¿Por qué me aparece Identity not found en las asignaciones de roles?

Espero no ser el único, en el que alguna vez le ha aparecido en el listado de control de Acceso (Access Control IAM), donde asignamos los roles, entradas de este tipo:




Este “fenómeno” ocurre por dos posibles causas tal y como dice la documentación de Microsoft (https://learn.microsoft.com/en-us/azure/role-based-access-control/troubleshooting):

  • Recientemente se ha invitado a un usuario, y al al crear una asignación de roles esta entidad de seguridad todavía está en el proceso de replicación entre regiones.

  • Se ha eliminado una entidad de seguridad, que tiene asignaciones de rol. Entonces si tu eliminas la entidad de seguridad antes de borrar las asignaciones, pues estas asignaciones se quedan sin entidad de seguridad asociada. Es entonces cuando aparece el texto “Identity not found”

    Cuando hablamos de entidad de seguridad, nos referimos a:

    • Grupos

    • Managed identities

    • Service principal

    • Usuarios

En el caso que nos pase el problema de haber eliminado una entidad de seguridad sin antes haber borrado las asignaciones de rol, podemos usar el siguiente script de Powershell.


En las líneas 1 y 2 ponemos nuestro TenantId y nuestro SuscriptionId

En las líneas 5 y 6 nos conectamos a Azure y configuramos el contexto a la suscripción donde vamos a borrar esas asignaciones.

En la línea 9, obtenemos todas las asignaciones de rol con “Identity not found”

En caso de existir asignaciones de este tipo, a partir de la línea 15 recorremos estas.

Desde la línea 18 a la 29, comprobamos que existan bloqueos (RECORDAD ,tener bloqueos siempre es BIEN, y si es producción OBLIGADO) en los recursos donde están las asignaciones a eliminar. En caso que existan estos bloqueos, los borramos ya que sino nos será imposible borrar estas asignaciones.

En la líneas 32,33,34,35, haciendo uso del comando Remove-AzRoleAssignment, eliminamos la asignación.

Por último, desde la línea 37 a la 74 en el caso que existieran bloqueos, volvemos a recrearlos de nuevo. Recordad que para borrar las asignaciones, los borramos antes en el script (líneas desde la 18 a la 29).

Por último, decir que no hay problema en dejar las asignaciones de tipo “Identity not found”. No hay ningún tipo de implicación de seguridad ni nada por el estilo. Pero creo que ver en la lista de asignaciones esas entradas, pues no queda bonito la verdad.

¡Hasta la próxima!