Procedimientos recomendados para la protección de datos, la copia de seguridad y la recuperación de Azure Storage

En el artículo se proporcionan opciones de protección de datos y copia de seguridad de Azure Storage, escenarios de recuperación de autoservicio y posibilidades de recuperación de asistencia de Microsoft.

Opciones de protección de datos, copia de seguridad y recuperación

La protección de datos de Azure Storage hace referencia a estrategias para:

• Protección de la cuenta de almacenamiento y los datos dentro de ella de la eliminación o modificación.
• Restaurar datos después de eliminarlos o modificarlos.

En esta sección se presentan las opciones disponibles de protección de datos, copia de seguridad y recuperación. Para obtener más información, consulte opciones de copia de seguridad y protección de datos.

Opciones de copia de seguridad y protección de datos

En las secciones siguientes se presentan escenarios de protección de datos y opciones de protección recomendadas:

• Escenario 1: Protección de la cuenta de almacenamiento
• Escenario 2: Protección de contenedores de blobs
• Escenario 3: Protección de archivos de blobs

Escenario 1: Protección de la cuenta de almacenamiento

Habilite el bloqueo de Azure Resource Manager (ARM) para bloquear todas las cuentas de almacenamiento y evitar la eliminación de la cuenta de almacenamiento. Para más información sobre el bloqueo de ARM, consulte Aplicación de un bloqueo de Azure Resource Manager a una cuenta de almacenamiento.

Ventajas y limitaciones:

• Protege la cuenta de almacenamiento contra la eliminación o los cambios de configuración.
• No protege los contenedores o blobs de la cuenta contra la eliminación o sobrescritura.
• Admite Azure Data Lake Storage (ADLS) Gen 2.

Escenario 2: Protección de contenedores de blobs

• Habilite las directivas de inmutabilidad en un contenedor para proteger documentos críticos para la empresa, como para cumplir los requisitos legales o de cumplimiento normativo.

  Ventajas y limitaciones:

  • Protege un contenedor y sus blobs de cualquier eliminación y sobrescritura.
  • Cuando está vigente una suspensión legal o una directiva de retención de duración limitada bloqueada, la cuenta de almacenamiento también está protegida contra la eliminación. Los contenedores para los que no se ha establecido ninguna directiva de inmutabilidad no están protegidos contra la eliminación.
  • Admite ADLS Gen 2 en versión preliminar.

  Para obtener más información sobre las directivas de inmutabilidad en un contenedor, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable.

• Habilite la eliminación temporal del contenedor para restaurar un contenedor eliminado dentro de un intervalo especificado.

  Ventajas y limitaciones:

  • Se puede restaurar un contenedor eliminado y su contenido dentro del período de retención. El procedimiento recomendado para un intervalo de retención mínimo es de siete días.
  • Solo se pueden restaurar las operaciones de nivel de contenedor, como "Eliminar contenedor". La eliminación temporal de contenedores no permite restaurar un blob individual en el contenedor si dicho blob se eliminó.
  • Admite ADLS Gen 2.

  Para obtener más información sobre la eliminación temporal del contenedor, consulte Eliminación temporal para contenedores.

Escenario 3: Protección de archivos de blobs

• Habilite las directivas de inmutabilidad en una versión de blob para evitar que se elimine una versión de blob para un intervalo que controle.

  Ventajas y limitaciones:

  • Protege una versión de blob frente a la eliminación y frente a la sobrescritura de sus metadatos. Una operación de sobrescritura crea una nueva versión.
  • Si al menos un contenedor tiene habilitada la inmutabilidad a nivel de versión, la cuenta de almacenamiento también está protegida contra la eliminación.
  • Se produce un error en la eliminación del contenedor si existe al menos un blob en el contenedor.
  • No está disponible para ADLS Gen2.

  Para obtener más información sobre las directivas de inmutabilidad en una versión de blob, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable.

• Habilite la eliminación temporal de blobs para restaurar una versión de blob o blob eliminada dentro de un intervalo especificado.

  Ventajas:

  • Se puede restaurar una versión de blob o un blob eliminado en el período de retención. El procedimiento recomendado para un intervalo de retención mínimo es de siete días.
  • Admite ADLS Gen 2.

  Para más información sobre la eliminación temporal de blobs, consulte Eliminación temporal de blobs.

• Habilite la instantánea de blob para guardar manualmente el estado de un blob en un momento dado.

  Ventajas y limitaciones:

  • Un blob se puede restaurar a partir de una instantánea si se sobrescribe el blob. Sin embargo, si se elimina el blob, también se eliminan las instantáneas.
  • Admite ADLS Gen 2 en versión preliminar.

  Para más información sobre las instantáneas de blobs, consulte Instantáneas de blobs.

• Habilite el control de versiones de blobs para guardar automáticamente el estado de un blob en una versión anterior cuando se sobrescribe.

  Ventajas y limitaciones:

  • Cada operación de escritura de blobs crea una versión. La versión actual de un blob se puede restaurar a partir de una versión anterior si se elimina o sobrescribe la versión actual.
  • No está disponible para ADLS Gen2.

  Para más información sobre el control de versiones de blobs, consulte Control de versiones de blobs.

• Habilite la restauración a un momento dado para restaurar un conjunto de blobs en bloques a un momento dado anterior.

  Ventajas y limitaciones:

  • Un conjunto de blobs en bloques se puede revertir al estado que tenía en un punto concreto del pasado.
  • Solo se revierten las operaciones realizadas en los blobs en bloques.
  • No se revierten las operaciones realizadas en contenedores, blobs en páginas o blobs en anexos.
  • No está disponible para ADLS Gen2.

  Para más información sobre la restauración a un momento dado, consulte Restauración a un momento dado para blobs en bloques.

• Copie datos en una segunda cuenta a través de la replicación de objetos de Azure Storage o herramientas como AzCopy o Azure Data Factory.

  Ventajas y limitaciones:

  • Los datos se pueden restaurar a partir de la segunda cuenta de almacenamiento si la cuenta principal se ve comprometida de alguna manera.
  • Se admiten AzCopy y Azure Data Factory.
  • No se admite la replicación de objetos.

Opciones de recuperación de datos

En las secciones siguientes se presentan escenarios de recuperación de datos y posibles opciones de recuperación:

• Escenario 1: Recuperación de cuentas de almacenamiento
• Escenario 2: Recuperación de contenedores de blobs
• Escenario 3: Recuperación de archivos de blobs

Puede recuperar datos una vez habilitadas las opciones de protección y copia de seguridad de datos.

Escenario 1: Recuperación de cuentas de almacenamiento

Hace referencia a Recuperación de cuentas de almacenamiento eliminadas de Azure Portal.

Escenario 2: Recuperación de contenedores de blobs

• Recupere el contenedor eliminado temporalmente y su contenido.

  Requisitos para la recuperación:

  • La eliminación temporal del contenedor está habilitada.
  • El período de retención de eliminación temporal del contenedor aún no ha expirado.

  Para obtener más información, consulte Habilitación y administración de la eliminación temporal para contenedores.

• Recuperación desde una segunda cuenta de almacenamiento.

  Requisitos para la recuperación: todas las operaciones de contenedor y blob se han replicado en una segunda cuenta de almacenamiento.

Escenario 3: Recuperación de archivos de blobs

• Recuperación de blobs en versiones anteriores a través del control de versiones de blobs.

  Requisitos para la recuperación:

  • El control de versiones de blobs está habilitado.
  • El blob tiene una o varias versiones anteriores.

  Para más información, consulte Habilitación y administración del control de versiones de blobs.

  Esta opción no se admite actualmente para las cargas de trabajo de ADLS.

  Procedimientos de recuperación:

  1. Vaya al blob afectado desde Azure Portal.

  2. Seleccione los puntos suspensivos (...) para el blob que desea recuperar.

  3. Seleccione Ver versiones.

  4. Seleccione la versión desde la que se necesita restaurar.

  5. Seleccione Make current version (Crear versión actual).

• Recuperación de blobs a través de la eliminación temporal de blobs.

  Requisitos para la recuperación:

  • La eliminación temporal de blobs está habilitada.
  • El intervalo de retención de eliminación temporal no ha expirado.

  Para más información, consulte Administración y restauración de blobs eliminados temporalmente.

• Recupere un conjunto de blobs en bloques a través de un momento dado.

  Requisitos para la recuperación:

  • La restauración a un momento dado está habilitada.
  • El punto de restauración está dentro del intervalo de retención.
  • La cuenta de almacenamiento no se ha puesto en peligro ni está dañada.

  Para más información, consulte Realización de una restauración a un momento dado en los datos de blobs en bloques.

• Recuperación de blobs mediante instantáneas.

  Requisitos para la recuperación: el blob tiene una o varias instantáneas. Para más información, consulte Creación y administración de una instantánea de blob en .NET.

  Procedimientos de recuperación:

  1. Vaya al blob afectado desde Azure Portal.

  2. Seleccione los puntos suspensivos (...) para el blob que desea recuperar.

  3. Seleccione Ver instantáneas.

  4. Seleccione la instantánea desde la que se necesita restaurar.

  5. Seleccione Promover.

Procedimiento recomendado para RBAC de Azure

Otro procedimiento recomendado para evitar la eliminación accidental de las cuentas es limitar el número de usuarios que tienen permisos para realizar esta operación mediante el control de acceso basado en rol (Azure RBAC).

Estos son algunos métodos recomendados:

• Solo concede el acceso que los usuarios necesitan.
• Limite el número de propietarios de la suscripción.
• Use Microsoft Entra Privileged Identity Management.
• Asigne roles a grupos, no a usuarios.
• Asigne roles mediante el identificador de rol único en lugar del nombre del rol.

Para más información, consulte Procedimientos recomendados para Azure RBAC.

Recuperación de almacenamiento no compatible

Microsoft no admite los siguientes escenarios de recuperación de almacenamiento:

• No se admite la recuperación de colas de Azure Storage.
• No se admite la recuperación de entradas de tabla de Azure Storage, mientras que se admite la recuperación de tablas eliminadas. Para obtener más información, consulte Recuperación de almacenamiento admitida.
• No se admite la recuperación de archivos de blobs de Azure sin habilitar la protección de archivos de blobs, pero se admite la recuperación de contenedores eliminados. Para obtener más información, consulte Recuperación de almacenamiento admitida.

Recuperación de almacenamiento admitida

En esta sección se describen varios escenarios de recuperación de almacenamiento admitidos cuando se cumplen algunos requisitos previos:

• Escenario 1: Recuperación de cuentas de almacenamiento (recuperación de cuentas de almacenamiento de ARM)
• Escenario 2: Recuperación de la cuenta de almacenamiento clásica
• Escenario 3: Recuperación de contenedores
• Escenario 4: Recuperación del sistema de archivos y datos de ADLS Gen 2
• Escenario 5: Recuperación de tablas
• Escenario 6: Recuperación de disco

Microsoft está realizando todos los esfuerzos para recuperar los datos, pero no puede garantizar la cantidad de datos que se pueden restaurar.

Escenario 1: Recuperación de cuentas de almacenamiento (recuperación de cuentas de almacenamiento de ARM)

Requisitos previos:

• La cuenta de almacenamiento se ha eliminado en los últimos 14 días.
• La cuenta de almacenamiento se ha creado con el modelo de implementación de Azure Resource Manager.
• No se ha creado una cuenta de almacenamiento con el mismo nombre desde que se eliminó la cuenta original.
• Al usuario que recupera la cuenta de almacenamiento se le debe asignar un rol RBAC de Azure que proporcione los permisos Microsoft.Storage/storageAccounts/write . Para obtener información sobre los roles RBAC de Azure integrados que proporcionan este permiso, vea Roles integrados de Azure.
• Asegúrese de que el grupo de recursos que eliminó la cuenta de almacenamiento existe. Si se eliminó el grupo de recursos, debe volver a crearlo manualmente.
• [Solo para casos específicos] Si la cuenta de almacenamiento eliminada usó claves administradas por el cliente con Azure Key Vault y el almacén de claves también se ha eliminado, debe restaurar el almacén de claves antes de restaurar la cuenta de almacenamiento. Para más información, consulte Introducción a la recuperación en Azure Key Vault.

Sugerencias:

• Recuperar una cuenta de almacenamiento de una cuenta de almacenamiento existente.
• Recuperar una cuenta de almacenamiento a través de una incidencia de soporte técnico.

Para más información, consulte Recuperación de cuentas de almacenamiento eliminadas de Azure Portal.

Escenario 2: Recuperación de la cuenta de almacenamiento clásica

Requisitos previos:

• No se ha creado una cuenta de almacenamiento con el mismo nombre desde que se eliminó la cuenta original.
• La cuenta de almacenamiento se ha eliminado en los últimos 14 días.

Sugerencias:

• Busque ayuda de ingenieros de soporte técnico para evaluar la situación.

Escenario 3: Recuperación de contenedores

Requisitos previos:

• La replicación de la cuenta de almacenamiento se estableció en almacenamiento con redundancia geográfica (GRS), almacenamiento con redundancia de zona geográfica (GZRS), almacenamiento con redundancia de zona geográfica de acceso de lectura (RAGZRS) o almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) antes de la eliminación de "contenedor". Las cuentas de almacenamiento con LRS no se admiten para recuperar un contenedor eliminado.

Sugerencias:

• Busque ayuda de ingenieros de soporte técnico para evaluar la situación.

Escenario 4: Recuperación del sistema de archivos y datos de ADLS Gen 2

Requisitos previos:

• Cuenta de almacenamiento con espacio de nombres jerárquico (HNS) habilitado.
• El archivo o carpeta ADLS Gen2 se eliminó en un plazo de tres días.

Sugerencias:

• Busque ayuda de ingenieros de soporte técnico para evaluar la situación.

Escenario 5: Recuperación de tablas

Requisitos previos:

• Toda la tabla se elimina mediante la operación "DELETE Table" sin modificar los datos de entrada de tabla.

Sugerencias:

• Busque ayuda de ingenieros de soporte técnico para evaluar la situación.

Escenario 6: Recuperación de disco

Requisitos previos:

• Los requisitos previos de la recuperación de disco varían en función de algunos factores. Por ejemplo, ¿está habilitada la eliminación temporal? ¿O bien, el disco de recuperación hace referencia al disco administrado o al disco no administrado?

Sugerencias:

• Busque ayuda de ingenieros de soporte técnico para evaluar la situación.

Recuperación de cuentas de almacenamiento eliminadas desde Azure Portal

Hay dos maneras de que los usuarios finales recuperen una cuenta de almacenamiento eliminada de Azure Portal:

• Recupere la cuenta eliminada de una cuenta de almacenamiento existente.

• Recupere la cuenta a través de una incidencia de soporte técnico.

Recuperación de una cuenta de almacenamiento eliminada de otra cuenta de almacenamiento

Para recuperar una cuenta de almacenamiento eliminada desde otra cuenta de almacenamiento, siga estos pasos:

1. Vaya a la lista de la cuenta de almacenamiento en Azure Portal.

2. Seleccione el botón Restaurar para abrir el panel Restaurar cuenta eliminada.

   

3. Seleccione la suscripción de la cuenta que desea recuperar en la lista desplegable Suscripción .

   

4. En la lista desplegable, seleccione la cuenta que se va a recuperar. Si la cuenta de almacenamiento que desea recuperar no está en la lista desplegable, no se puede recuperar.

5. Seleccione el botón Restaurar para recuperar la cuenta. El portal muestra una notificación de que la recuperación está en curso.

Para más información, consulte Recuperación de una cuenta eliminada de Azure Portal.

Recuperación de cuentas de almacenamiento mediante una incidencia de soporte técnico

1. En Azure Portal, vaya a Ayuda y soporte técnico.

2. Seleccione Crear solicitud de soporte técnico.

3. En la pestaña Descripción del problema, en el campo Tipo de problema, seleccione Técnico.

4. En el campo Suscripción, seleccione la suscripción que contenía la cuenta de almacenamiento eliminada.

5. En el campo Servicio, seleccione Storage Account Management (Administración de cuentas de almacenamiento).

6. En el campo Recurso, seleccione cualquier recurso de la cuenta de almacenamiento. La cuenta de almacenamiento eliminada no aparece en la lista.

7. Agregue un breve resumen del problema.

8. En el campo Tipo de problema, seleccione Deletion and Recovery (Eliminación y recuperación).

9. En el campo Subtipo de problema, seleccione Recover deleted storage account (Recuperar cuenta de almacenamiento eliminada).

   En la captura de pantalla siguiente se muestra un ejemplo de la pestaña Descripción del problema que se rellena:

   

10. Vaya a la pestaña Solución recomendada y seleccione Recuperación de cuentas de almacenamiento controladas por el cliente.

    

11. En la lista desplegable, seleccione la cuenta que se va a recuperar. Si la cuenta de almacenamiento que desea recuperar no está en la lista desplegable, no se puede recuperar.

    

12. Seleccione Recuperar para restaurar la cuenta. El portal muestra una notificación de que la recuperación está en curso.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.