Elegir cómo autorizar el acceso a los datos de archivo en Azure Portal
Cuando se accede a los datos de archivos mediante Azure Portal, este realiza solicitudes a Azure Files en segundo plano. Estas solicitudes se pueden autorizar mediante la cuenta de Microsoft Entra o la clave de acceso a la cuenta de almacenamiento. El portal indica qué método está usando, y le permite alternar entre ambos si tiene los permisos adecuados.
Importante
El acceso a un recurso compartido de archivos mediante claves de cuenta de almacenamiento conlleva riesgos de seguridad inherentes, por lo que autenticarse con Microsoft Entra siempre que sea posible. Para obtener información sobre cómo proteger y administrar las claves, consulte Administración de claves de acceso de la cuenta de almacenamiento.
También puede especificar cómo autorizar una operación de recurso compartido de archivos individual en Azure Portal. De forma predeterminada, el portal usa el método que ya esté usando para autorizar todos los recursos compartidos de archivos, pero tiene la opción de cambiar esta configuración para recursos compartidos de archivos individuales.
Permisos necesarios para acceder a datos de archivos
Necesitará permisos específicos según cómo quiera autorizar el acceso a los datos de archivos en Azure Portal. En la mayoría de los casos, estos permisos se proporcionan a través del control de acceso basado en roles de Azure (Azure RBAC).
Uso de la cuenta de Microsoft Entra
Para acceder a datos de archivos desde Azure Portal con la cuenta de Microsoft Entra, se deben cumplir estas dos premisas:
- Tiene asignado un rol (ya sea integrado o personalizado) que proporciona acceso a los datos de archivos.
- Tiene asignado como mínimo el rol Lector de Azure Resource Manager, con el ámbito establecido en el nivel de la cuenta de almacenamiento o en un nivel superior. El rol Lector concede los permisos más restringidos, pero otro rol de Azure Resource Manager que conceda acceso a los recursos de administración de la cuenta de almacenamiento también es aceptable.
El rol Lector de Azure Resource Manager permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan navegar a recursos compartido de archivos en Azure Portal.
Hay dos nuevos roles integrados que tienen los permisos necesarios para acceder a los datos de archivo con OAuth:
- Lector con privilegios de datos de archivos de Storage
- Colaborador con privilegios de datos de archivos de Storage
Para obtener información sobre los roles integrados que admiten el acceso a los datos de archivos, consulte Acceso a recursos compartidos de archivos de Azure mediante Microsoft Entra ID con OAuth de Azure Files a través de REST.
Nota:
El rol Colaborador con privilegios de datos de archivos de almacenamiento tiene permisos para leer, escribir, eliminar y modificar permisos ACL/NTFS en archivos o directorios de recursos compartidos de archivos de Azure. No se admite la modificación de ACL o permisos NTFS a través de Azure Portal.
Los roles personalizados pueden admitir diferentes combinaciones de los mismos permisos que proporcionan los roles integrados. Para obtener más información sobre cómo crear roles RBAC de Azure personalizados, consulte el artículo sobre roles personalizados de Azure y la descripción de las definiciones de roles de recursos de Azure.
Uso de la clave de acceso de la cuenta de almacenamiento
Para acceder a los datos de archivos con la clave de acceso a la cuenta, debe tener asignado un rol de Azure que incluya la acción de Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Este rol de Azure puede ser un rol integrado o personalizado. Los roles integrados que Microsoft.Storage/storageAccounts/listkeys/action admite son los siguientes, presentados en orden de permisos mínimos a máximos:
- Rol Lector y acceso a los datos
- El rol Colaborador de una cuenta de almacenamiento
- El rol Colaborador de Azure Resource Manager
- El rol Propietario de Azure Resource Manager
Al intentar acceder a los datos de archivos en Azure Portal, este comprueba primero si tiene asignado un rol con Microsoft.Storage/storageAccounts/listkeys/action. Si se le ha asignado un rol con esta acción, Azure Portal usa la clave de cuenta de almacenamiento para tener acceso a los datos de archivos. Si no tiene un rol asignado con esta acción, el portal intenta acceder a los datos mediante la cuenta de Microsoft Entra.
Importante
Cuando una cuenta de almacenamiento está bloqueada con un bloqueo ReadOnly de Azure Resource Manager, no se permite la operación Crear lista de claves para esa cuenta de almacenamiento. Crear lista de claves es una operación POST y todas las operaciones POST se impiden cuando se configura un bloqueo ReadOnly para la cuenta. Por esta razón, cuando la cuenta está bloqueada con un bloqueo ReadOnly, los usuarios deben usar las credenciales de Microsoft Entra para acceder a los datos de archivo en el portal. Para más información sobre el acceso a los datos de archivos en Azure Portal con Microsoft Entra ID, consulte Uso de la cuenta de Microsoft Entra.
Nota:
Los roles clásicos de administrador de suscripciones Administrador de servicios y Coadministrador equivalen al rol Propietario de Azure Resource Manager. El rol Propietario engloba todas las acciones, incluida Microsoft.Storage/storageAccounts/listkeys/action, por lo que un usuario con uno de estos roles administrativos también puede acceder a datos de archivos con la clave de cuenta de almacenamiento. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .
Especificar cómo autorizar operaciones en un recurso compartido de archivos específico
Puede cambiar el método de autenticación para recursos compartidos de archivos individuales. De manera predeterminada, el portal usar el método de autenticación actual. Para determinar el método de autenticación actual, siga estos pasos.
- Vaya a la cuenta de almacenamiento en Azure Portal.
- En el menú de servicio, en Almacenamiento de datos, seleccione Recursos compartidos de archivos.
- Seleccione un recurso compartido de archivos.
- Haga clic en Examinar.
- El método de autenticación indica si actualmente usa la clave de acceso a la cuenta de almacenamiento o la cuenta de Microsoft Entra para autenticar y autorizar las operaciones del recurso compartido de archivos. Si actualmente se autentica mediante la clave de acceso a la cuenta de almacenamiento, verá Clave de acceso especificado como método de autenticación, tal como en la siguiente imagen. Si se autentica mediante la cuenta de Microsoft Entra, verá Cuenta de usuario de Microsoft Entra especificado en su lugar.
Autentíquese con su cuenta de Microsoft Entra.
Para cambiar mediante la cuenta de Microsoft Entra, seleccione el vínculo resaltado en la imagen que indica Cambiar a la cuenta de usuario de Microsoft Entra. Si posee los permisos adecuados a través de los roles de Azure que tiene asignados, podrá continuar. Sin embargo, si carece de los permisos necesarios, verá un mensaje de error que indica que no tiene permisos para crear una lista de los datos mediante la cuenta de usuario con Microsoft Entra ID.
Se requieren dos permisos de RBAC adicionales para usar la cuenta de Microsoft Entra:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
La lista no contendrá ningún recurso compartido de archivos si su cuenta de Microsoft Entra no tiene permisos para verlos.
Autenticación con la clave de acceso de la cuenta de almacenamiento
Para cambiar mediante la clave de acceso de la cuenta, seleccione el vínculo que indica Cambiar a clave de acceso. Si tiene acceso a la clave de la cuenta de almacenamiento, podrá continuar. Sin embargo, si no tiene acceso a la clave de cuenta, verá un mensaje de error que indica que no tiene permisos para usar la clave de acceso para crear una lista de los datos.
No aparecen recursos compartidos de archivos en la lista si no tiene acceso a la clave de acceso de la cuenta de almacenamiento.
El valor predeterminado es la autorización de Microsoft Entra en Azure Portal
Al crear una cuenta de almacenamiento, puede especificar que Azure Portal realice la autorización con Microsoft Entra ID de forma predeterminada cuando un usuario vaya a los datos de archivos. También puede configurar esta opción para una cuenta de almacenamiento existente. Esta configuración especifica solo el método de autorización predeterminado. Tenga en cuenta que un usuario puede invalidar esta configuración y elegir autorizar el acceso a datos con la clave de la cuenta de almacenamiento.
Para especificar que el portal usará la autorización con Microsoft Entra de forma predeterminada para el acceso a datos al crear una cuenta de almacenamiento, siga estos pasos:
Cree una cuenta de almacenamiento; siga las instrucciones de Creación de una cuenta de almacenamiento.
En la pestaña Opciones avanzadas, en la sección Seguridad, marque la casilla situada junto a Autorización predeterminada con Microsoft Entra en Azure Portal.
Seleccione Revisar y crear para ejecutar la validación y crear la cuenta de almacenamiento.
Para actualizar esta configuración para una cuenta de almacenamiento existente, siga estos pasos:
- Vaya a la información general de la cuenta de almacenamiento en Azure Portal.
- En Configuración, seleccione Configuración.
- Establezca Autorización predeterminada con Microsoft Entra en Azure Portal en Activada.