VIDEO
HIGHLIGHT
Log InSign up
AZ-900 Episode 28 | Azure Role-based Access Control (RBAC)
SummaryTranscriptChat

AZ-900 Episode 28 | Azure Role-based Access Control (RBAC)

¿Cómo gestiona Azure el acceso a tus recursos?

Introducción al Control de Acceso Basado en Roles

  • Adam introduce el tema del episodio, que se centra en cómo Azure gestiona el acceso a los recursos mediante el Control de Acceso Basado en Roles (RBAC).
  • Se menciona que Azure Active Directory es un servicio centralizado para la gestión de identidades y accesos, y que RBAC es la característica utilizada para gestionar el acceso a los recursos de Azure.

Definición de Roles en Azure

  • En Azure, existen múltiples recursos como discos, máquinas virtuales y bases de datos SQL. Cada uno permite realizar ciertas acciones.
  • Las acciones definen lo que se puede hacer con un tipo específico de servicio; asignar cada acción individualmente sería muy laborioso debido a su gran cantidad.
  • Es más eficiente agrupar acciones relacionadas en roles, como "operador de máquina virtual", permitiendo una gestión más granular de permisos.

Asignación y Principios de Seguridad

  • Un rol en Azure es una colección de acciones asignadas a identidades (usuarios o aplicaciones), definiendo qué acciones pueden realizar.
  • Las identidades son objetos llamados principios de seguridad dentro del directorio activo de Azure, representando usuarios o grupos.
  • Ejemplo: Se puede asignar un rol a un usuario llamado Adam para permitirle realizar tareas específicas relacionadas con máquinas virtuales y bases de datos.

Prácticas Comunes en la Asignación de Roles

  • Es común otorgar múltiples roles a usuarios o grupos para ajustar los permisos según las necesidades específicas.
  • Al asignar roles a grupos, todos los miembros del grupo reciben esos permisos automáticamente.

Alcance y Jerarquía en Azure

  • La asignación del rol también debe definirse por un alcance, indicando dónde se pueden llevar a cabo las acciones permitidas por ese rol.
  • La jerarquía organizativa en Azure incluye grupos administrativos y suscripciones; cada nivel puede tener diferentes roles asignados.

Ejemplo Práctico sobre Asignaciones

  • Si se asigna un rol desde el nivel superior (grupo administrativo), este se hereda por todos los recursos hijos dentro del mismo grupo.
  • Los roles pueden ser asignados específicamente hasta el nivel del recurso individual, como una máquina virtual específica o una base de datos.

Resumen Final sobre Asignaciones

  • La combinación entre rol, principio de seguridad y alcance forma lo que se llama "asignación de rol".

Gestión de Roles en Azure

Introducción a la gestión de roles

  • Se presenta una combinación de definición de roles, principio de seguridad y el alcance dentro del portal de Azure. El presentador está conectado con su cuenta administrativa y otra cuenta sin privilegios.

Acceso a grupos de recursos

  • Al acceder a los grupos de recursos, se observa que la cuenta sin privilegios no tiene acceso a ningún recurso. Se explora cómo asignar roles a esta cuenta en el portal de Azure.

Asignación de roles

  • Se accede al panel llamado "Control de acceso" para gestionar el acceso a los recursos y grupos específicos en Azure. Este panel está disponible para todos los recursos en Azure.
  • En la pestaña "Comprobar acceso", se pueden ver los permisos actualmente asignados a un usuario o grupo específico. El presentador muestra sus propios permisos como propietario.

Proceso para asignar un rol

  • Para asignar un rol, se selecciona el botón "Agregar" y luego "Asignación de rol". Un rol es una combinación que incluye una definición del rol, un principio de seguridad y un alcance.
  • Se puede seleccionar el rol "Lector" para que Tom solo pueda leer recursos sin modificarlos. Luego se debe elegir el objeto al que se le asignará este rol.

Revisión y confirmación

  • Después de seleccionar la cuenta correcta (la cuenta de Tom), se guarda la configuración. No es necesario especificar un alcance ya que este se determina automáticamente por estar en el nivel del grupo de recursos.
  • En la pestaña "Asignaciones de roles", se revisan todas las asignaciones realizadas para ese grupo específico, confirmando que Tom ha sido agregado como lector.

Asignación adicional y pruebas

  • Al navegar hacia una máquina virtual específica, se muestra cómo agregar otro rol (Contribuyente a máquina virtual). Esto permite que Tom gestione todo lo relacionado con esa máquina virtual.
  • La nueva asignación aplica solo al nivel específico donde se accedió al panel. Tras unos minutos, Tom debería poder realizar acciones basadas en los nuevos roles asignados.

Verificación final

  • Se verifica si Tom tiene acceso solo como lector intentando eliminar un recurso; esto genera un error debido a la falta de permisos adecuados.
  • Sin embargo, como contribuyente a máquinas virtuales, puede detener una máquina virtual activa, lo cual confirma que las funciones han sido correctamente asignadas.

Resumen sobre control basado en roles

  • El control basado en roles (RBAC) es un sistema autorizado sobre Azure Resource Manager que permite gestionar accesos con alta granularidad. Una asignación implica tres elementos: definición del rol, principio de seguridad y alcance jerárquico.
  • Los alcances son jerárquicos; si se otorga un rol a nivel grupal, afecta todas las suscripciones relacionadas. Microsoft ofrece tanto roles integrados como personalizados para facilitar esta gestión.

Creación de Roles Personalizados en Azure

Funcionalidades de los Roles en Azure

  • Azure permite la creación de roles personalizados, lo que brinda flexibilidad para definir colecciones específicas de acciones.
  • Los roles personalizados pueden ser asignados como cualquier rol regular dentro de Azure, asegurando su funcionalidad en toda la plataforma.
  • Se puede optar por utilizar roles integrados o crear roles personalizados según las necesidades del usuario.
  • La implementación y uso de estos roles se mantiene consistente a través de todos los servicios de Azure.
Video description

Azure Role-based Access Control (RBAC) is a key topic when it comes to access management in Azure. In this episode we deep dive into what is RBAC and how it works. Skills Learned - Describe functionality and usage of Azure Role-based Access Control 🌐 Site: https://marczak.io/az-900/#ep28 Episode Resources - 📚 Study cheat sheet https://marczak.io/az-900/episode-28/cheat-sheet - 🧠 Practice Test https://marczak.io/az-900/episode-28/practice-test Study Guide - Microsoft Learn: Manage access with RBAC https://docs.microsoft.com/en-us/learn/modules/manage-subscription-access-azure-rbac/?WT.mc_id=AZ-MVP-5003556 - Microsoft Azure: What is RBAC? https://docs.microsoft.com/en-us/azure/role-based-access-control/overview?WT.mc_id=AZ-MVP-5003556 - Wikipedia: Role-based access control https://en.wikipedia.org/wiki/Role-based_access_control?WT.mc_id=AZ-MVP-5003556 Agenda 00:00 Episode introduction 00:36 What are Roles? 02:21 What are Security Principals? 04:15 What are Scopes? 05:51 Role Assignments 06:36 Role-base Access Control Demo 11:49 RBAC Summary ### Want to connect? - Blog https://marczak.io/ - Twitter https://twitter.com/MarczakIO - Facebook https://www.facebook.com/MarczakIO - LinkedIn https://www.linkedin.com/in/adam-marczak/ - Site https://azure4everyone.com