Compartir a través de

Preparación de cuentas de Azure para Azure Migrate mediante roles integrados

Azure Migrate es una plataforma de migración unificada que permite a los clientes detectar, evaluar y migrar varias cargas de trabajo, como servidores, bases de datos y aplicaciones web. Un recorrido típico de migración del cliente incluye tres fases: la fase de decisión para detectar las cargas de trabajo, la fase de planificación para evaluar la preparación de Azure de las cargas de trabajo y el dimensionamiento correcto de los destinos en Azure, y la fase de ejecución para migrar y modernizar las cargas de trabajo. En el artículo se explica cómo implementar el control de acceso basado en rol de Azure para conceder acceso a Azure con privilegios mínimos en Azure Migrate mediante roles integrados. Los roles integrados se asignan intencionadamente a las fases Decidir, Planear y Ejecutar, por lo que los usuarios solo tienen los permisos necesarios para esa fase del recorrido de migración.

El uso de roles integrados le permite aplicar el principio de privilegios mínimos, conceder acceso pormenorizados y garantizar el cumplimiento de los requisitos normativos. Se recomienda asignar roles integrados en lugar de conceder un amplio acceso como Propietario o Colaborador a los usuarios a nivel de suscripción o grupo de recursos.

Roles integrados de Azure Migrate

S.no. Rol integrado Description identificación Ámbito
1 Propietario de Azure Migrate Concede acceso total para crear y administrar proyectos de Azure Migrate, incluidos el dispositivo o la detección basada en la importación, la creación de casos empresariales, la evaluación y la ejecución de migraciones; También concede la capacidad de asignar roles específicos de Azure Migrate en Azure Role-Based Access Control (o RBAC). fd8ea4d5-6509-4db0-bada-356ab233b4fa El ámbito es grupo de recursos o suscripción donde se crea el proyecto de Azure Migrate.
2 Experto en decisión y plan de Azure Migrate Concede acceso restringido en un proyecto de Azure Migrate para realizar solo operaciones de planeación , como la detección basada en dispositivos o importación, la administración del inventario, la identificación de dependencias del servidor, la creación de casos empresariales, aplicaciones e informes de evaluación. 7859c0b0-0bb9-4994-bd12-cd529af7d646 El ámbito es grupo de recursos o suscripción donde se crea el proyecto de Azure Migrate.
3 Experto en ejecución de Azure Migrate Concede acceso restringido en un proyecto de Azure Migrate para realizar solo operaciones relacionadas con la migración, incluida la replicación, la ejecución de migraciones de prueba, el seguimiento y la supervisión del progreso de la migración e inicio de migraciones sin agente y basadas en agentes. 1cfa4eac-9a23-481c-a793-bfb6958e836b Grupo de recursos de origen o suscripción donde se crea el proyecto de Azure Migrate; Grupo de recursos de destino o suscripción a la que se migran servidores y cargas de trabajo.

Propietario de Azure Migrate

El rol Propietario de Azure Migrate proporciona un superconjunto de permisos para realizar operaciones de un extremo a otro en todas las fases de migración (Decidir, Planear y Ejecutar). Un usuario debe formar parte del propietario de Azure Migrate o un rol con privilegios superiores para crear un proyecto de Azure Migrate.

Ámbito

Grupo de recursos o suscripción donde se crea el proyecto de Azure Migrate.

Asignación de roles

Los usuarios con el rol de Propietario de Azure Migrate pueden asignar o quitar los roles de Azure Migrate Decide and Plan Expert y Azure Migrate Execute Expert a otros usuarios o grupos. El rol no concede permisos para asignar ni quitar roles integrados que no son de Azure Migrate.

Experto en decisión y plan de Azure Migrate

El rol Experto en Decidir y Planear de Azure Migrate proporciona accesos limitados para realizar operaciones delimitadas en las fases de Decidir y Planear. El rol incluye permisos para detectar el patrimonio de TI mediante un dispositivo o una importación de inventario, administrar y revisar el inventario detectado, identificar las dependencias del servidor, crear casos empresariales, oleadas e informes de evaluación. El rol no concede permisos para crear un proyecto de migración ni realizar asignaciones de roles.

Ámbito

Grupo de recursos o suscripción donde se crea el proyecto de Azure Migrate.

Experto en ejecución de Azure Migrate

El rol de Experto en Ejecución de Azure Migrate proporciona permisos limitados para realizar solo operaciones con ámbito en la fase de ejecución del proceso de migración. El rol incluye permisos para realizar operaciones relacionadas con la migración, como la replicación, ejecutar oleadas, ejecutar migraciones de prueba, ejecutar migraciones sin agente y realizar un seguimiento y supervisar el progreso de las migraciones. El rol no concede permisos para crear un proyecto de migración ni realizar asignaciones de roles.

Ámbito

Grupo de recursos de origen o suscripción donde está configurado el proyecto de Azure Migrate. Si el destino de migración está en otro grupo de recursos o suscripción, asigne el rol en el grupo de recursos de destino o la suscripción a los que se migran los servidores y las cargas de trabajo.

Operaciones permitidas por rol de usuario

Operations Propietario de Azure Migrate Experto en decisión y plan de Azure Migrate Experto en ejecución de Azure Migrate
Creación, administración y eliminación de un proyecto de migración No No
Generar clave de proyecto No
Implementación de un dispositivo de VMware, Hyper-V, físico o Azure Site Recovery para la detección No
Registrar la aplicación de migración* No
Uso de la importación de inventario para la detección No
Exploración del inventario
Ver, agregar e importar etiquetas
Visualización y exportación de dependencias del servidor
Ver información de seguridad No
Creación de un caso de negocio No
Visualización y exportación de casos empresariales
Creación de informes de evaluación No
Visualización y exportación de informes de evaluación
Crear ondas
Visualización y administración de oleadas
Ejecutar oleadas No
Ejecución de replicaciones No
Probar migraciones No
Realizar migraciones sin agente y basadas en agentes No
Crear incidentes de soporte

Nota:

Para registrar un dispositivo de Azure Migrate o un dispositivo de replicación de ASR, los usuarios deben tener el rol de Desarrollador de Aplicaciones adicional en el nivel de ID de Microsoft Entra.

Asignación de roles y administración de acceso

En esta sección, aprenderá a conceder acceso a los usuarios mediante la asignación de roles integrados de Azure Migrate. Un propietario de suscripción o grupo de recursos puede asignar el rol Propietario de Azure Migrate al usuario que crea y administra el proyecto de Azure Migrate. Usuarios con el rol de Propietario de Azure Migrate pueden asignar los roles de Experto en Decisión y Planificación de Azure Migrate y Experto en Ejecución de Azure Migrate a otros usuarios o grupos de usuarios.

Asignación del administrador de Azure Migrate

  1. Seleccione el grupo de recursos donde se crea el proyecto migrate.
  2. En el menú de navegación, seleccione Control de acceso (IAM)
  3. Seleccione Agregar > Agregar asignación de roles La página IAM de control de acceso de Azure Portal muestra el botón Agregar asignación de roles resaltado con un rectángulo rojo, con la ruta de navegación que muestra Inicio > Administrador de recursos > Grupos de recursos > MigrateProjectName.
  4. En la pestaña Roles de administrador con privilegios, seleccione Rol propietario de Azure Migrate.
  5. En la pestaña Miembros, seleccione el usuario o grupo.
  6. Seleccione el tipo de asignación y la duración preferidos. El enfoque recomendado es elegir el tipo apto y la duración de la asignación con límite de tiempo.
  7. Seleccione siguiente y revisar + asignar para completar la asignación de roles.

Asignación del rol Experto en Decisión y Planificación y Experto en Ejecución

Un propietario de Azure Migrate puede asignar los roles Experto en Decisión y Planificación de Azure Migrate y Experto en Ejecución de Azure Migrate a un usuario.

  1. Seleccione el grupo de recursos donde está configurado el proyecto de migración.

  2. En el menú de navegación, seleccione Control de acceso (IAM)

  3. Seleccione Agregar > Agregar asignación de roles.

  4. Seleccione el rol que desea asignar. El rol de Experto en Decisión y Planificación de Azure Migrate y el rol de Experto en Ejecución de Azure Migrate aparecen en Roles de Función Laboral. Página de Azure Portal para Agregar asignación de roles que muestra la pestaña Roles de función de trabajo con el rol de Experto en Decidir y Planear de Azure Migrate resaltado en un rectángulo rojo. El texto indica que este rol otorga acceso restringido en el proyecto de Azure Migrate para realizar exclusivamente operaciones de planeación, incluyendo la detección basada en appliance o importación, gestión del inventario, identificación de dependencias del servidor, y la creación de informes de casos empresariales y de evaluación. Página de Azure Portal para Agregar asignación de roles que muestra la pestaña Roles de función de trabajo con el rol de Experto en Ejecución de Azure Migrate resaltado en un rectángulo rojo. El texto indica que este rol otorga acceso restringido en el proyecto de Azure Migrate para realizar exclusivamente operaciones relacionadas con la migración, incluidas la replicación, ejecución de migraciones de prueba, el seguimiento y la supervisión del progreso de la migración, y el inicio de migraciones sin agente y basadas en agentes.

  5. Después de seleccionar el rol, en la pestaña miembros, seleccione el usuario o grupo.

  6. Seleccione el tipo de asignación y la duración preferidos. El enfoque recomendado es elegir el tipo apto y la duración de la asignación con límite de tiempo.

  7. Seleccione siguiente y revisar + asignar para completar la asignación de roles.

Comprobación del acceso y comprobación de la asignación de roles

Siga estos pasos para comprobar el acceso.

  1. En el grupo de recursos o la suscripción, seleccione Control de acceso (IAM) y vea mi acceso.
  2. Compruebe si la asignación de roles se realiza correctamente. Interfaz de control de acceso IAM de Azure Portal que muestra la sección Comprobar acceso en el lado izquierdo con el botón azul Ver mi acceso resaltado.
  3. Para comprobar el acceso de un usuario o grupo, seleccione Comprobar acceso. Escriba los detalles del usuario o grupo y compruebe la asignación de roles.

Eliminar acceso

  1. El propietario de Azure Migrate solo puede quitar las asignaciones de rol de Experto en Decidir y Planear de Azure Migrate y Experto en Ejecutar de Azure Migrate. Los propietarios de suscripciones o grupos de recursos pueden quitar la asignación del rol de propietario de Azure Migrate.
  2. Vaya a Control de acceso (IAM) en la suscripción de ámbito o el grupo de recursos.
  3. Seleccionar asignaciones de roles
  4. Seleccione la asignación de roles que desea quitar la página de IAM de control de acceso de Azure Portal en la que se muestra la tabla de asignaciones de roles con una fila de usuario seleccionada resaltada en azul y un botón Eliminar rojo destacado en la barra de herramientas superior, que muestra el proceso para quitar las asignaciones de roles de los usuarios en la interfaz de administración de recursos.
  5. Seleccione Eliminar para quitar la asignación de roles.

Guía para las asignaciones de roles en el ámbito del grupo de recursos

Se recomienda realizar asignaciones de roles en el grupo de recursos para que funcionen en un modelo de acceso con privilegios mínimos. Tenga en cuenta los siguientes escenarios cuando se realizan asignaciones de roles en el ámbito del grupo de recursos.

1. Registrar los proveedores de recursos con antelación

Para habilitar todas las funcionalidades de Azure Migrate, debe registrar los proveedores de recursos necesarios en la suscripción donde se crea el proyecto de Azure Migrate. Los roles de Propietario de Azure Migrate y Experto en Decidir y Planificar de Azure Migrate tienen permisos para registrar automáticamente proveedores de recursos si la asignación de roles se realiza en el ámbito de la suscripción. Sin embargo, si estos roles se asignan a nivel de grupo de recursos, la generación de claves del proyecto podría fallar si el proveedor de recursos no está registrado previamente en la suscripción. En tales casos, el propietario de la suscripción debe registrar manualmente los proveedores de recursos enumerados como requisito previo.

Proveedores de recursos necesarios

Proveedor de recursos
Microsoft.OffAzure
Microsoft.Migrate
Microsoft.MySQLDiscovery
Microsoft.DependencyMap
Microsoft.ApplicationMigration
Microsoft.Insights
Microsoft.KeyVault, un servicio de almacenamiento seguro de claves.
Microsoft.HybridCompute
Microsoft.Storage
Microsoft.Network
Microsoft.GuestConfiguration
Microsoft.Compute
Microsoft.HybridConnectivity
Microsoft.RecoveryServices
Microsoft.DataReplication
Microsoft.AzureArcData

Para más información, consulte registrar proveedor de recursos.

2. Solicitudes de soporte técnico

Si la asignación de roles se realiza en el ámbito del grupo de recursos, los usuarios no pueden crear solicitudes de soporte técnico.

3. Registro del dispositivo de replicación de Azure Site Recovery

Si asigna el rol en el ámbito del grupo de recursos, los usuarios no podrán registrar el dispositivo de replicación de Azure Site Recovery. Para registrar el dispositivo, debe asignar la función Experto en Decidir y Planear de Azure Migrate en el ámbito de la suscripción. Esta restricción solo se aplica a la aplicación de Azure Site Recovery, no a las pilas de VMware, Hyper-V o físicas de la aplicación de Azure Migrate.

Pasos siguientes

Después de configurar las cuentas de Azure y las asignaciones de roles, cree un proyecto de Azure Migrate.

  • Last updated on