Uso del control de acceso basado en rol para administrar máquinas virtuales de Azure Stack HCI
Se aplica a: Azure Stack HCI, versión 23H2
En este artículo se describe cómo usar el control de acceso basado en rol (RBAC) para controlar el acceso a máquinas virtuales (VM) de Arc que se ejecutan en el clúster de Azure Stack HCI.
Puede usar los roles RBAC integrados para controlar el acceso a máquinas virtuales y recursos de máquina virtual, como discos virtuales, interfaces de red, imágenes de máquina virtual, redes lógicas y rutas de acceso de almacenamiento. Puede asignar estos roles a usuarios, grupos, entidades de servicio e identidades administradas.
Importante
Esta característica actualmente está en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Acerca de los roles RBAC integrados
Para controlar el acceso a máquinas virtuales y recursos de máquina virtual en Azure Stack HCI, puede usar los siguientes roles RBAC:
- Administrador de Azure Stack HCI: este rol concede acceso completo al clúster de Azure Stack HCI y sus recursos. Un administrador de Azure Stack HCI puede registrar el clúster, así como asignar roles de colaborador de máquina virtual de Azure Stack HCI y lector de máquinas virtuales de Azure Stack HCI a otros usuarios. También pueden crear recursos compartidos en clúster, como redes lógicas, imágenes de máquina virtual y rutas de acceso de almacenamiento.
- Colaborador de máquina virtual de Azure Stack HCI: este rol concede permisos para realizar todas las acciones de máquina virtual, como iniciar, detener y reiniciar las máquinas virtuales. Un colaborador de máquina virtual de Azure Stack HCI puede crear y eliminar máquinas virtuales, así como los recursos y extensiones conectados a las máquinas virtuales. Un colaborador de máquina virtual de Azure Stack HCI no puede registrar el clúster ni asignar roles a otros usuarios ni crear recursos compartidos de clúster, como redes lógicas, imágenes de máquina virtual y rutas de acceso de almacenamiento.
- Lector de máquina virtual de Azure Stack HCI: este rol concede permisos para ver solo las máquinas virtuales. Un lector de vm no puede realizar ninguna acción en las máquinas virtuales o en los recursos y extensiones de máquina virtual.
Esta es una tabla que describe las acciones de máquina virtual que concede cada rol para las máquinas virtuales y los distintos recursos de máquina virtual. Los recursos de máquina virtual se conocen como recursos necesarios para crear una máquina virtual e incluir discos virtuales, interfaces de red, imágenes de máquina virtual, redes lógicas y rutas de acceso de almacenamiento:
| Rol integrado | Máquinas virtuales | Recursos sobre máquinas virtuales |
|---|---|---|
| Administrador de Azure Stack HCI | Creación, lista y eliminación de máquinas virtuales Inicio, detención y reinicio de máquinas virtuales |
Creación, enumeración y eliminación de todos los recursos de máquina virtual, incluidas las redes lógicas, las imágenes de máquina virtual y las rutas de acceso de almacenamiento |
| Colaborador de máquina virtual de Azure Stack HCI | Creación, lista y eliminación de máquinas virtuales Inicio, detención y reinicio de máquinas virtuales |
Crear, enumerar, eliminar todos los recursos de máquina virtual, excepto las redes lógicas, las imágenes de máquina virtual y las rutas de acceso de almacenamiento |
| Lector de máquinas virtuales de Azure Stack HCI | Enumerar todas las máquinas virtuales | Enumeración de todos los recursos de máquina virtual |
Requisitos previos
Asegúrese de que cumple los siguientes requisitos previos antes de empezar:
Asegúrese de completar los requisitos del clúster de Azure Stack HCI.
Asegúrese de que tiene acceso a la suscripción de Azure como propietario o administrador de acceso de usuario para asignar roles a otros usuarios.
Asignación de roles de RBAC a los usuarios
Puede asignar roles de RBAC al usuario a través de Azure Portal. Siga estos pasos para asignar roles de RBAC a los usuarios:
En Azure Portal, busque el ámbito al que conceder acceso, por ejemplo, busque suscripciones, grupos de recursos o un recurso específico. En este ejemplo, se usa la suscripción en la que se implementa el clúster de Azure Stack HCI.
Vaya a la suscripción y, a continuación, vaya a Asignaciones de roles de Control de acceso (IAM). > En la barra de comandos superior, seleccione + Agregar y, a continuación, seleccione Agregar asignación de roles.
Si no tiene permisos para asignar roles, la opción Agregar asignación de roles está deshabilitada.
En la pestaña Rol , seleccione un rol RBAC para asignar y elija uno de los siguientes roles integrados:
- Administrador de Azure Stack HCI
- Colaborador de máquina virtual de Azure Stack HCI
- Lector de máquinas virtuales de Azure Stack HCI
En la pestaña Miembros , seleccione el usuario, el grupo o la entidad de servicio. Seleccione también un miembro para asignar el rol.
Revise el rol y asígnelo.
Compruebe la asignación de roles. Vaya a Control de acceso (IAM) > Comprobar acceso > Ver mi acceso. Debería ver la asignación de roles.
Para más información sobre la asignación de roles, consulte Asignación de roles de Azure mediante Azure Portal.
Pasos siguientes
- Cree una ruta de acceso de almacenamiento para la máquina virtual de Azure Stack HCI.