Administración de seguridad y permisos de roles en Azure Automation

El control de acceso basado en rol de Azure (RBAC de Azure) permite la administración del acceso a los recursos de Azure. Con RBAC de Azure se pueden separar las tareas dentro del equipo y conceder a los usuarios, los grupos y las aplicaciones únicamente el nivel de acceso que necesitan para realizar su trabajo. El acceso basado en rol se puede conceder a los usuarios mediante Azure Portal, las herramientas de la línea de comandos de Azure o las API de administración de Azure.

Roles en cuentas de Automation

En Azure Automation, el acceso se concede mediante la asignación del rol de Azure adecuado a los usuarios, grupos y aplicaciones en el ámbito de las cuentas de Automation. Estos son los roles integrados compatibles que admiten las cuentas de Automation:

Rol Descripción
Propietario El rol Propietario permite el acceso a todos los recursos y las acciones de una cuenta de Automation, lo que incluye proporcionar acceso a otros usuarios, grupos y aplicaciones para que administren la cuenta de Automation.
Colaborador El rol Colaborador permite administrar todo, excepto la modificación de los permisos de acceso de otros usuarios a una cuenta de Automation.
Lector El rol Lector permite ver todos los recursos de una cuenta de Automation, pero no realizar cambios.
Colaborador de Automation El rol Colaborador de Automation permite administrar todos los recursos de la cuenta de Automation, excepto modificar los permisos de acceso de otros usuarios a una cuenta de Automation.
Operador de Automation El rol de función de Operador de Automation permite ver las propiedades y el nombre del runbook, y crear y administrar trabajos para todos los runbooks de una cuenta de Automation. Este rol es útil si se desea proteger los recursos de la cuenta de Automation, como los recursos de credenciales y los runbooks, para que no puedan verse ni modificarse, pero permitir a los miembros de la organización ejecutar los runbooks.
Operador de trabajos de Automation El rol de Operador de trabajos de Automation permite crear y administrar trabajos para todos los runbooks de una cuenta de Automation.
Operador de runbooks de Automation El rol de Operador de runbooks de Automation permite leer el nombre y las propiedades de los runbooks.
Colaborador de Log Analytics El rol de colaborador de Log Analytics permite leer todos los datos de supervisión y editar la configuración de supervisión. La edición de la configuración de supervisión incluye la posibilidad de agregar la extensión de máquina virtual a las máquinas virtuales, leer las claves de las cuentas de almacenamiento para poder configurar la recopilación de registros de Azure Storage, crear y configurar cuentas de Automation, agregar características de Azure Automation y configurar Azure Diagnostics en todos los recursos de Azure.
Lector de Log Analytics El rol de lector de Log Analytics permite ver y buscar todos los datos de supervisión, así como ver la configuración de supervisión. Esto incluye la visualización de la configuración de Azure Diagnostics en todos los recursos de Azure.
Colaborador de supervisión El rol de colaborador de supervisión permite leer todos los datos de supervisión y actualizar la configuración de supervisión.
Lector de supervisión El rol de lector de supervisión permite leer todos los datos de supervisión.
Administrador de acceso de usuario El rol Administrador de acceso de usuario permite administrar el acceso de los usuarios a las cuentas de Azure Automation.

Permisos de los roles

Las tablas siguientes describen los permisos específicos concedidos a cada rol. Esto puede incluir Acciones, que conceden permisos, y No acciones, que los restringen.

Propietario

Un propietario puede administrar todo, incluido el acceso. La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
Microsoft.Automation/automationAccounts/* Crear y administrar recursos de todos los tipos.

Colaborador

Un colaborador puede administrar todo, excepto el acceso. La siguiente tabla muestra los permisos concedidos y denegados para el rol:

Acciones Descripción
Microsoft.Automation/automationAccounts/* Crear y administrar recursos de todos los tipos
No acciones
Microsoft.Authorization/*/Delete Eliminar roles y asignaciones de roles.
Microsoft.Authorization/*/Write Crear roles y asignaciones de roles.
Microsoft.Authorization/elevateAccess/Action Deniega la capacidad de crear un administrador de acceso de usuario.

Lector

Nota:

Recientemente se ha realizado un cambio en el permiso de rol lector integrado para la cuenta de Automation. Más información

Un lector puede ver todos los recursos de una cuenta de Automation, pero no realizar cambios.

Acciones Descripción
Microsoft.Automation/automationAccounts/read Ver todos los recursos en una cuenta de Automation.

Colaborador de Automation

Un Colaborador de Automation puede administrar todos los recursos de la cuenta de Automation, excepto el acceso. La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
Microsoft.Automation/automationAccounts/* Crear y administrar recursos de todos los tipos.
Microsoft.Authorization/*/read Roles de lectura y asignaciones de roles.
Microsoft.Resources/deployments/* Crear y administrar implementaciones de grupos de recursos.
Microsoft.Resources/subscriptions/resourceGroups/read Leer implementaciones de grupos de recursos.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico.
Microsoft.Insights/ActionGroups/* Leer, escribir o eliminar grupos de acción.
Microsoft.Insights/ActivityLogAlerts/* Leer, escribir o eliminar alertas de registro de actividad.
Microsoft.Insights/diagnosticSettings/* Configuración de diagnóstico de lectura, escritura y eliminación.
Microsoft.Insights/MetricAlerts/* Leer, escribir o eliminar alertas de métricas casi en tiempo real.
Microsoft.Insights/ScheduledQueryRules/* Lea, escriba o elimine alertas de registro en Azure Monitor.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Enumerar las claves de un área de trabajo de Log Analytics.

Nota:

El rol Colaborador de Automation se puede usar para acceder a cualquier recurso mediante la identidad administrada, si se establecen los permisos adecuados en el recurso de destino, o mediante una cuenta de ejecución. De manera predeterminada, está configurada una cuenta de ejecución de Automation con derechos de colaborador en la suscripción. Siga la entidad de seguridad con menos privilegios y asigne cuidadosamente solo los permisos necesarios para ejecutar el runbook. Por ejemplo, si la cuenta de Automation solo es necesaria para iniciar o detener una VM de Azure, los permisos asignados a la cuenta de ejecución o a la identidad administrada solo deben ser para iniciar o detener la VM. De manera similar, si un runbook lee del almacenamiento de blobs, asigne permisos de solo lectura.

Al asignar permisos, se recomienda usar el control de acceso basado en rol (RBAC) de Azure asignado a una identidad administrada. Revise nuestras recomendaciones sobre el mejor enfoque para usar una identidad administrada asignada por el sistema o por el usuario, incluida la administración y la gobernanza durante su vigencia.

Operador de Automation

El rol de Operador de Automation permite crear y administrar trabajos, y leer las propiedades y el nombre del runbook de todos los runbooks de una cuenta de Automation.

Nota:

Si desea controlar el acceso de operador a runbooks individuales, no establezca este rol. En su lugar, use los roles operador de trabajo de Automation y el operador de runbook de Automation en combinación.

La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
Microsoft.Authorization/*/read Autorización de lectura.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Lee los recursos de Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/jobs/read Enumerar trabajos del runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Reanudar un trabajo que está en pausa.
Microsoft.Automation/automationAccounts/jobs/stop/action Cancelar un trabajo en curso.
Microsoft.Automation/automationAccounts/jobs/streams/read Leer los flujos de trabajo y los resultados.
Microsoft.Automation/automationAccounts/jobs/output/read Obtiene la salida de un trabajo.
Microsoft.Automation/automationAccounts/jobs/suspend/action Pausar un trabajo en curso.
Microsoft.Automation/automationAccounts/jobs/write Crear trabajos.
Microsoft.Automation/automationAccounts/jobSchedules/read Obtiene una programación de trabajos de Azure Automation.
Microsoft.Automation/automationAccounts/jobSchedules/write Crea una programación de trabajos de Azure Automation.
Microsoft.Automation/automationAccounts/linkedWorkspace/read Obtiene el área de trabajo vinculada a la cuenta de Automation.
Microsoft.Automation/automationAccounts/read Obtiene una cuenta de Azure Automation.
Microsoft.Automation/automationAccounts/runbooks/read Obtiene un runbook de Azure Automation.
Microsoft.Automation/automationAccounts/schedules/read Obtiene un recurso de programación de Azure Automation.
Microsoft.Automation/automationAccounts/schedules/write Crea o actualiza un recurso de programación de Azure Automation.
Microsoft.Resources/subscriptions/resourceGroups/read Roles de lectura y asignaciones de roles.
Microsoft.Resources/deployments/* Crear y administrar implementaciones de grupos de recursos.
Microsoft.Insights/alertRules/* Crear y administrar reglas de alertas.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico.
Microsoft.ResourceHealth/availabilityStatuses/read Obtiene los estados de disponibilidad de todos los recursos del ámbito especificado.

Operador de trabajos de Automation

El rol de Operador de trabajos de Automation se asigna en el ámbito de la cuenta de Automation. Esto permite a los roles con permiso de Operador crear y administrar trabajos para todos los runbooks de la cuenta. Si a la función de operador de trabajo se le conceden permisos de lectura en el grupo de recursos que contiene la cuenta de Automation, los miembros del rol tendrán la capacidad de iniciar runbooks. Pero no tienen la capacidad de crearlos, modificarlos ni eliminarlos.

La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
Microsoft.Authorization/*/read Autorización de lectura.
Microsoft.Automation/automationAccounts/jobs/read Enumerar trabajos del runbook.
Microsoft.Automation/automationAccounts/jobs/resume/action Reanudar un trabajo que está en pausa.
Microsoft.Automation/automationAccounts/jobs/stop/action Cancelar un trabajo en curso.
Microsoft.Automation/automationAccounts/jobs/streams/read Leer los flujos de trabajo y los resultados.
Microsoft.Automation/automationAccounts/jobs/suspend/action Pausar un trabajo en curso.
Microsoft.Automation/automationAccounts/jobs/write Crear trabajos.
Microsoft.Resources/subscriptions/resourceGroups/read Roles de lectura y asignaciones de roles.
Microsoft.Resources/deployments/* Crear y administrar implementaciones de grupos de recursos.
Microsoft.Insights/alertRules/* Crear y administrar reglas de alertas.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico.
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Lee un grupo de Hybrid Runbook Worker.
Microsoft.Automation/automationAccounts/jobs/output/read Obtiene la salida de un trabajo.

Operador de runbooks de Automation

El rol de operador de runbooks de Automation se concede en el ámbito del runbook. Un Operador de runbooks de Automation puede ver las propiedades y el nombre del runbook. Este rol, combinado con el de operador de trabajos de Automation, permite también al operador crear y administrar trabajos para el runbook. La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
Microsoft.Automation/automationAccounts/runbooks/read Enumerar los runbooks.
Microsoft.Authorization/*/read Autorización de lectura.
Microsoft.Resources/subscriptions/resourceGroups/read Roles de lectura y asignaciones de roles.
Microsoft.Resources/deployments/* Crear y administrar implementaciones de grupos de recursos.
Microsoft.Insights/alertRules/* Crear y administrar reglas de alertas.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico.

Colaborador de Log Analytics

Un colaborador de Log Analytics puede leer todos los datos de supervisión y editar la configuración de supervisión. La edición de la configuración de supervisión incluye la posibilidad de agregar la extensión de máquina virtual a las máquinas virtuales, leer las claves de las cuentas de almacenamiento para poder configurar la recopilación de registros de Azure Storage, crear y configurar cuentas de Automation, agregar características y configurar Azure Diagnostics en todos los recursos de Azure. La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
*/read Leer recursos de todos los tipos, excepto secretos.
Microsoft.ClassicCompute/virtualMachines/extensions/* Crear y administrar extensiones de máquinas virtuales.
Microsoft.ClassicStorage/storageAccounts/listKeys/action Enumerar claves de cuentas de almacenamiento clásicas.
Microsoft.Compute/virtualMachines/extensions/* Crear y administrar extensiones de máquinas virtuales clásicas.
Microsoft.Insights/alertRules/* Reglas de alerta de lectura, escritura y eliminación.
Microsoft.Insights/diagnosticSettings/* Configuración de diagnóstico de lectura, escritura y eliminación.
Microsoft.OperationalInsights/* Administrar registros de Azure Monitor.
Microsoft.OperationsManagement/* Administración de características de Azure Automation en áreas de trabajo.
Microsoft.Resources/deployments/* Crear y administrar implementaciones de grupos de recursos.
Microsoft.Resources/subscriptions/resourcegroups/deployments/* Crear y administrar implementaciones de grupos de recursos.
Microsoft.Storage/storageAccounts/listKeys/action Enumerar claves de cuentas de almacenamiento.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico.
Microsoft.HybridCompute/machines/extensions/write Instala o actualiza las extensiones de Azure Arc.

Lector de Log Analytics

Un lector de Log Analytics puede ver y buscar los datos de supervisión, así como consultar la configuración, incluida la de Azure Diagnostics en todos los recursos de Azure. La siguiente tabla muestra los permisos concedidos o denegados para el rol:

Acciones Descripción
*/read Leer recursos de todos los tipos, excepto secretos.
Microsoft.OperationalInsights/workspaces/analytics/query/action Administrar consultas de búsqueda en registros de Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Buscar datos de registros de Azure Monitor.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico.
No acciones
Microsoft.OperationalInsights/workspaces/sharedKeys/read No se pueden leer las claves de acceso compartido.

Colaborador de supervisión

Un colaborador de supervisión puede leer todos los datos de supervisión y actualizar la configuración de supervisión. La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
*/read Leer recursos de todos los tipos, excepto secretos.
Microsoft.AlertsManagement/alerts/* Administrar alertas.
Microsoft.AlertsManagement/alertsSummary/* Administrar el panel de alertas.
Microsoft.Insights/AlertRules/* Administrar reglas de alertas.
Microsoft.Insights/components/* Administrar componentes de Application Insights.
Microsoft.Insights/DiagnosticSettings/* Administrar la configuración de diagnóstico.
Microsoft.Insights/eventtypes/* Enumerar eventos del registro de actividades (eventos de administración) de una suscripción. Este permiso es aplicable para el acceso mediante programación y mediante el portal al registro de actividades.
Microsoft.Insights/LogDefinitions/* Este permiso es necesario para los usuarios que necesitan acceder a registros de actividades a través del portal. Enumere las categorías de registro del registro de actividad.
Microsoft.Insights/MetricDefinitions/* Leer definiciones de métrica (lista de tipos de métricas disponibles para un recurso).
Microsoft.Insights/Metrics/* Leer las métricas de un recurso.
Microsoft.Insights/Register/Action Registrar el proveedor de Microsoft.Insights.
Microsoft.Insights/webtests/* Administrar pruebas web de Application Insights.
Microsoft.OperationalInsights/workspaces/intelligencepacks/* Administrar paquetes de soluciones de registros de Azure Monitor.
Microsoft.OperationalInsights/workspaces/savedSearches/* Administrar búsquedas guardadas de registros de Azure Monitor.
Microsoft.OperationalInsights/workspaces/search/action Buscar áreas de trabajo de Log Analytics.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Enumerar las claves de un área de trabajo de Log Analytics.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Administrar configuraciones de visión de almacenamiento de registros de Azure Monitor.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico.
Microsoft.WorkloadMonitor/workloads/* Administrar cargas de trabajo.

Lector de supervisión

Un lector de supervisión puede leer todos los datos de supervisión. La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
*/read Leer recursos de todos los tipos, excepto secretos.
Microsoft.OperationalInsights/workspaces/search/action Buscar áreas de trabajo de Log Analytics.
Microsoft.Support/* Crear y administrar incidencias de soporte técnico

Administrador de acceso de usuario

Un administrador de acceso de usuario puede administrar el acceso de los usuarios a los recursos de Azure. La siguiente tabla muestra los permisos concedidos para el rol:

Acciones Descripción
*/read Leer todos los recursos.
Microsoft.Authorization/* Administrar la autorización
Microsoft.Support/* Crear y administrar incidencias de soporte técnico

Permisos de acceso de rol de lector

Importante

Para reforzar la posición de seguridad general de Azure Automation, el lector de RBAC integrado no tendría acceso a las claves de cuenta de Automation mediante la llamada API: GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION.

El rol de lector integrado de la cuenta de Automation no puede usar API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION para capturar las claves de la cuenta de Automation. Se trata de una operación con privilegios elevados que proporciona información confidencial que podría suponer un riesgo para la seguridad si un actor malintencionado no deseado con pocos privilegios obtuviera acceso a las claves de cuenta de Automation y realizara acciones con un nivel de privilegios elevados.

Para acceder a API – GET /AUTOMATIONACCOUNTS/AGENTREGISTRATIONINFORMATION, se recomienda cambiar a los roles integrados, como Propietario, Colaborador o Colaborador de Automation, para acceder a las claves de cuenta de Automation. Estos roles, de forma predeterminada, tendrán el permiso listKeys. Como procedimiento recomendado, es mejor crear un rol personalizado con permisos limitados para acceder a las claves de cuenta de Automation. En este caso, debe agregar un permiso Microsoft.Automation/automationAccounts/listKeys/action a la definición de roles. Más información sobre cómo crear un rol personalizado en Azure Portal.

Permisos de configuración de características

En las secciones siguientes se describen los permisos mínimos necesarios para habilitar las características Update Management y Change Tracking e Inventario.

Permisos para habilitar Update Management y Change Tracking e Inventario en una máquina virtual

Acción Permiso Ámbito mínimo
Escribir nueva implementación Microsoft.Resources/deployments/* Subscription
Escribir nuevo grupo de recursos Microsoft.Resources/subscriptions/resourceGroups/write Subscription
Crear nueva área de trabajo predeterminada Microsoft.OperationalInsights/workspaces/write Resource group
Crear nueva cuenta Microsoft.Automation/automationAccounts/write Resource group
Vincular área de trabajo y cuenta Microsoft.OperationalInsights/workspaces/write
Microsoft.Automation/automationAccounts/read
Área de trabajo
Cuenta de Automation
Crear extensión MMA Microsoft.Compute/virtualMachines/write Máquina virtual
Crear búsqueda guardada Microsoft.OperationalInsights/workspaces/write Área de trabajo
Crear configuración de ámbito Microsoft.OperationalInsights/workspaces/write Área de trabajo
Comprobación de estado de incorporación: leer área trabajo Microsoft.OperationalInsights/workspaces/read Área de trabajo
Comprobación de estado de incorporación: leer propiedad de área de trabajo vinculada de la cuenta Microsoft.Automation/automationAccounts/read Cuenta de Automation
Comprobación de estado de incorporación: leer solución Microsoft.OperationalInsights/workspaces/intelligencepacks/read Solución
Comprobación de estado de incorporación: leer máquina virtual Microsoft.Compute/virtualMachines/read Máquina virtual
Comprobación de estado de incorporación: leer cuenta Microsoft.Automation/automationAccounts/read Cuenta de Automation
Incorporación de comprobación de área de trabajo para VM1 Microsoft.OperationalInsights/workspaces/read Subscription
Registro del proveedor de Log Analytics Microsoft.Insights/register/action Subscription

1 Este permiso es necesario para habilitar características a través de la experiencia de máquina virtual del portal.

Permisos para habilitar Update Management y Change Tracking e inventario en una cuenta de Automation

Acción Permiso Ámbito mínimo
Crear una nueva implementación Microsoft.Resources/deployments/* Subscription
Crear un grupo de recursos Microsoft.Resources/subscriptions/resourceGroups/write Subscription
Hoja AutomationOnboarding: crear nueva área de trabajo Microsoft.OperationalInsights/workspaces/write Resource group
Hoja AutomationOnboarding: leer área de trabajo vinculada Microsoft.Automation/automationAccounts/read Cuenta de Automation
Hoja AutomationOnboarding: leer solución Microsoft.OperationalInsights/workspaces/intelligencepacks/read Solución
Hoja AutomationOnboarding: leer área de trabajo Microsoft.OperationalInsights/workspaces/intelligencepacks/read Área de trabajo
Crear vínculo para área de trabajo y cuenta Microsoft.OperationalInsights/workspaces/write Área de trabajo
Escribir cuenta para Shoebox Microsoft.Automation/automationAccounts/write Cuenta
Crear o editar búsqueda guardada Microsoft.OperationalInsights/workspaces/write Área de trabajo
Crear o editar la configuración de ámbito Microsoft.OperationalInsights/workspaces/write Área de trabajo
Registro del proveedor de Log Analytics Microsoft.Insights/register/action Subscription
Paso 2: Habilitación de varias máquinas virtuales
Hoja VMOnboarding: crear extensión MMA Microsoft.Compute/virtualMachines/write Máquina virtual
Crear o editar búsqueda guardada Microsoft.OperationalInsights/workspaces/write Área de trabajo
Crear o editar la configuración de ámbito Microsoft.OperationalInsights/workspaces/write Área de trabajo

Administración de permisos de rol para grupos e instancias de Hybrid Worker

Puede crear roles personalizados de Azure en Automation y conceder los siguientes permisos a grupos de Hybrid Worker e instancias de Hybrid Worker:

Permisos de Update Management

Update Management se puede usar para evaluar y programar implementaciones de actualizaciones en máquinas de varias suscripciones del mismo inquilino de Microsoft Entra o entre inquilinos mediante Azure Lighthouse. En la tabla siguiente se muestran los permisos necesarios para administrar las implementaciones de actualizaciones.

Recurso Rol Ámbito
Cuenta de Automation Colaborador de la máquina virtual Grupo de recursos para la cuenta
Área de trabajo de Log Analytics Colaborador de Log Analytics Área de trabajo de Log Analytics
Área de trabajo de Log Analytics Lector de Log Analytics Subscription
Solución Colaborador de Log Analytics Solución
Máquina virtual Colaborador de la máquina virtual Máquina virtual
Acciones en la máquina virtual
Ver el historial de ejecución de la programación de actualizaciones (se ejecuta la máquina de configuración de actualizaciones de software) Lector Cuenta de Automation
Acciones en la máquina virtual Permiso
Crear programación de actualizaciones (configuraciones de actualizaciones de software) Microsoft.Compute/virtualMachines/write Para grupos de recursos y listas de máquinas virtuales estáticas
Crear programación de actualizaciones (configuraciones de actualizaciones de software) Microsoft.OperationalInsights/workspaces/analytics/query/action Para el identificador de recurso del área de trabajo cuando se usa una lista dinámica que no es de Azure.

Nota:

Si usa Administración de actualizaciones, asegúrese de que la directiva de ejecución de scripts sea RemoteSigned.

Configuración de RBAC de Azure para la cuenta de Automation

En la sección siguiente se muestra cómo configurar RBAC de Azure en la cuenta de Automation mediante Azure Portal y PowerShell.

Configuración de RBAC de Azure mediante Azure Portal

  1. Inicie sesión en Azure Portal y abra su cuenta de Automation en la página Cuentas de automatización.

  2. Seleccione Control de acceso (IAM) y seleccione un rol en la lista de roles disponibles. Puede elegir cualquiera de los roles integrados disponibles que la cuenta de Automation admita o cualquier rol personalizado que haya definido. Asigne el rol a un usuario al que desea conceder permisos.

    Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.

    Nota:

    El control de acceso basado en roles solo se puede establecer en el ámbito de la cuenta de Automation, no en los recursos por debajo de la cuenta de Automation.

Eliminación de asignaciones de roles de un usuario

Puede quitar el permiso de usuario de cualquier usuario que no administre la cuenta de Automation o que haya dejado de trabajar en la organización. En los pasos siguientes se muestra cómo quitar las asignaciones de roles de un usuario. Para los pasos detallados, consulte Eliminación de asignaciones de roles de Azure:

  1. Abra Control de acceso (IAM) en un ámbito como, por ejemplo, grupo de administración, suscripción, grupo de recursos o recurso, en donde quiere quitar el acceso.

  2. Seleccione la pestaña Asignaciones de roles para ver todas las asignaciones de roles en este ámbito.

  3. En la lista de asignaciones de roles, agregue una marca de verificación junto al usuario con la asignación de roles que quiera eliminar.

  4. Seleccione Quitar.

    Remove users

Configuración de RBAC de Azure mediante PowerShell

El acceso basado en rol también se puede configurar en una cuenta de Automation mediante los siguientes cmdlets de Azure PowerShell:

Get-AzRoleDefinition enumera todos los roles de Azure disponibles en Microsoft Entra ID. Puede usar este cmdlet con el parámetro Name para enumerar todas las acciones que puede realizar un rol específico.

Get-AzRoleDefinition -Name 'Automation Operator'

A continuación se incluye el resultado de ejemplo:

Name             : Automation Operator
Id               : d3881f73-407a-4167-8283-e981cbba0404
IsCustom         : False
Description      : Automation Operators are able to start, stop, suspend, and resume jobs
Actions          : {Microsoft.Authorization/*/read, Microsoft.Automation/automationAccounts/jobs/read, Microsoft.Automation/automationAccounts/jobs/resume/action,
                   Microsoft.Automation/automationAccounts/jobs/stop/action...}
NotActions       : {}
AssignableScopes : {/}

Get-AzRoleAssignment enumera las asignaciones de roles de Azure en el ámbito especificado. Sin parámetros, este cmdlet devuelve todas las asignaciones de roles realizadas en la suscripción. Use el parámetro ExpandPrincipalGroups para enumerar las asignaciones de acceso del usuario especificado, así como los grupos a los que pertenezca.

Ejemplo: use el siguiente cmdlet para enumerar todos los usuarios de una cuenta de Automation y sus roles.

Get-AzRoleAssignment -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

A continuación se incluye el resultado de ejemplo:

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : User

Use New-AzRoleAssignment para asignar acceso a usuarios, grupos y aplicaciones en un ámbito determinado.

Ejemplo: use el siguiente comando para asignar el rol "Operador de Automation" para un usuario en el ámbito de la cuenta de Automation.

New-AzRoleAssignment -SignInName <sign-in Id of a user you wish to grant access> -RoleDefinitionName 'Automation operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

A continuación se incluye el resultado de ejemplo:

RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount/provid
                     ers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/myResourceGroup/Providers/Microsoft.Automation/automationAccounts/myAutomationAccount
DisplayName        : admin@contoso.com
SignInName         : admin@contoso.com
RoleDefinitionName : Automation Operator
RoleDefinitionId   : d3881f73-407a-4167-8283-e981cbba0404
ObjectId           : bbbbbbbb-1111-2222-3333-cccccccccccc
ObjectType         : User

Use Remove-AzRoleAssignment para quitar el acceso a un usuario, grupo o aplicación concretos de un ámbito determinado.

Ejemplo: use el siguiente comando para quitar el usuario del rol Operador de Automation en el ámbito de la cuenta de Automation.

Remove-AzRoleAssignment -SignInName <sign-in Id of a user you wish to remove> -RoleDefinitionName 'Automation Operator' -Scope '/subscriptions/<SubscriptionID>/resourcegroups/<Resource Group Name>/Providers/Microsoft.Automation/automationAccounts/<Automation account name>'

En el ejemplo anterior, reemplace sign-in ID of a user you wish to remove, SubscriptionID, Resource Group Name y Automation account name por los detalles de su cuenta. Elija cuando se le pida que confirme antes de proceder a la eliminación de las asignaciones de roles de usuario.

Experiencia del usuario en el rol Operador de Automation: cuenta de Automation

Cuando un usuario asignado al rol Operador de Automation en el ámbito de la cuenta de Automation vea la cuenta de Automation a la que está asignado, solo verá la lista de runbooks, los trabajos de runbook y las programaciones creados en la cuenta de Automation. Este usuario no puede ver las definiciones de estos elementos. El usuario puede iniciar, detener, suspender, reanudar o programar el trabajo de runbook. Pero el usuario no tiene acceso a otros recursos de Automation como configuraciones, grupos de Hybrid Runbook Worker o nodos de DSC.

No access to resources

Configuración de RBAC de Azure para runbooks

Azure Automation permite asignar roles de Azure a runbooks específicos. Para ello, ejecute el siguiente script para agregar un usuario a un runbook específico. Un administrador de la cuenta de Automation o un administrador de inquilinos pueden ejecutar este script.

$rgName = "<Resource Group Name>" # Resource Group name for the Automation account
$automationAccountName ="<Automation account name>" # Name of the Automation account
$rbName = "<Name of Runbook>" # Name of the runbook
$userId = "<User ObjectId>" # Azure Active Directory (AAD) user's ObjectId from the directory

# Gets the Automation account resource
$aa = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts" -ResourceName $automationAccountName

# Get the Runbook resource
$rb = Get-AzResource -ResourceGroupName $rgName -ResourceType "Microsoft.Automation/automationAccounts/runbooks" -ResourceName "$rbName"

# The Automation Job Operator role only needs to be run once per user.
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Job Operator" -Scope $aa.ResourceId

# Adds the user to the Automation Runbook Operator role to the Runbook scope
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Automation Runbook Operator" -Scope $rb.ResourceId

Una vez ejecutado el script, haga que el usuario inicie sesión en Azure Portal y seleccione Todos los recursos. En la lista, el usuario puede ver el runbook para el que se ha agregado como Operador de runbook de Automation.

Runbook Azure RBAC in the portal

Experiencia del usuario en el rol Operador de Automation: runbook

Cuando un usuario asignado al rol Operador de Automation en el ámbito del runbook vea un runbook al que esté asignado, solo podrá iniciar el runbook y ver los trabajos de runbook.

Only has access to start

Pasos siguientes