Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Custom Role is Assigned Permissions for Administering Resource Locks

Por Que Es Importante

Los bloqueos de recursos protegen los recursos críticos de Azure contra la eliminación o modificación accidental. Sin un rol dedicado a la administración de estos bloqueos, corre el riesgo de otorgar permisos excesivos como Owner o Contributor solo para desbloquear recursos, lo que aumenta la superficie de ataque. Un rol personalizado para la administración de bloqueos de recursos aplica el principio de mínimo privilegio y reduce la posibilidad de daños no intencionados.

Que Verifica Aether365

Aether365 verifica que exista un rol personalizado con permisos específicamente para administrar bloqueos de recursos (Microsoft.Authorization/locks/*). Esta verificación aparece en el panel de Aether365 bajo las comprobaciones de seguridad de la suscripción de Azure y marca cualquier suscripción o grupo de administración que carezca de este rol adaptado.

Como Solucionarlo

Para crear y asignar un rol personalizado de Administrador de Bloqueos de Recursos:

  1. En Azure portal, navegue a la suscripción o grupo de recursos donde el rol debe ser asignable.
  2. Abra Access control (IAM) y haga clic en Add, luego seleccione Add custom role.
  3. Ingrese el nombre del rol como Resource Lock Administrator y proporcione una descripcion.
  4. En Baseline permissions, elija Start from scratch.
  5. En la pestana Permissions, haga clic en Add permissions y busque Microsoft.Authorization/locks.
  6. Seleccione la casilla de verificacion del permiso correspondiente, haga clic en Add, luego en Review + create y Create.
  7. Asigne este rol personalizado a los usuarios o grupos apropiados en IAM.

Alternativamente, use PowerShell para crear el rol en el ambito de un grupo de administracion:

  • Cargue la definicion del rol User Access Administrator, limpie sus acciones y agregue Microsoft.Authorization/locks/*.
  • Establezca los ambitos asignables al grupo de administracion o suscripcion.
  • Ejecute New-AzRoleDefinition para registrar el nuevo rol.

Cumplimiento

  • CIS Microsoft Azure Foundations Benchmark 3.0.0 Seccion 2.24 (Nivel 2)
  • Microsoft Security Benchmark: Privileged Access (PA-1, PA-2, PA-5, PA-7)
  • Microsoft Security Benchmark: Governance Strategy (GS-2, GS-6)

Recursos Relacionados

Microsoft references

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.