Compartir vía


Asignación de un rol de Azure para acceder a datos de cola

Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure (Azure RBAC). Azure Storage define un conjunto de roles integrados de Azure que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de colas.

Cuando un rol de Azure se asigna a una entidad de seguridad de Microsoft Entra, Azure concede a esa entidad de seguridad acceso a los recursos. Una entidad de seguridad de Microsoft Entra puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada para recursos de Azure.

Para obtener más información sobre el uso de Microsoft Entra ID para autorizar el acceso a los datos de colas, consulte Autorización del acceso a colas con Microsoft Entra ID.

Nota:

En este artículo se muestra cómo asignar un rol de Azure para el acceso a los datos de colas en una cuenta de almacenamiento. Para obtener información sobre la asignación de roles para las operaciones de administración en Azure Storage, consulte Uso del proveedor de recursos de Azure Storage para acceder a los recursos de administración.

Asignación de un rol de Azure

Puede usar Azure Portal, PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager para asignar un rol para el acceso a datos.

Para acceder a los datos de colas en Azure Portal con las credenciales de Microsoft Entra, un usuario debe tener las siguientes asignaciones de roles:

  • Un rol de acceso a datos, como Colaborador de datos de Storage Queue.
  • El rol Lector de Azure Resource Manager

Para obtener información sobre cómo asignar estos roles a un usuario, siga las instrucciones proporcionadas en Asignación de roles de Azure mediante Azure Portal.

El rol Lector es un rol de Azure Resource Manager que permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan desplazarse a las colas y los mensajes de Azure Portal.

Por ejemplo, si asigna el rol Colaborador de datos de Storage Queue al usuario Mary a nivel de una cola llamada contenedor-ejemplo, María tendrá acceso de lectura, escritura y eliminación en todos los blobs de esa cola. Sin embargo, si Mary quiere ver una cola en Azure Portal, el rol Colaborador de datos de Storage Queue por sí solo no le proporcionará suficientes permisos para desplazarse por el portal hasta la cola para poder verla. Se necesitan más permisos para desplazarse por Portal y ver los otros recursos que estén visibles allí.

A un usuario se le debe asignar el rol Lector para usar Azure Portal con las credenciales de Microsoft Entra. Sin embargo, si a un usuario se le ha asignado un rol con permisos Microsoft.Storage/storageAccounts/listKeys/action, el usuario puede usar el portal con las claves de cuenta de almacenamiento a través de la autorización de clave compartida. Para usar las claves de cuenta de almacenamiento, se debe permitir el acceso a la clave compartida para la cuenta de almacenamiento. Para obtener más información sobre cómo permitir o no el acceso a la clave compartida, consulte Impedir la autorización con clave compartida para una cuenta Azure Storage.

También puede asignar un rol de Azure Resource Manager que proporciona permisos adicionales más allá del rol Lector. La asignación de los permisos mínimos posibles se recomienda como procedimiento recomendado de seguridad. Para más información, consulte Procedimientos recomendados para Azure RBAC.

Nota:

Antes de asignarse a sí mismo un rol para el acceso a los datos, puede acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, ya que este también puede usar la clave de cuenta para el acceso a los datos. Para más información, consulte Elección de la forma de autorizar el acceso a los datos de cola en Azure Portal.

Tenga en cuenta los siguientes puntos sobre las asignaciones de roles de Azure en Azure Storage:

  • Al crear una cuenta de Azure Storage, no se le asignan automáticamente permisos para acceder a los datos a través de Microsoft Entra ID. Tiene que asignarse a sí mismo de forma explícita un rol de Azure para Azure Storage. Puede asignarlo al nivel de su suscripción, grupo de recursos, cuenta de almacenamiento o cola.
  • Al asignar roles o quitar asignaciones de roles, los cambios pueden tardar hasta 10 minutos en aplicarse.
  • Los roles integrados con acciones de datos se pueden asignar en el grupo de administración ámbito. Sin embargo, en escenarios poco frecuentes puede haber un retraso significativo (hasta 12 horas) antes de que los permisos de acción de datos sean efectivos para determinados tipos de recursos. Los permisos se aplicarán finalmente. En el caso de los roles integrados con acciones de datos, no se recomienda agregar ni quitar asignaciones de roles en el ámbito del grupo de administración en aquellos escenarios en los que se requiera la activación o revocación oportunas de permisos, como Microsoft Entra Privileged Identity Management (PIM).
  • Si la cuenta de almacenamiento se bloquea con un bloqueo de solo lectura de Azure Resource Manager, el bloqueo evita la asignación de roles de Azure que estén limitados a la cuenta de almacenamiento o a una cola.

Pasos siguientes