South Europe, Spain
listas@juanquijano.es

Quitarme el miedo de usar cuentas de Automatización

Desde hace dos años, al menos, me he encontrado con múltiples alumnos que prohíben o les prohíben utilizar cuentas de automatización en Azure a causa que, por defecto, tenía demasiados privilegios.

Hoy me he encontrado con un artículo de Microsoft, de hace casi cinco meses, que ha conseguido quitarme lo temores al utilizar los recursos del tipo automatización, para realizar trabajos desatendidos en el Cloud.

Permisos de Contributor por defecto

Lo primero es señalar que ha cambiado la forma de dar de alta una cuenta de automation. Ahora construyo dos entidades diferenciadas en un solo click:

  • Cuenta de automation, que es la propia cuenta de automatización que va a realizar los trabajos de forma desatendida y programada (en un amplio sentido de la palabra) .
  • Cuenta de ejecución, novedad (desconocida para mí) que me crea una identidad de ejecución en el directorio activo sobre la que puedo dar roles.

Por defecto dicha cuenta de ejecución tiene permisos de contributor en la suscripción elegida, pero puedo cambiar fácilmente esto, quitándole dicho rol y dándole los adecuados en los recursos necesarios e imprescindibles, como puede ser un grupo de recursos o una VM.

Eso sí, no debo de buscar esta cuenta entre los usuarios del Directorio Activo de Azure, sino entre las las aplicaciones registradas. Pudiéndole directamente dar de alta en la asignación de nuevo rol desde el ACL del recurso.

Asignando rol de lectura en una máquina virtual a la cuenta de ejecución de la cuenta de automation

Con esto ya puedo volver recomendar el uso de las cuentas de automatización con la seguridad que me da lo sencillo que es restringir sus privilegios de ejecución.

Espero que sea de utilidad

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: