Roles de Azure para tareas de almacenamiento
Este artículo describe los roles integrados de Azure con menos privilegios o acciones RBAC necesarias para leer, actualizar, eliminar y asignar una tarea de almacenamiento.
Importante
Las acciones de Azure Storage se encuentran actualmente en versión preliminar y están disponibles en estas regiones. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Permiso para leer, editar o eliminar una tarea
Debe asignar un rol a cualquier entidad de seguridad de su organización que necesite acceso a la tarea de almacenamiento. Para obtener información sobre cómo asignar un rol de Azure, consulte Asignar roles de Azure mediante Azure Portal.
Para conceder a los usuarios o aplicaciones acceso a la tarea de almacenamiento, elija un rol integrado o personalizado de Azure que tenga el permiso necesario para editar la tarea de lectura o edición. Si prefiere utilizar una función personalizada, asegúrese de que su función contenga las acciones RBAC necesarias para leer o editar la tarea. Usa la siguiente tabla como guía.
Nivel de permiso | Rol integrado de Azure | Acciones de RBAC para roles personalizados |
---|---|---|
Enumerar y leer tareas de almacenamiento | Contributor |
Microsoft.StorageActions/storageTasks/read |
Crear y actualizar tareas de almacenamiento | Contributor |
Microsoft.StorageActions/storageTasks/write |
Eliminar tareas de almacenamiento | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Permiso para asignar una tarea
Una asignación de tarea identifica una cuenta de almacenamiento y un subconjunto de objetos en esa cuenta a los que se dirigirá la tarea de almacenamiento. Una asignación también define cuándo se ejecuta la tarea y dónde se almacenan los informes de ejecución. Para obtener instrucciones paso a paso, consulte Crear y administrar una asignación de tareas de almacenamiento.
Para crear una asignación, a la identidad se le debe asignar un rol personalizado que contenga las siguientes acciones de RBAC:
La acción
Microsot.Authorization.roleAssignments/write
.Todas las acciones RBAC que están disponibles en el conjunto
Microsoft.Storage/StorageAccounts
de acciones RBAC.
Para obtener información sobre cómo crear un rol personalizado, consulte Roles personalizados de Azure.
Permiso para que una tarea realice operaciones
Al crear una asignación, debe elegir un rol integrado o personalizado de Azure que tenga el permiso necesario para realizar las operaciones especificadas en la cuenta de almacenamiento de destino o en el contenedor de cuentas de almacenamiento. Solo puede elegir roles asignados a su identidad de usuario. Si prefiere usar un rol personalizado, debe asegurarse de que el rol contiene las acciones de RBAC necesarias para realizar las operaciones.
En la tabla siguiente se muestran los roles integrados de Azure con privilegios mínimos, así como las acciones de RBAC necesarias para cada operación.
Permiso | Rol integrado | Acciones de RBAC para un rol personalizado |
---|---|---|
SetBlobTier | Propietario de datos de blobs de almacenamiento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobExpiry | Propietario de datos de blobs de almacenamiento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobTags | Propietario de datos de blobs de almacenamiento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobImmutabilityPolicy | Propietario de datos de blobs de almacenamiento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
SetBlobLegalHold | Propietario de datos de blobs de almacenamiento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
DeleteBlob | Propietario de datos de blobs de almacenamiento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
UndeleteBlob | Propietario de datos de blobs de almacenamiento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |