El portal actual de la plataforma Microsoft Azure tiene el inconveniente de no poder asignar roles a las cuentas asociadas a una suscripción para su gestión. Una vez que se da acceso como co-administrador se da acceso a todos los recursos de la plataforma, pudiendo crear, modificar y eliminar a su antojo.
Esta situación ha mejorado en el nuevo portal, donde ya es posible asignar roles a nivel de suscripción, grupo de recursos o a un único elemento dentro de la misma.
Esta característica no sólo limita el acceso a un conjunto de elementos sino que además nos permite decidir el nivel de interacción con ellos. En la imagen anterior se puede ver tres registros en la ventana de acceso donde, al igual que ocurre en el portal actual, es posible asignar usuarios procedentes de Azure Active Directory o bien usando una Microsoft Account (lo que se conocía antiguamente como Live Id): el primero de ellos se corresponde con una cuenta agregada a nivel de recurso, en este ejemplo una Web App, con el role Website Contributor. El siguiente usuario sólo tiene acceso a nivel de lectura y el grupo Subscription admins tiene el rol de Owner para todos los administradores de la suscripción. En cada uno de los roles disponibles hay asociado un icono que clarifica el alcance del mismo.
Al final del siguiente enlace es posible revisar los diferentes roles disponibles a día de hoy.
¡Saludos!