Configuración del control de acceso para las cuentas de almacenamiento
Las solicitudes de un recurso protegido en Blob, File, Queue o Table Service deben estar autorizadas. La autorización garantiza que los recursos de la cuenta de almacenamiento estén accesibles únicamente en el momento que defina y solo para los usuarios o las aplicaciones a los que conceda acceso.
En la tabla siguiente se describen las opciones que ofrece Azure Storage para autorizar el acceso a los recursos:
| Artefacto de Azure | Clave compartida (clave de cuenta de almacenamiento) | Firma de acceso compartido (SAS) | Microsoft Entra ID | Active Directory Domain Services locales | Acceso de lectura público anónimo |
|---|---|---|---|---|---|
| Azure Blobs | Compatible | Admitido | Admitido | No compatible | Compatible |
| Azure Files (SMB) | Compatible | No compatible | Compatible con Microsoft Entra Domain Services o Microsoft Entra Kerberos | Admitido, las credenciales deben sincronizarse con Microsoft Entra ID | No compatible |
| Azure Files (REST) | Compatible | Admitido | Admitido | No compatible | No compatible |
| Colas de Azure | Compatible | Admitido | Admitido | No compatible | No compatible |
| Azure Tables | Compatible | Admitido | Admitido | No compatible | No compatible |
Cada opción de autorización se describe brevemente a continuación:
- Microsoft Entra ID: Microsoft Entra es el servicio de administración de identidad y acceso basado en la nube de Microsoft. La integración de Microsoft Entra ID está disponible para los servicios Blobs, Files, Cola y Tabla. Con Microsoft Entra ID, es posible asignar acceso específico a usuarios, grupos o aplicaciones mediante el control de acceso basado en roles (RBAC).
- Autorización de Microsoft Entra Domain Services para Azure Files. Azure Files admite la autorización basada en identidades a través del Bloque de mensajes del servidor (SMB) a través de Microsoft Entra Domain Services. Puede usar RBAC para el control específico de acceso de los clientes a los recursos de Azure Files en una cuenta de almacenamiento.
- Autorización de Active Directory (AD) para Azure Files. Azure Files admite la autorización basada en identidad sobre (SMB) mediante AD. El servicio de dominio de AD se puede hospedar en máquinas locales o en máquinas virtuales de Azure. El acceso de SMB a Files se admite mediante el uso de las credenciales de AD de las máquinas unidas a un dominio, independientemente de que sea local o en Azure. Puede usar RBAC para el control de acceso a nivel de recurso compartido y listas de control de acceso discrecional de NTFS para el cumplimiento de los permisos a nivel de archivo y directorio.
- Clave compartida: La autorización de clave compartida se basa en las claves de acceso de la cuenta y otros parámetros para generar una cadena de firma cifrada que se pasará en la solicitud en el encabezado de autorización.
- Firmas de acceso compartido: Las firmas de acceso compartido (SAS) delegan el acceso a un recurso determinado de la cuenta con los permisos especificados y durante un intervalo de tiempo especificado.
- Acceso anónimo a contenedores y blobs: Opcionalmente, puede hacer que los recursos de blobs se hagan públicos en los contenedores o blobs. Cualquier usuario puede acceder a un contenedor o blob público para consultarlo de forma anónima. Las solicitudes de lectura para contenedores y blobs públicos no requieren autorización.
La autenticación y autorización del acceso a los datos de blobs, archivos, colas y tablas con Microsoft Entra ID proporciona mayor seguridad y facilidad de uso con respecto a otras opciones de autorización. Por ejemplo, al usar Microsoft Entra ID, evita tener que almacenar la clave de acceso de la cuenta con el código, como se hace con la autorización de clave compartida. Aunque puede seguir usando la autorización de clave compartida con las aplicaciones de blob y cola, Microsoft recomienda pasar a Microsoft Entra ID siempre que sea posible.
De forma similar, aún puede usar firmas de acceso compartido (SAS) para conceder acceso específico a los recursos en su cuenta de almacenamiento, pero Microsoft Entra ID ofrece capacidades similares sin necesidad de administrar tokens de SAS ni preocuparse sobre cómo revocar una SAS en peligro.