Exportar (0) Imprimir
Expandir todo

Administrar cuentas, suscripciones y roles administrativos

Actualizado: agosto de 2014

En este tema se explican las cuentas, las suscripciones y los roles administrativos de Microsoft Azure para los usuarios que necesitan acceso a Azure para administrar servicios. Estas características ayudan a controlar el acceso a los recursos, el uso y la información de facturación de los servicios que se compilan y ejecutan en Azure. Este acceso no debe confundirse con habilitar el acceso a los usuarios finales del servicio.

En este tema

noteNota
En este tema no se explica cómo suscribirse a una cuenta de Azure. Para obtener información acerca de las opciones de compra de Azure, vea Opciones de compra, Versión de evaluación gratuita y Ofertas para miembros (para miembros de MSDN, Microsoft Partner Network, BizSpark y otros programas de Microsoft).

Una cuenta de Azure determina cómo se informa del uso de Azure y quién es el administrador de la cuenta.

Las suscripciones ayudan a organizar el acceso a los recursos del servicio en la nube. También ayudan a controlar cómo se informa del uso de recursos, cómo se factura y cómo se paga. Cada suscripción puede tener una configuración de dirección de facturación y de pago diferentes, por lo que puede haber varias suscripciones y varios planes por departamento, proyecto, oficina regional, etc. Cada servicio en la nube pertenece a una suscripción y el identificador de suscripción puede ser necesario para las operaciones de programación.

Las cuentas y las suscripciones se crean en el Centro de cuentas de Azure. La persona que crea la cuenta es el Administrador de la cuenta para todas las suscripciones creadas en esta cuenta. Esa persona es también el Administrador de servicios para la suscripción.

En el gráfico siguiente se representa el rol principal que desempeña el administrador de cuentas en la creación y la administración de suscripciones de Azure.

Relación entre administración de servicios y administración de cuentas de Azure

Hay tres roles relacionados con las cuentas y suscripciones de Azure:

 

Rol administrativo Límite Resumen

Administrador de cuentas

1 por cada cuenta de Azure

Está autorizado para tener acceso al Centro de cuentas (crear suscripciones, cancelar suscripciones, cambiar la facturación de una suscripción, cambiar el Administrador de servicios, etc.)

Administrador de servicios

1 por cada suscripción de Azure

Está autorizado para tener acceso al Portal de administración de Azure para todas las suscripciones de la cuenta. De forma predeterminada, es el mismo que el Administrador de la cuenta cuando se crea una suscripción.

Coadministrador

200 por cada suscripción (además del Administrador de servicios)

Igual que el Administrador de servicios, pero no puede cambiar la asociación de suscripciones a los directorios de Azure.

El Administrador de la cuenta para una suscripción es la única persona con acceso al Centro de cuentas. El Administrador de la cuenta no tiene ningún otro acceso a los servicios en esa suscripción; para ello, debe ser también Administrador de servicios o coadministrador. Por razones de seguridad, el Administrador de la cuenta para una suscripción se puede cambiar con una sola llamada al soporte técnico de Azure. El Administrador de la cuenta puede reasignar fácilmente el Administrador de servicios para una suscripción en el Centro de cuentas en cualquier momento.

El Administrador de servicios es el primer coadministrador de una suscripción. Como otros coadministradores, el Administrador de servicios tiene acceso administrativo a los recursos en la nube mediante el Portal de administración de Azure y mediante herramientas como Visual Studio, otros SDK y herramientas de línea de comandos como PowerShell. El Administrador de servicios también puede agregar y quitar otros coadministradores.

En el gráfico siguiente se representan los derechos básicos de acceso y administración de estos roles de administrador.

Relación entre cuentas, servicios y coadministración de Azure

Diferencias cruciales entre el administrador de servicios y los coadministradores:

  • Los coadministradores no pueden eliminar el Administrador de servicios del Portal de administración de Azure. Solo el Administrador de la cuenta puede cambiar esta asignación en el Centro de cuentas.

  • El Administrador de servicios es el único usuario autorizado para cambiar la asociación de una suscripción con un directorio del Portal de administración de Azure.

El acceso a Azure comienza con un id. de usuario, que es una combinación de correo electrónico y contraseña que Azure utiliza para autenticar a los usuarios. Los id. de usuario tienen dos formas: Cuentas de Microsoft y cuentas organizativas.

  • Las cuentas de Microsoft tienen el formato <usuario>@outlook.com, <usuario>@hotmail.com o <usuario>@live.com.

  • Las cuentas organizativas tienen el formato judy@contoso.onmicrosoft.com o judy@contoso.com, por ejemplo. “Contoso” puede ser cualquier nombre de dominio.

Las cuentas organizativas son diferentes de las cuentas de Microsoft porque tienen su origen en Active Directory de Azure. Dado que las cuentas organizativas se crean dentro de Active Directory de Azure, tiene varias opciones para administrarlas. Por ejemplo, las cuentas organizativas pueden complementarse con la autenticación de varios factores, que requiere que el usuario escriba información adicional para comprobar su identidad.

Por lo tanto, como regla general, utilice las cuentas organizativas siempre que necesite asignar el acceso administrativo a Azure. Cada suscripción de Azure tiene un directorio predeterminado que puede usar para crear cuentas organizativas.

El Portal de administración de Azure y la mayoría de las herramientas de cliente para los servicios, como Visual Studio o PowerShell, admiten la autenticación basada en cuentas. Es un esquema de autenticación basada en tokens que solo requiere que el usuario especifique el id. de usuario. Sin embargo, la autenticación basada en cuentas para Windows Azure cuando se usan las herramientas que se ejecutan en un cliente es una capacidad relativamente nueva. Antes de esto, la única forma de autenticación era tener un certificado de administración para una suscripción en el cliente. Esta autenticación basada en certificados implica tener acceso a un sitio web especial con el id. de usuario para descargar un archivo de suscripción (conocido anteriormente como archivo publishsettings), que contiene información sobre las suscripciones a las que puede obtener acceso y sus certificados, y después hacer referencia a ese archivo o a los certificados desde las herramientas. También podría crear el certificado por sí mismo, cargarlo en el Portal de administración de Azure y, a continuación, hacer referencia a él de la misma manera.

Este método resulta complicado, falible y requiere una infraestructura de clave pública (PKI) ser adecuadamente seguro.

La autenticación basada en certificados para las funciones de administración sigue siendo compatible, y puede que algunos servicios de Azure sigan requiriéndola, pero es más complicada y menos segura que la administración basada en cuentas. También es fácil confundir esta autenticación basada en certificados para las funciones de administración de servicios con la autenticación basada en certificados que permite a los programas y a las personas utilizar los servicios mientras se ejecutan.

Por estas razones, elija la autenticación basada en cuentas en lugar de la autenticación basada en certificados para las funciones de administración de servicios siempre que pueda.

ImportantImportante
La autenticación basada en cuentas confía en tokens emitidos por un proveedor de autenticación. Este elige la duración del token, que puede ser de un día o de varias semanas. Cuando expira el token, el usuario deberá iniciar sesión de nuevo. Si necesita acceso de cliente persistente a las funciones de administración de servicios, por ejemplo, para los scripts de implementación integrados de ejecución prolongada o los proyectos de código, la administración basada en certificados puede ser la opción adecuada.

Vea las notas de la versión del SDK de Microsoft Azure.

En general, cuantos más administradores haya, tanto más deberá preocuparse por las instrucciones y recomendaciones. Aunque sus servicios sean pequeños y tengan pocos administradores actualmente, a medida que crezcan, seguir las recomendaciones de suscripción y de administración de cuentas le ayudará a mantener orden durante ese crecimiento.

Utilice cuentas organizativas para todos los roles administrativos. Esto le permite aprovechar la eficacia de Active Directory de Azure para el gobierno. Puede usar directorios para administrar los usuarios y delegar la asignación según corresponda para su negocio. Vea Azure Active Directory para obtener más información.

Siempre que agregue o cambie una asignación de rol administrativo, utilice el mismo nombre de dominio con el que haya iniciado sesión. Por ejemplo, si es Administrador de la cuenta en el dominio contoso.onmicrosoft.com y vuelve a asignar el Administrador de servicios para una suscripción, agréguelo con un id. de usuario del dominio contoso.onmicrosoft.com. Haga lo mismo si va a agregar coadministradores en el Portal de administración de Azure.

Cree otra suscripción para cada servicio y proporcione a cada suscripción un nombre único. Esto le permite ver el uso y controlar el acceso a cada servicio granularmente.

Mostrar:
© 2014 Microsoft