Exportar (0) Imprimir
Expandir todo

Administrar cuentas, suscripciones y roles administrativos

Actualizado: abril de 2014

En este tema se explican las cuentas, suscripciones y roles administrativos de Windows Azure para los usuarios que necesitan acceso a Windows Azure para administrar servicios. Estas características ayudan a controlar el acceso a los recursos, el uso y la información de facturación de los servicios que se compilan y ejecutan en Windows Azure. Este acceso no debe confundirse con habilitar el acceso a los usuarios finales del servicio.

En este tema

noteNota
En este tema no se explica cómo suscribirse a una cuenta de Windows Azure. Para obtener información acerca de las opciones de compra de Windows Azure, vea Opciones de compra, Versión de evaluación gratuita y Ofertas para miembros (para miembros de MSDN, Microsoft Partner Network, BizSpark y otros programas de Microsoft).

Una cuenta de Windows Azure determina cómo se informa del uso de Windows Azure y quién es el administrador de la cuenta.

Las suscripciones ayudan a organizar el acceso a los recursos del servicio en la nube. También ayudan a controlar cómo se informa del uso de recursos, cómo se factura y cómo se paga. Cada suscripción puede tener una configuración de dirección de facturación y de pago diferentes, por lo que puede haber varias suscripciones y varios planes por departamento, proyecto, oficina regional, etc. Cada servicio en la nube pertenece a una suscripción y el identificador de suscripción puede ser necesario para las operaciones de programación.

Las cuentas y las suscripciones se crean en el Centro de cuentas. La persona que crea la cuenta es el Administrador de la cuenta para todas las suscripciones creadas en esta cuenta. Esa persona es también el Administrador de servicios para la suscripción.

Hay tres roles relacionados con las cuentas y suscripciones de Azure:

 

Rol administrativo Límite Resumen

Administrador de cuentas

1 por cada cuenta de Windows Azure

Está autorizado para tener acceso al Centro de cuentas (crear suscripciones, cancelar suscripciones, cambiar la facturación de una suscripción, cambiar el Administrador de servicios, etc.)

Administrador de servicios

1 por cada suscripción de Windows Azure

Está autorizado para tener acceso al Portal de administración de Windows Azure para todas las suscripciones de la cuenta. De forma predeterminada, es el mismo que el Administrador de la cuenta cuando se crea una suscripción.

Coadministrador

200 por cada suscripción (además del Administrador de servicios)

Igual que el Administrador de servicios, pero no puede cambiar la asociación de suscripciones a los directorios de Windows Azure.

El Administrador de la cuenta para una suscripción es la única persona con acceso al Centro de cuentas. El Administrador de la cuenta no tiene ningún otro acceso a los servicios en esa suscripción; para ello, debe ser también Administrador de servicios o coadministrador. Por razones de seguridad, el Administrador de la cuenta para una suscripción se puede cambiar con una sola llamada al soporte técnico de Windows Azure. El Administrador de la cuenta puede reasignar fácilmente el Administrador de servicios para una suscripción en el Centro de cuentas en cualquier momento.

El Administrador de servicios es el primer coadministrador de una suscripción. Como otros coadministradores, el Administrador de servicios tiene acceso administrativo a los recursos en la nube mediante el Portal de administración de Windows Azure y mediante herramientas como Visual Studio, otros SDK y herramientas de línea de comandos como PowerShell. El Administrador de servicios también puede agregar y quitar otros coadministradores.

Diferencias cruciales entre el administrador de servicios y los coadministradores:

  • Los coadministradores no pueden eliminar el Administrador de servicios del Portal de administración de Windows Azure. Solo el Administrador de la cuenta puede cambiar esta asignación en el Centro de cuentas.

  • El Administrador de servicios es el único usuario autorizado para cambiar la asociación de una suscripción con un directorio del Portal de administración de Windows Azure.

El acceso a Windows Azure comienza con un id. de usuario, que es una combinación de correo electrónico y contraseña que Azure utiliza para autenticar a los usuarios. Los id. de usuario tienen dos formas: Cuentas de Microsoft y cuentas organizativas.

  • Las cuentas de Microsoft tienen el formato <usuario>@outlook.com, <usuario>@hotmail.com o <usuario>@live.com.

  • Las cuentas organizativas tienen el formato judy@contoso.onmicrosoft.com o judy@contoso.com, por ejemplo. “Contoso” puede ser cualquier nombre de dominio.

Las cuentas organizativas son diferentes de las cuentas de Microsoft porque tienen su origen en Active Directory de Windows Azure. Dado que las cuentas organizativas se crean dentro de Active Directory de Windows Azure, tiene varias opciones para administrarlas. Por ejemplo, las cuentas organizativas pueden complementarse con la autenticación de varios factores, que requiere que el usuario escriba información adicional para comprobar su identidad.

Por lo tanto, como regla general, utilice las cuentas organizativas siempre que necesite asignar el acceso administrativo a Azure. Cada suscripción de Windows Azure tiene un directorio predeterminado que puede usar para crear cuentas organizativas.

El Portal de administración de Windows Azure y la mayoría de las herramientas de cliente para los servicios, como Visual Studio o PowerShell, admiten la autenticación basada en cuentas. Es un esquema de autenticación basada en tokens, que solo requiere que el usuario especifique el id. de usuario. Sin embargo, la autenticación basada en cuentas para Windows Azure cuando se usan las herramientas que se ejecutan en un cliente es una capacidad relativamente nueva. Antes de esto, la única forma de autenticación era tener un certificado de administración para una suscripción en el cliente. Esta autenticación basada en certificados implica tener acceso a un sitio web especial con el id. de usuario para descargar un archivo de suscripción (conocido anteriormente como archivo publishsettings), que contiene información sobre las suscripciones a las que puede obtener acceso y sus certificados, y después hacer referencia a ese archivo o a los certificados desde las herramientas. También podría crear el certificado por sí mismo, cargarlo en el Portal de administración de Windows Azure y, a continuación, hacer referencia a él de la misma manera.

Este método resulta complicado, falible y requiere una infraestructura de clave pública (PKI) ser adecuadamente seguro.

La autenticación basada en certificados para las funciones de administración sigue siendo compatible, y puede que algunos servicios de Azure sigan requiriéndola, pero es más complicada y menos segura que la administración basada en cuentas. También es fácil confundir esta autenticación basada en certificados para las funciones de administración de servicios con la autenticación basada en certificados que permite a los programas y a las personas utilizar los servicios mientras se ejecutan.

Por estas razones, elija la autenticación basada en cuentas en lugar de la autenticación basada en certificados para las funciones de administración de servicios siempre que pueda.

ImportantImportante
La autenticación basada en cuentas confía en tokens emitidos por un proveedor de autenticación. Este elige la duración del token, que puede ser de un día o de varias semanas. Cuando expira el token, el usuario deberá iniciar sesión de nuevo. Si necesita acceso de cliente persistente a las funciones de administración de servicios, por ejemplo, para los scripts de implementación integrados de ejecución prolongada o los proyectos de código, la administración basada en certificados puede ser la opción adecuada.

Vea la notas de la versión del SDK de Windows Azure.

En general, cuantos más administradores haya, tanto más deberá preocuparse por las instrucciones y recomendaciones. Aunque sus servicios sean pequeños y tengan pocos administradores actualmente, a medida que crezcan, seguir las recomendaciones de suscripción y de administración de cuentas le ayudará a mantener orden durante ese crecimiento.

Utilice cuentas organizativas para todos los roles administrativos. Esto le permite aprovechar la eficacia de Active Directory de Windows Azure para el gobierno. Puede usar directorios para administrar los usuarios y delegar la asignación según corresponda para su negocio. Vea Windows Azure Active Directory para obtener más información.

Siempre que agregue o cambie una asignación de rol administrativo, utilice el mismo nombre de dominio con el que haya iniciado sesión. Por ejemplo, si es Administrador de la cuenta en el dominio contoso.onmicrosoft.com y vuelve a asignar el Administrador de servicios para una suscripción, agréguelo con un id. de usuario del dominio contoso.onmicrosoft.com. Haga lo mismo si va a agregar coadministradores en el Portal de administración de Windows Azure.

Cree otra suscripción para cada servicio y proporcione a cada suscripción un nombre único. Esto le permite ver el uso y controlar el acceso a cada servicio granularmente.

Mostrar:
© 2014 Microsoft