Elección de la forma de autorizar el acceso a los datos de cola en Azure Portal
Cuando se accede a los datos de cola desde Azure Portal, este realiza ciertas solicitudes a Azure Storage en segundo plano. Una solicitud a Azure Storage se puede autorizar mediante la cuenta de Microsoft Entra o la clave de acceso a la cuenta de almacenamiento. El portal indica qué método está usando, y le permite alternar entre ambos si tiene los permisos adecuados.
Permisos necesarios para acceder a datos de cola
En función de cómo quiera autorizar el acceso a los datos en cola en Azure Portal, necesita permisos específicos. En la mayoría de los casos, estos permisos se proporcionan a través del control de acceso basado en rol de Azure (Azure RBAC). Para más información acerca de Azure RBAC, consulte ¿Qué es el control de acceso basado en rol de Azure (Azure RBAC)?
Uso de la clave de acceso de la cuenta
Para acceder a los datos de cola con la clave de acceso a la cuenta, debe tener asignado un rol de Azure que incluya la acción de Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Este rol de Azure puede ser un rol integrado o personalizado.
Los siguientes roles integrados, enumerados de menos a más permisos, admiten Microsoft.Storage/storageAccounts/listkeys/action:
- Lector y acceso a los datos
- Colaborador de la cuenta de almacenamiento
- Colaborador de Azure Resource Manager
- Propietario de Azure Resource Manager
Al intentar acceder a los datos de cola en Azure Portal, este comprueba primero si tiene asignado un rol con Microsoft.Storage/storageAccounts/listkeys/action. Si se le ha asignado un rol con esta acción, Azure Portal usa la clave de cuenta para tener acceso a los datos de cola. Si no tiene un rol asignado con esta acción, el portal intenta acceder a los datos mediante la cuenta de Microsoft Entra.
Importante
Cuando una cuenta de almacenamiento está bloqueada con un bloqueo ReadOnly de Azure Resource Manager, no se permite la operación Crear lista de claves para esa cuenta de almacenamiento. Crear lista de claves es una operación POST y todas las operaciones POST se impiden cuando se configura un bloqueo ReadOnly para la cuenta. Por esta razón, cuando la cuenta está bloqueada con un bloqueo ReadOnly, los usuarios deben usar las credenciales de Microsoft Entra para acceder a los datos de la cola en el portal. Para obtener más información sobre el acceso a los datos de colas en el portal con Microsoft Entra ID, consulte Uso de la cuenta de Microsoft Entra.
Nota:
Los roles clásicos de administrador de suscripciones Administrador de servicios y Coadministrador incluyen el equivalente del rol Owner
de Azure Resource Manager. El rol Propietario engloba todas las acciones (incluida Microsoft.Storage/storageAccounts/listkeys/action), por lo que un usuario con uno de estos roles administrativos también puede acceder a datos de cola con la clave de cuenta. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .
Uso de la cuenta de Microsoft Entra
Para acceder a datos de colas desde Azure Portal con la cuenta de Microsoft Entra, se deben cumplir estas dos premisas:
- Tiene asignado un rol (ya sea integrado o personalizado) que proporciona acceso a los datos de cola.
- Tiene asignado como mínimo el rol Lector de Azure Resource Manager, con el ámbito establecido en el nivel de la cuenta de almacenamiento o en un nivel superior. El rol Lector concede los permisos más restringidos, pero otro rol de Azure Resource Manager que conceda acceso a los recursos de administración de la cuenta de almacenamiento también es aceptable.
El rol Lector de Azure Resource Manager permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan navegar a colas en Azure Portal.
Para obtener información sobre los roles integrados que admiten el acceso a los datos de colas, consulte Autorización del acceso a colas mediante Microsoft Entra ID.
Los roles personalizados pueden admitir diferentes combinaciones de los mismos permisos que proporcionan los roles integrados. Para obtener más información sobre cómo crear roles RBAC de Azure personalizados, consulte el artículo sobre roles personalizados de Azure y la descripción de las definiciones de roles de recursos de Azure.
Desplazamiento a colas en Azure Portal
Para ver datos en cola en Azure Portal, vaya a la sección Información general de la cuenta de almacenamiento y haga clic en los vínculos de Colas. También puede navegar a la sección Queue service del menú.
Determinar el método de autenticación actual
Al navegar a una cola, Azure Portal indica si actualmente usa la clave de acceso de la cuenta o la cuenta de Microsoft Entra para autenticarse.
Autenticación con la clave de acceso de la cuenta
Si va a autenticarse mediante la clave de acceso de la cuenta, verá Clave de acceso especificada como método de autenticación en el portal:
Si quiere cambiar al uso de la cuenta de Microsoft Entra, seleccione el vínculo resaltado en la imagen. Si tiene los permisos adecuados a través de los roles de Azure que se le asignan, podrá continuar. Si no tiene los permisos adecuados, verá un mensaje de error y no aparecerá ningún blob en la lista.
Seleccione el vínculo Cambiar a la clave de acceso para volver a usar la clave de acceso para la autenticación.
Autentíquese con su cuenta de Microsoft Entra.
Si va a autenticarse con su cuenta de Microsoft Entra, verá Cuenta de usuario de Microsoft Entra especificado como método de autenticación en el portal:
Si quiere cambiar al uso de la clave de acceso de la cuenta, seleccione el vínculo resaltado en la imagen. Si tiene acceso a la clave de cuenta, podrá continuar. Si no tiene acceso a la clave de cuenta, verá un mensaje de error y no aparecerá ningún blob en la lista.
Seleccione el vínculo Cambiar a la cuenta de usuario de Microsoft Entra para volver a usar la cuenta de Microsoft Entra para la autenticación.
El valor predeterminado es la autorización de Microsoft Entra en Azure Portal
Al crear una cuenta de almacenamiento nueva, puede especificar que Azure Portal tenga como valor predeterminado la autorización con el identificador de Microsoft Entra cuando un usuario navegue a datos en cola. También puede configurar esta opción para una cuenta de almacenamiento existente. Esta configuración especifica solo el método de autorización predeterminado, por lo que debe tener en cuenta que un usuario puede invalidar esta configuración y elegir autorizar el acceso a datos con la clave de la cuenta.
Para especificar que el portal use la autorización de Microsoft Entra de forma predeterminada para el acceso a datos al crear una cuenta de almacenamiento, siga estos pasos:
Cree una cuenta de almacenamiento; siga las instrucciones de Creación de una cuenta de almacenamiento.
En la pestaña Opciones avanzadas, en la sección Seguridad, marque la casilla situada junto a Autorización predeterminada con Microsoft Entra en Azure Portal.
Seleccione el botón Revisar y crear para ejecutar la validación y crear la cuenta.
Para actualizar esta configuración para una cuenta de almacenamiento existente, siga estos pasos:
Vaya a la información general de su cuenta en Azure Portal.
En Configuración, seleccione Configuración.
Establezca Default (Predeterminado) en Autorización de Microsoft Entra en Azure Portal en Habilitado.