Selección y configuración de un método adecuado para el acceso a Azure Files

  • 7 minutos

Al acceder a los datos de archivo mediante el Azure Portal, el portal realiza solicitudes a Azure Files en segundo plano. Estas solicitudes se pueden autorizar mediante su cuenta de Microsoft Entra o la clave de acceso de la cuenta de almacenamiento. El portal indica qué método está usando y le permite cambiar entre los dos si tiene los permisos adecuados.

También puede especificar cómo autorizar una operación de recurso compartido de archivos individual en Azure Portal. De forma predeterminada, el portal usa el método que ya usa para autorizar todos los recursos compartidos de archivos, pero tiene la opción de cambiar esta configuración para recursos compartidos de archivos individuales.

Permisos necesarios para acceder a los datos del archivo

En función de cómo quiera autorizar el acceso a los datos de archivos en Azure Portal, necesitará permisos específicos. En la mayoría de los casos, estos permisos se proporcionan a través del control de acceso basado en rol de Azure (RBAC de Azure).

Usar su cuenta de Microsoft Entra

Para acceder a los datos de archivo desde Azure Portal mediante su cuenta de Microsoft Entra, ambas instrucciones deben ser verdaderas:

  • Se le asigna un rol integrado o personalizado que proporciona acceso a los datos de archivo.
  • Se le asigna el rol de Lector del Azure Resource Manager, al menos, cuya aplicación es al nivel de la cuenta de almacenamiento o superior. El rol Lector concede los permisos más restringidos, pero otro rol de Azure Resource Manager que concede acceso a los recursos de administración de cuentas de almacenamiento también es aceptable.

El rol Lector de Azure Resource Manager permite a los usuarios ver los recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura a los datos de Azure Storage, sino solo a los recursos de administración de cuentas. El rol Lector es necesario para que los usuarios puedan navegar a recursos compartidos de archivos en Azure Portal.

Hay dos nuevos roles integrados que tienen los permisos necesarios para acceder a los datos de archivo con OAuth:

El rol Colaborador con privilegios de datos de archivos de almacenamiento tiene permisos para leer, escribir, eliminar y modificar las ACL/NTFS sobre archivos o directorios en los recursos compartidos de archivos de Azure. La modificación de ACL o permisos NTFS no se admite a través de Azure Portal.

Los roles personalizados pueden admitir diferentes combinaciones de los mismos permisos proporcionados por los roles integrados. Para más información sobre cómo crear roles personalizados de Azure, consulte roles personalizados de Azure y Descripción de las definiciones de roles para los recursos de Azure.

Uso de la clave de acceso de la cuenta de almacenamiento

Para acceder a los datos de archivo con la clave de acceso de la cuenta de almacenamiento, debe tener asignado un rol de Azure que incluya la acción RBAC de Azure Microsoft.Storage/storageAccounts/listkeys/action. Este rol de Azure puede ser un rol integrado o un rol personalizado. Los roles integrados que admiten Microsoft.Storage/storageAccounts/listkeys/action incluyen lo siguiente, en orden de menos a más permisos:

  • Rol de lector de y acceso a datos
  • Rol de colaborador de la cuenta de almacenamiento
  • Rol de colaborador de Azure Resource Manager
  • El rol de Propietario de Azure Resource Manager

Al intentar acceder a los datos de archivo en Azure Portal, el portal comprueba primero si se le ha asignado un rol con Microsoft.Storage/storageAccounts/listkeys/action. Si se le ha asignado un rol con esta acción, el portal usa la clave de cuenta de almacenamiento para acceder a los datos del archivo. Si no se le ha asignado un rol con esta acción, el portal intenta acceder a los datos mediante su cuenta de Microsoft Entra.

Cuando una cuenta de almacenamiento está bloqueada con un bloqueo de Azure Resource Manager readOnly, la operación Listar claves no está permitida para esa cuenta de almacenamiento. List Keys es una operación POST, y todas las operaciones POST se impiden cuando se configura un bloqueo ReadOnly para la cuenta. Por este motivo, cuando la cuenta está bloqueada con un bloqueo de ReadOnly, los usuarios deben usar las credenciales de Microsoft Entra para acceder a los datos de los archivos en el portal.

Los roles de administrador de suscripciones clásicas administrador de servicios y coadministrador incluyen el equivalente del rol propietario de Azure Resource Manager. El rol Propietario incluye todas las acciones, incluidas las Microsoft.Storage/storageAccounts/listkeys/action, por lo que un usuario con uno de estos roles administrativos también puede acceder a los datos de archivo con la clave de la cuenta de almacenamiento.

Especificar cómo autorizar operaciones en un recurso compartido de archivos específico

Puede cambiar el método de autenticación para archivos compartidos individualmente. De forma predeterminada, el portal usa el método de autenticación actual. Para determinar el método de autenticación actual, siga estos pasos.

  1. Vaya a su cuenta de almacenamiento en el portal de Azure y seleccione Almacenamiento de datos>Compartir archivos en el panel de navegación izquierdo.

  2. Seleccione un recurso compartido de archivos.

  3. Seleccione Examinar.

  4. El método de autenticación indica si actualmente está utilizando la clave de acceso de la cuenta de almacenamiento o la cuenta de Microsoft Entra para autenticar y autorizar las operaciones de uso compartido de archivos. Si está autenticándose actualmente mediante la clave de acceso de la cuenta de almacenamiento, verá Clave de Acceso especificada como método de autenticación, como en la imagen siguiente. Si te autenticas usando tu cuenta de Microsoft Entra , verás en su lugar especificada la cuenta de usuario de Microsoft Entra.

    Captura de pantalla que muestra la página clave de acceso al método de autenticación.

Autenticación con su cuenta de Microsoft Entra

Para cambiar al uso de su cuenta de Microsoft Entra, seleccione el vínculo resaltado en la imagen que indica Cambiar a la cuenta de usuario de Microsoft Entra. Si tiene los permisos adecuados a través de los roles de Azure que se le asignan, podrá continuar. Sin embargo, si carece de los permisos necesarios, verá un mensaje de error que indica que no tiene permisos para enumerar los datos mediante la cuenta de usuario con el identificador de Entra de Microsoft.

Se requieren dos permisos de RBAC adicionales para usar su cuenta de Microsoft Entra:

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Autenticación con la clave de acceso de la cuenta de almacenamiento

Para cambiar a usar la clave de acceso de la cuenta, seleccione Cambiar a clave de acceso. Si tiene acceso a la clave de cuenta de almacenamiento, podrá continuar. Sin embargo, si no tiene acceso a la clave de cuenta, verá un mensaje de error que indica que no tiene permisos para usar la clave de acceso para enumerar los datos.

Establecer Microsoft Entra como la autorización predeterminada en el portal de Azure

Al crear una nueva cuenta de almacenamiento, puede especificar que Azure Portal tendrá como valor predeterminado la autorización con el identificador de Microsoft Entra cuando un usuario navegue a los datos de archivo. También puede configurar esta opción para una cuenta de almacenamiento existente. Esta configuración especifica solo el método de autorización predeterminado. Tenga en cuenta que un usuario puede invalidar esta configuración y elegir autorizar el acceso a datos con la clave de la cuenta de almacenamiento.

Para especificar que el portal usará la autorización de Microsoft Entra de forma predeterminada para el acceso a datos al crear una cuenta de almacenamiento, siga estos pasos:

  1. Cree una nueva cuenta de almacenamiento siguiendo las instrucciones de Creación de una cuenta de almacenamiento.
  2. En la pestaña Avanzadas, en la sección Seguridad, active la casilla situada junto a Autorización predeterminada de Microsoft Entra en el Portal de Azure.
  3. Seleccione Revisar y crear para ejecutar la validación y crear la cuenta de almacenamiento.

Para actualizar esta configuración para una cuenta de almacenamiento existente, siga estos pasos:

  1. Vaya a la información general de la cuenta de almacenamiento en Azure Portal.

  2. En Configuración, seleccione Configuración.

    Captura de pantalla que muestra la página de creación de la cuenta de autenticación predeterminada.

  3. Establezca valor predeterminado en la de autorización de Microsoft Entra en el de Azure Portal de en habilitado.