Asignación de un rol de Azure para acceder a datos de tabla

Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure (Azure RBAC). Azure Storage define un conjunto de roles integrados de Azure que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de tablas.

Cuando un rol de Azure se asigna a una entidad de seguridad de Microsoft Entra, Azure concede a esa entidad de seguridad acceso a los recursos. Una entidad de seguridad de Microsoft Entra puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada para recursos de Azure.

Para obtener más información sobre el uso de Microsoft Entra ID para autorizar el acceso a los datos de tablas, consulte Autorización del acceso a tablas con Microsoft Entra ID.

Asignación de un rol de Azure

Puede usar PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager para asignar un rol para el acceso a datos.

Importante

El Azure Portal no admite actualmente la asignación de un rol RBAC de Azure que esté en el ámbito de la tabla. Para asignar un rol con ámbito de tabla, use PowerShell, CLI de Azure o Azure Resource Manager.

Puede usar el Azure Portal para asignar un rol que conceda acceso a los datos de tabla a un recurso de Azure Resource Manager, como la cuenta de almacenamiento, el grupo de recursos o la suscripción.

PowerShell

Para asignar un rol de Azure a una entidad de seguridad, llame al comando New-AzRoleAssignment. El formato del comando puede variar en función del ámbito de la asignación. Para ejecutar el comando, debe tener un rol que incluya los permisos Microsoft.Authorization/roleAssignments/write asignados en el ámbito correspondiente o superior.

Para asignar un rol limitado a una tabla, especifique una cadena que contenga el ámbito de la tabla para el parámetro --scope. El ámbito de una tabla tiene este formato:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

En el siguiente ejemplo se asigna el rol Colaborador de datos de Storage Queue a un usuario, limitado a una tabla. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares por los suyos propios:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Para obtener información sobre cómo asignar roles con PowerShell en el ámbito de la suscripción, el grupo de recursos o la cuenta de almacenamiento, consulte Asignación de roles de Azure mediante Azure PowerShell.

CLI de Azure

Para asignar un rol de Azure a una entidad de seguridad, use el comando az role assignment create. El formato del comando puede variar en función del ámbito de la asignación. El formato del comando puede variar en función del ámbito de la asignación. Para ejecutar el comando, debe tener un rol que incluya los permisos Microsoft.Authorization/roleAssignments/write asignados en el ámbito correspondiente o superior.

Para asignar un rol limitado a una tabla, especifique una cadena que contenga el ámbito de la tabla para el parámetro --scope. El ámbito de una tabla tiene este formato:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

En el siguiente ejemplo se asigna el rol Colaborador de datos de Storage Table a un usuario, limitado al nivel de la tabla. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares por los suyos propios:

az role assignment create \
    --role "Storage Table Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Para obtener información sobre cómo asignar roles con PowerShell en el ámbito de la suscripción, el grupo de recursos o la cuenta de almacenamiento, consulte Asignación de roles de Azure mediante la CLI de Azure.

Plantilla

Para obtener información sobre cómo usar una plantilla de Azure Resource Manager para asignar un rol de Azure, consulte Asignación de roles de Azure mediante plantillas de Azure Resource Manager.

Tenga en cuenta los siguientes puntos sobre las asignaciones de roles de Azure en Azure Storage:

• Al crear una cuenta de Azure Storage, no se le asignan automáticamente permisos para acceder a los datos a través de Microsoft Entra ID. Tiene que asignarse a sí mismo de forma explícita un rol de Azure para Azure Storage. Puede asignarlo a nivel de su suscripción, grupo de recursos, cuenta de almacenamiento o tabla.
• Al asignar roles o quitar asignaciones de roles, los cambios pueden tardar hasta 10 minutos en aplicarse.
• Los roles integrados con acciones de datos se pueden asignar en el grupo de administración ámbito. Sin embargo, en escenarios poco frecuentes puede haber un retraso significativo (hasta 12 horas) antes de que los permisos de acción de datos sean efectivos para determinados tipos de recursos. Los permisos se aplicarán finalmente. En el caso de los roles integrados con acciones de datos, no se recomienda agregar o quitar asignaciones de roles en el ámbito del grupo de administración en escenarios en los que se requiera la activación o revocación oportunas de permisos, como Microsoft Entra Privileged Identity Management (PIM).
• Si la cuenta de almacenamiento se bloquea con un bloqueo de solo lectura de Azure Resource Manager, el bloqueo evita la asignación de roles de Azure que estén limitados a la cuenta de almacenamiento o a una tabla.

Pasos siguientes

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
• Procedimientos recomendados para Azure RBAC