Creación de Roles de Acceso en Azure con Service Principal

Clase 23 de 39Curso de Fundamentos de Microsoft Azure (AZ-900)

Clase anteriorSiguiente clase

Resumen

¿Cómo acceder a recursos en Azure sin usuario humano?

En la actualidad, la necesidad de permitir que aplicaciones, en lugar de usuarios humanos, accedan a los recursos en la nube es un desafío común y fascinante. Imagina una aplicación web que requiera acceso a una base de datos en Azure, o un clúster de Kubernetes necesitando interactuar con un registro de contenedores. Para abordar estos escenarios, Azure proporciona un sistema de roles de acceso, conocidos como "roles AirBack" que permiten la creación de credenciales especiales. Estas credenciales pueden otorgarse a aplicaciones para interactuar con tus recursos de manera segura y eficiente.

¿Qué es un service principal en Azure?

Un "service principal" es esencialmente una identidad creada para que una aplicación acceda a los recursos de Azure como si fuera un usuario. Este método es útil para evitar el uso de credenciales personales, que pueden ser menos seguras en ciertos contextos.

Para crear un "service principal", aquí te mostramos un ejemplo de comando que podrías utilizar en Azure a través de Visual Studio Code:

az ad sp create-for-rbac --name "your-service-principal-name" --role contributor --scopes /subscriptions/{subscription-id}
  • name: nombre único para el service principal.
  • role: rol que deseas asignar (por ejemplo, contribuidor, lector).
  • scopes: define el alcance, que podría ser una suscripción completa o un grupo de recursos específico.

Este comando genera un conjunto de credenciales que deberás mantener seguras, ya que pueden brindar acceso completo según el rol asignado.

¿Cómo crear diferentes grupos de recursos y roles?

Una gestión eficiente de recursos en Azure también incluye la creación de grupos de recursos y la asignación de roles. Aquí te mostramos cómo podrías hacerlo:

  • Crear un grupo de recursos: utiliza el siguiente comando para crear un grupo conocido como "grupo recursos contribuidores":

    az group create --name "grupo-recursos-contribuidores" --location "EastUS"

  • Crear otro grupo para lectores: repite el proceso para crear un grupo de recursos dedicado a los lectores.

    az group create --name "grupo-recursos-lectores" --location "EastUS"

Esto te permite tener una organización más precisa en tu entorno de Azure y asignar roles de uso para diferentes equipos o componentes de aplicación.

¿Cómo gestionar estos elementos y asegurar tus recursos?

Una vez que has creado roles y grupos de recursos, es crucial manejar estos elementos desde el portal de Microsoft Entra, que ha evolucionado de lo que anteriormente era conocido como Active Directory.

  1. Registros de aplicaciones: aquí puedes ver todos los "service principals" creados. Puedes buscar por nombre, revisar permisos asociados y gestionar sus políticas de expiración.

  2. Revisión y eliminación: asegúrate de eliminar "service principals" que ya no necesitas. Esto es importante para mantener la seguridad y evitar accesos no deseados. Lo puedes hacer desde la sección de registros de aplicaciones en el portal.

    az ad sp delete --id <appId>

Eliminar credenciales no usadas es una práctica recomendada para proteger tus recursos. Revisa periódicamente los accesos y elimina aquellos que sean innecesarios para evitar riesgos de seguridad.

Mediante el uso del portal de Azure y sus conciendos comandos de línea, puedes gestionar de manera avanzada y segura el acceso a tus recursos en la nube.

Te animamos a explorar más sobre el uso de roles AirBack y experimentar con distintas configuraciones para atender las necesidades específicas de tus aplicaciones. ¡La práctica hace al maestro!