Sistema de autorización en Azure que permite gestionar quién tiene acceso a qué recursos y qué puede hacer con ellos. Se asignan roles (Propietario, Colaborador, Lector) a usuarios, grupos o identidades de servicio.
Tema central en AZ-104. En AZ-900 aparece como mecanismo de seguridad. Roles principales: Owner (todo), Contributor (crear/gestionar, no asignar permisos), Reader (solo lectura). Se hereda de mayor a menor ámbito: Management Group > Subscription > Resource Group > Resource.