplicaciones de ese directorio pueden administrar los recursos de la suscripción de Azure. Las suscripciones usan el identificador de Microsoft Entra para el inicio de sesión único (SSO) y la administración de acceso. Puede extender su Active Directory local a la nube mediante Microsoft Entra Connect. Esta característica permite a los empleados administrar sus suscripciones de Azure mediante sus identidades de trabajo existentes. Cuando se deshabilita una cuenta de Active Directory local, se pierde automáticamente el acceso a todas las suscripciones de Azure conectadas con Microsoft Entra ID.

¿Qué es Azure RBAC?

El control de acceso basado en rol de Azure (Azure RBAC) es un sistema de autorización basado en Azure Resource Manager que proporciona una administración de acceso específica para los recursos de Azure. Con Azure RBAC, puede conceder el acceso exacto que los usuarios necesitan para realizar su trabajo.

Por ejemplo, podemos usar Azure RBAC para permitir que un empleado administre las máquinas virtuales de una suscripción mientras otro administra las bases de datos SQL dentro de la misma suscripción.

Podemos conceder acceso asignando el rol de Azure adecuado a usuarios, grupos y aplicaciones en un ámbito determinado. El ámbito de una asignación de roles puede ser un grupo de administración, una suscripción, un grupo de recursos o un único recurso. Un rol asignado en un ámbito primario también concede acceso a los ámbitos secundarios que contiene. Por ejemplo, un usuario con acceso a un grupo de recursos puede administrar todos los recursos que contiene, como sitios web, máquinas virtuales y subredes. El rol de Azure que asigne determina qué recursos puede administrar el usuario, el grupo o la aplicación dentro de ese ámbito.

En el diagrama siguiente se muestra cómo se relacionan a alto nivel los roles clásicos de administrador de suscripciones, los roles de Azure y los roles de Microsoft Entra. Los roles asignados en un ámbito superior, como una suscripción completa, son heredados por ámbitos secundarios, como las instancias de servicio.

Diagrama que muestra cómo se relacionan a alto nivel los roles clásicos de administrador de suscripciones, los roles de Azure y los roles de Microsoft Entra.


En el diagrama anterior, una suscripción está asociada a un solo inquilino de Microsoft Entra. Tenga en cuenta también que un grupo de recursos puede tener varios recursos, pero está asociado a una sola suscripción. Aunque no es obvio en el diagrama, un recurso solo se puede enlazar a un grupo de recursos.

¿Qué puedo hacer con Azure RBAC?

Azure RBAC le permite conceder acceso a los recursos de Azure que controla. Supongamos que necesita administrar el acceso a los recursos de Azure para los equipos de desarrollo, ingeniería y marketing. Ha empezado a recibir solicitudes de acceso y necesita aprender rápidamente cómo funciona la administración de acceso para los recursos de Azure.

Estos son algunos escenarios que puede implementar con RBAC de Azure:

  • Permitir que un usuario administre las máquinas virtuales de una suscripción y que otro usuario administre las redes virtuales
  • Permitir que un grupo de administradores de bases de datos administre bases de datos SQL en una suscripción
  • Permitir que un usuario administre todos los recursos de un grupo de recursos, como máquinas virtuales, sitios web y subredes
  • Permitir que una aplicación tenga acceso a todos los recursos de un grupo de recursos

RBAC de Azure en Azure Portal

En varias áreas de Azure Portal, verá un panel denominado Control de acceso (IAM), también conocido como administración de identidades y acceso. En este panel, puede ver quién tiene acceso a esa área y su rol. Con este mismo panel, puede conceder o quitar el acceso.

A continuación se muestra un ejemplo del panel Control de acceso (IAM) para un grupo de recursos. En este ejemplo, a Alain se le ha asignado el rol de operador de copia de seguridad para este grupo de recursos.

Captura de pantalla de Azure Portal que muestra el panel Asignación de roles de control de acceso con la sección Operador de copia de seguridad resaltada.


¿Cómo funciona RBAC de Azure?

Puede controlar el acceso a los recursos mediante RBAC de Azure mediante la creación de asignaciones de roles, que controlan cómo se aplican los permisos. Para crear una asignación de roles, necesita tres elementos: una entidad de seguridad, una definición de rol y un ámbito. Puedes pensar en estos elementos como «quién», «qué» y «dónde».

1. Principal de seguridad (quién)

Una entidad de seguridad no es más que un nombre elegante para un usuario, grupo o aplicación a la que desea conceder acceso.

Una ilustración que muestra la entidad de seguridad, incluidos el usuario, el grupo y la entidad de servicio.

2. Definición de roles (lo que puedes hacer)

Una definición de rol es una colección de permisos. A veces simplemente se le llama un rol. Una definición de rol enumera los permisos que el rol puede realizar, como leer, escribir y eliminar. Los roles pueden ser de alto nivel, como Propietario, o específicos, como Colaborador de máquina virtual.

Una ilustración en la que se enumeran diferentes roles integrados y personalizados con zoom en la definición del rol de colaborador.

Azure incluye varios roles integrados que puede usar. A continuación se enumeran cuatro roles integrados fundamentales:

  • Propietario: tiene acceso completo a todos los recursos, incluido el derecho a delegar el acceso a otros
  • Colaborador: puede crear y administrar todos los tipos de recursos de Azure, pero no puede conceder acceso a otros usuarios
  • Lector: puede ver los recursos de Azure existentes
  • Administrador de acceso de usuario: permite administrar el acceso de los usuarios a los recursos de Azure

Si los roles integrados no satisfacen las necesidades específicas de su organización, puede crear sus propios roles personalizados.

3. Ámbito de aplicación (donde)

El ámbito es el nivel en el que se aplica el acceso. Esto es útil si desea convertir a alguien en colaborador del sitio web, pero solo para un grupo de recursos.

En Azure, puede especificar un ámbito en varios niveles: grupo de administración, suscripción, grupo de recursos o recurso. Los ámbitos se estructuran en una relación de elementos primarios y secundarios. Cuando se concede acceso en un ámbito primario, esos permisos son heredados por los ámbitos secundarios. Por ejemplo, si asigna el rol de colaborador a un grupo en el ámbito de la suscripción, todos los grupos de recursos y recursos de la suscripción heredan ese rol.

Una ilustración que muestra una representación jerárquica de diferentes niveles de Azure para aplicar el ámbito. La jerarquía, empezando por el nivel más alto, es la siguiente: grupo de administración, suscripción, grupo de recursos y recurso.


Asignación de roles

Una vez que haya determinado quién, qué y dónde, puede combinar esos elementos para conceder acceso. Una asignación de roles es el proceso de enlazar un rol a una entidad de seguridad en un ámbito determinado con el fin de conceder acceso. Para conceder acceso, creará una asignación de roles. Para revocar el acceso, quitará una asignación de roles.

En el ejemplo siguiente se muestra cómo se ha asignado al grupo Marketing el rol Colaborador en el ámbito del grupo de recursos de ventas.

Una ilustración que muestra un ejemplo de proceso de asignación de roles para el grupo Marketing, que es una combinación de entidad de seguridad, definición de roles y ámbito. El grupo Marketing se encuentra en la entidad de seguridad de grupo y tiene asignado un rol de colaborador para el ámbito del grupo de recursos.


Azure RBAC es un modelo de permiso

Azure RBAC es un modelo permitido. Esto significa que cuando se le asigna un rol, Azure RBAC le permite realizar determinadas acciones, como leer, escribir o eliminar. Por lo tanto, si una asignación de roles le concede permisos de lectura a un grupo de recursos y una asignación de roles diferente le concede permisos de escritura en el mismo grupo de recursos, tendrá permisos de lectura y escritura en ese grupo de recursos.

Azure RBAC tiene algo llamado permisos. Puede utilizarlo para crear un conjunto de permisos no permitidos. El acceso que concede un rol (los permisos efectivos) se calcula restando las operaciones de las operaciones. Por ejemplo, el rol Colaborador tiene ambos y . El comodín (*) indica que puede realizar todas las operaciones en el plano de control.

A continuación, restaría las siguientes operaciones para calcular los permisos efectivos.

  • Eliminar roles y asignaciones de roles
  • Crear roles y asignaciones de roles
  • Conceder acceso de administrador de acceso de usuario al autor de la llamada en el ámbito del inquilino
  • Crear o actualizar cualquier artefacto de plano técnico
  • Eliminar cualquier artefacto de plano técnico

Os animamos a compartir con nosotros vuestras opiniones en X@mundoazure

Entradas Relacionadas

Seguridad en Azure: Consideraciones.

mundoazure

Azure Firewall: securizando nuestro tenant en capas L3-L7.

mundoazure

Azure Bastión: PaaS para la gestión remota segura.

mundoazure

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *