Compartir a través de


Asignación de un rol de Azure para acceder a datos de blobs

Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure (Azure RBAC). Azure Storage define un conjunto de roles integrados de Azure que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de blob.

Cuando un rol de Azure se asigna a una entidad de seguridad de Microsoft Entra, Azure concede a esa entidad de seguridad acceso a los recursos. Una entidad de seguridad de Microsoft Entra puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada para los recursos de Azure.

Para obtener más información sobre el uso de Microsoft Entra ID para autorizar el acceso a los datos de tablas, consulte Autorización del acceso a tablas con Microsoft Entra ID.

Nota:

En este artículo se muestra cómo asignar un rol de Azure para el acceso a los datos de blob en una cuenta de almacenamiento. Para obtener información sobre la asignación de roles para las operaciones de administración en Azure Storage, consulte Uso del proveedor de recursos de Azure Storage para acceder a los recursos de administración.

Asignación de un rol de Azure

Puede usar Azure Portal, PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager para asignar un rol para el acceso a datos.

Para acceder a los datos de colas en Azure Portal con las credenciales de Microsoft Entra, un usuario debe tener las siguientes asignaciones de roles:

  • Un rol de acceso a datos, como Lector de datos de Storage Blob o Colaborador de datos de Storage Blob.
  • El rol Lector de Azure Resource Manager, como mínimo.

Para obtener información sobre cómo asignar estos roles a un usuario, siga las instrucciones proporcionadas en Asignación de roles de Azure mediante Azure Portal.

El rol Lector es un rol de Azure Resource Manager que permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan navegar a contenedores de blobs en Azure Portal.

Por ejemplo, si asigna el rol Colaborador de datos de Storage Blob al usuario María en el nivel de un contenedor denominado contenedor-ejemplo, María tendrá acceso de lectura, escritura y eliminación en todos los blobs de ese contenedor. Sin embargo, si Mary quiere ver un blob en Azure Portal, el rol colaborador de datos de Blob Storage por sí mismo no proporcionará permisos suficientes para navegar por el portal al blob para verlo. Se necesitan más permisos para desplazarse por Portal y ver los otros recursos que estén visibles allí.

A un usuario se le debe asignar el rol Lector para usar Azure Portal con las credenciales de Microsoft Entra. Sin embargo, si a un usuario se le asigna un rol con permisos microsoft.Storage/storageAccounts/listKeys/action, el usuario puede usar el portal con las claves de la cuenta de almacenamiento, a través de la autorización de clave compartida. Para usar las claves de cuenta de almacenamiento, se debe permitir el acceso a la clave compartida para la cuenta de almacenamiento. Para obtener más información sobre cómo permitir o no el acceso a la clave compartida, consulte Impedir la autorización con clave compartida para una cuenta Azure Storage.

También puede asignar un rol de Azure Resource Manager que proporciona permisos adicionales más allá del rol Lector. La asignación de los permisos mínimos posibles se recomienda como procedimiento recomendado de seguridad. Para más información, consulte Procedimientos recomendados para Azure RBAC.

Nota:

Antes de asignarse a sí mismo un rol para el acceso a los datos, puede acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, ya que este también puede usar la clave de cuenta para el acceso a los datos. Para obtener más información, vea Elección de la forma de autorizar el acceso a los datos de blob en Azure Portal.

Tenga en cuenta los siguientes puntos sobre las asignaciones de roles de Azure en Azure Storage:

  • Al crear una cuenta de Azure Storage, no se le asignan automáticamente permisos para acceder a los datos a través de Microsoft Entra ID. Tiene que asignarse a sí mismo de forma explícita un rol de Azure para Azure Storage. Puede asignarlo al nivel de su suscripción, grupo de recursos, cuenta de almacenamiento o un contenedor.
  • Al asignar roles o quitar asignaciones de roles, los cambios pueden tardar hasta 10 minutos en aplicarse.
  • Los roles integrados con acciones de datos se pueden asignar en el grupo de administración ámbito. Sin embargo, en escenarios poco frecuentes puede haber un retraso significativo (hasta 12 horas) antes de que los permisos de acción de datos sean efectivos para determinados tipos de recursos. Los permisos se aplicarán finalmente. En el caso de los roles integrados con acciones de datos, no se recomienda agregar o quitar asignaciones de roles en el ámbito del grupo de administración en escenarios en los que se requiera la activación o revocación oportunas de permisos, como Microsoft Entra Privileged Identity Management (PIM).
  • Si la cuenta de almacenamiento se bloquea con un bloqueo de solo lectura de Azure Resource Manager, el bloqueo evita la asignación de roles de Azure que tienen como ámbito la cuenta de almacenamiento o un contenedor.
  • Si establece los permisos adecuados para permitir el acceso a los datos a través de Microsoft Entra ID y no puede acceder a los datos, por ejemplo, recibe un error "AuthorizationPermissionMismatch". Asegúrese de permitir tiempo suficiente para los cambios de permisos realizados en Microsoft Entra ID para replicar y asegúrese de que no tiene ninguna asignación de denegación que bloquee el acceso, vea Descripción de las asignaciones de denegación de Azure.

Nota:

Puede crear roles RBAC de Azure personalizados para que se pueda realizar un acceso pormenorizado a los datos de blobs. Para más información, consulte Roles personalizados de Azure.

Pasos siguientes