Configuración de Azure Files
Para que los usuarios de Contoso puedan acceder a Azure Files, primero deben autenticarse y no se admite el acceso anónimo. Como ingeniero jefe de sistemas, tiene que conocer los métodos de autenticación que Azure Files admite y que se describen en la tabla siguiente.
| Método de autenticación | Descripción |
|---|---|
| Autenticación basada en la identidad en SMB | Es la opción preferida para acceder a Azure Files. Proporciona la misma experiencia fluida de inicio de sesión único (SSO) al acceder a recursos compartidos de archivos de Azure, como cuando accede a recursos compartidos de archivos locales. La autenticación basada en la identidad admite la autenticación Kerberos que usa identidades de Microsoft Entra ID (anteriormente Azure AD) o AD DS. |
| Clave de acceso | La clave de acceso es una opción más antigua y menos flexible. Las cuentas de almacenamiento de Azure tienen dos claves de acceso que se pueden usar al realizar una solicitud a la cuenta de almacenamiento, incluido Azure Files. Las claves de acceso son estáticas y proporcionan acceso de control total a Azure Files. Las claves de acceso deben protegerse y no se pueden compartir con otros usuarios, ya que son capaces de saltarse todas las restricciones de control de acceso. Un procedimiento recomendado es evitar el uso compartido de las claves de cuenta de almacenamiento y usar la autenticación basada en la identidad siempre que sea posible. |
| Un token de firma de acceso compartido (SAS) | SAS es un identificador uniforme de recursos (URI) generado dinámicamente que se basa en la clave de acceso de almacenamiento. SAS proporciona derechos de acceso restringido a una cuenta de Azure Storage. Las restricciones incluyen permisos admitidos, hora de inicio y expiración, direcciones IP permitidas desde donde se pueden enviar solicitudes y protocolos permitidos. Con Azure Files, solo se usa un token de SAS para proporcionar acceso a la API REST desde el código. |
Uso de la autenticación basada en identidad
Puede habilitar la autenticación basada en la identidad en cuentas de almacenamiento de Azure. El primer paso es configurar el origen de Active Directory (AD) para la cuenta de almacenamiento. Para Windows, puede elegir entre los tres orígenes de AD siguientes:
- AD DS local
- Microsoft Entra Domain Services (anteriormente Azure Active Directory Domain Services)
- Microsoft Entra Kerberos (solo para identidades híbridas)
Para utilizar AD DS o Microsoft Entra Kerberos, debe asegurarse de que el AD DS local se sincronice con Microsoft Entra ID a través de Microsoft Entra Connect o la sincronización en la nube de Microsoft Entra Connect.
Después de habilitar la autenticación basada en la identidad para una cuenta de almacenamiento, los usuarios pueden acceder a los archivos del recurso compartido de archivos de Azure con sus credenciales de inicio de sesión. Cuando un usuario intenta acceder a datos en Azure Files, la solicitud se envía a AD DS o Microsoft Entra ID para su autenticación, según la fuente de AD que haya seleccionado. Si la autenticación tiene éxito, la fuente de AD devuelve un token Kerberos. Después, el usuario envía una solicitud que incluye el token de Kerberos y el recurso compartido de archivos de Azure usa dicho token para autorizar la solicitud.
Configuración de permisos de recursos compartidos de archivos de Azure
Si ha habilitado la autenticación basada en identidades, puede usar el control de acceso basado en rol (RBAC) de Azure para controlar los derechos de acceso (o, permisos) en recursos compartidos de archivos de Azure. En la tabla siguiente se enumeran los roles integrados para Azure Files.
| Rol de RBAC de Azure | Descripción |
|---|---|
| Colaborador de recursos compartidos de SMB de datos de archivos de Storage | Los usuarios de este rol tienen acceso de lectura, escritura y eliminación en recursos compartidos de archivos de Azure a través de SMB. |
| Colaborador elevado de recursos compartidos de SMB de datos de archivos de Storage | Los usuarios de este rol tienen acceso de lectura, escritura, eliminación y modificación de permisos NTFS en recursos compartidos de archivos de Azure a través de SMB. Este rol tiene permisos de control total para el recurso compartido de archivos de Azure. |
| Lector de recursos compartidos de SMB de datos de archivos de Storage | Los usuarios de este rol tienen acceso de lectura al recurso compartido de archivos de Azure en SMB. |
| Lector con privilegios de datos de archivos de Storage | Los usuarios de este rol tienen acceso de lectura completo a todos los datos de los recursos compartidos de todas las cuentas de almacenamiento configuradas, independientemente de los permisos NTFS de nivel de archivo o directorio establecidos. |
| Colaborador con privilegios de datos de archivos de Storage | Los usuarios de este rol tienen acceso completo de lectura, escritura, modificación de ACL y eliminación sobre todos los datos de los recursos compartidos de todas las cuentas de almacenamiento configuradas, independientemente de los permisos NTFS de nivel de archivo o directorio establecidos. |
Si es necesario, también puede crear y usar roles de RBAC personalizados. Pero los roles RBAC solo conceden acceso a un recurso compartido. Para acceder a los archivos, un usuario también debe tener permisos de directorio y de nivel de archivo.
Los recursos compartidos de archivos de Azure aplican los permisos de archivo estándar de Windows en el nivel de carpeta y archivo. Puede montar el recurso compartido y configurar los permisos en SMB de la misma manera que con los recursos compartidos de archivos locales.
Importante
El control administrativo completo de un recurso compartido de archivos de Azure, incluida la capacidad de tomar posesión de un archivo, requiere el uso de la clave de la cuenta de almacenamiento.
Cifrado de datos
Todos los datos que se almacenan en una cuenta de almacenamiento de Azure (incluidos los datos en recursos compartidos de archivos de Azure) siempre se cifran en reposo con Storage Service Encryption (SSE). Los datos se cifran tal como se escriben en los centros de datos de Azure y se descifran automáticamente al acceder a ellos. De manera predeterminada, los datos se cifran mediante claves administradas de Microsoft, pero puede optar por usar su propia clave de cifrado.
De manera predeterminada, todas las cuentas de Azure Storage tienen habilitado el cifrado en tránsito. Esto garantiza que todos los datos se cifren al transferir desde el centro de datos de Azure al dispositivo. De manera predeterminada, no se admite el acceso no cifrado mediante SMB 2.1 y SMB 3.0 sin cifrado o HTTP y los clientes no pueden conectarse a los recursos compartidos de archivos de Azure sin cifrado. Esto puede configurarse para una cuenta de almacenamiento de Azure y es eficaz para todos los servicios de la cuenta de almacenamiento.
Creación de recursos compartidos de archivos de Azure
Azure Files se implementa como parte de una cuenta de almacenamiento de Azure. La configuración que especifique al crear una cuenta de almacenamiento de Azure, como la ubicación, la replicación y el método de conectividad, también se aplican a Azure Files. Algunos valores de configuración de la cuenta de Azure Storage, como el rendimiento y el tipo de cuenta, pueden limitar las opciones que están disponibles para Azure Files. Por ejemplo, si desea usar recursos compartidos de archivos prémium, que usan SSD, debe seleccionar el rendimiento premium y el tipo de cuenta FileStorage al crear la cuenta de Azure Storage.
Tras implementar una cuenta de Azure Storage, puede crear un recurso compartido de archivos de Azure mediante Azure Portal, Azure PowerShell, interfaz de la línea de comandos de Azure (CLI de Azure) o la API REST. También puede crear una cuenta de almacenamiento de Azure usando Windows Admin Center al implementar Azure File Sync.
Para crear un recurso compartido de archivos de Azure SMB estándar, use el procedimiento siguiente. Si va a crear un recurso compartido de archivos premium de Azure, también debe especificar la capacidad aprovisionada.
- Inicie sesión en Azure Portal y seleccione la cuenta de almacenamiento adecuada.
- En el menú de servicio, en Almacenamiento de datos, seleccione Recursos compartidos de archivos.
- En la barra de herramientas del panel de detalles, seleccione + Recurso compartido de archivos.
- En la hoja Nuevo recurso compartido de archivos, escriba el Nombre deseado y seleccione un Nivel de acceso.
- Seleccione Revisar y crear y, luego, Crear.