Administración de contenedores de blobs mediante Azure Portal

Azure Blob Storage permite almacenar grandes cantidades de datos de objetos sin estructura. Blob Storage se puede usar para recopilar o exponer datos multimedia, de contenido o de aplicaciones a los usuarios. Como todos los datos de blob se almacenan en contenedores, debe crear un contenedor de almacenamiento antes de empezar a cargar datos. Para más información sobre Blob Storage, le la introducción a Azure Blob Storage.

En este artículo de procedimientos, aprenderá a trabajar con objetos de contenedor dentro de Azure Portal.

Requisitos previos

Para acceder a Azure Storage, necesitará una suscripción de Azure. Si todavía no tiene una suscripción, cree una cuenta gratuita antes de empezar.

Todo el acceso a Azure Storage tiene lugar mediante una cuenta de almacenamiento. En este artículo de procedimientos, creará una cuenta de almacenamiento con Azure Portal, Azure PowerShell o la CLI de Azure. Si necesita ayuda para crear una cuenta de almacenamiento, consulte Creación de una cuenta de almacenamiento.

Crear un contenedor

Un contenedor organiza un conjunto de blobs, de forma parecida a un directorio en un sistema de archivos. Una cuenta de almacenamiento puede contener un número ilimitado de contenedores y un contenedor puede almacenar un número ilimitado de blobs.

Para crear un contenedor en Azure Portal, siga estos pasos:

1. En el panel de navegación del portal, en el lado izquierdo de la pantalla, seleccione Cuentas de almacenamiento y elija una cuenta de almacenamiento. Si el panel de navegación no está visible, seleccione el botón de menú para activarlo.

   

2. En el panel de navegación de la cuenta de almacenamiento, desplácese a la sección Almacenamiento de datos y, después, seleccione Contenedores.

3. En el panel Contenedores, seleccione el botón + Contenedor para abrir el panel Nuevo contenedor.

4. En el panel Nuevo contenedor, rellene el campo Nombre con el nombre del nuevo contenedor. El nombre del contenedor debe escribirse en minúsculas, comenzar por una letra o un número, y solo puede incluir letras, números y el carácter de guión (-). El nombre debe tener entre 3 y 63 caracteres. Para más información sobre la nomenclatura de contenedores y blobs, consulte Naming and Referencing Containers, Blobs, and Metadata (Asignación de nombres y referencia a contenedores, blobs y metadatos).

5. Establezca el nivel de acceso anónimo del contenedor. El nivel recomendado es Private (no anonymous access) [Privado (sin acceso anónimo)]. Para más información sobre cómo evitar el acceso anónimo a los datos de blobs, consulte Introducción: Corrección del acceso de lectura anónimo a los datos de blobs.

6. Seleccione Crear para crear el contenedor.

   

Metadatos y propiedades del contenedor de lectura

Un contenedor expone tanto las propiedades del sistema como los metadatos definidos por el usuario. Existen propiedades del sistema en todos los recursos de Blob Storage. Algunas propiedades son de solo lectura, mientras que otras se pueden leer o establecer.

Los metadatos definidos por el usuario se componen de uno o varios pares nombre-valor que especifica para un recurso de Blob Storage. Puede usar metadatos para almacenar valores adicionales con el recurso. Los valores de metadatos se proporcionan para uso personal y no afectan a cómo se comporta el recurso.

Propiedades del contenedor

Para mostrar las propiedades de un contenedor en Azure Portal, siga estos pasos:

1. Vaya a la lista de contenedores de la cuenta de almacenamiento.

2. Active la casilla situada junto al nombre del contenedor cuyas propiedades quiere ver.

3. Seleccione el botón Más del contenedor (...) y elija Propiedades del contenedor para mostrar el panel Propiedades del contenedor.

   

Metadatos de contenedor de lectura y escritura

Los usuarios que tienen un gran número de objetos dentro de su cuenta de almacenamiento pueden organizar sus datos de forma lógica dentro de contenedores mediante metadatos.

Para administrar los metadatos de un contenedor en Azure Portal, siga estos pasos:

1. Vaya a la lista de contenedores de la cuenta de almacenamiento.

2. Active la casilla situada junto al nombre del contenedor cuyos metadatos quiere administrar.

3. Seleccione el botón Más del contenedor (...) y, luego, elija Editar metadatos para mostrar el panel Metadatos del contenedor.

   

4. El panel Metadatos del contenedor mostrará los pares clave-valor de metadatos existentes. Para editar los datos existentes, puede seleccionar una clave o un valor existentes y sobrescribir los datos. Puede agregar metadatos adicionales proporcionando datos en los campos vacíos correspondientes. Por último, seleccione Guardar para confirmar los datos.

   

Administración del acceso a contenedores y blobs

Administrar correctamente el acceso a los contenedores y sus blobs es clave para garantizar que los datos permanezcan seguros. En las secciones siguientes se muestran formas en las que puede cumplir los requisitos de acceso.

Administración de asignaciones de roles de Azure RBAC en el contenedor

Microsoft Entra ID ofrece seguridad óptima para los recursos de Blob Storage. El control de acceso basado en rol de Azure (Azure RBAC) determina qué permisos tiene una entidad de seguridad para un recurso determinado. Para conceder acceso a un contenedor, asignará un rol RBAC en el ámbito del contenedor o superior a un usuario, grupo, entidad de servicio o identidad administrada. También puede optar por agregar una o varias condiciones a la asignación de roles.

Puede leer sobre la asignación de roles en Asignación de roles de Azure mediante Azure Portal.

Generación de una firma de acceso compartido

Una firma de acceso compartido (SAS) proporciona acceso temporal, seguro y delegado a un cliente que normalmente no tendría permisos. Una SAS proporciona control granular sobre la forma en que un cliente puede acceder a los datos. Por ejemplo, puede especificar qué recursos están disponibles para el cliente. También puede limitar los tipos de operaciones que el cliente puede realizar y especificar la duración.

Azure admite tres tipos de firmas de acceso compartido: SAS de servicio, que proporciona acceso a un recurso en solo uno de los servicios de almacenamiento: Blob Storage, Queue Storage, Table Storage o File Storage. SAS de cuenta, que es similar a una SAS de servicio, pero puede permitir el acceso a los recursos de más de un servicio de almacenamiento. Una SAS de delegación de usuarios es una SAS protegida con credenciales de Microsoft Entra y solo se puede usar con el servicio de Blob Storage.

Al crear una SAS, puede establecer limitaciones de acceso en función del nivel de permiso, la dirección IP o el intervalo, o la fecha y hora de inicio y expiración. Puede encontrar más información en Concesión de acceso limitado a los recursos de Azure Storage mediante firmas de acceso compartido.

Precaución

Cualquier cliente que posea una SAS válida puede acceder a los datos de la cuenta de almacenamiento según lo permitido por esa SAS. Es importante proteger una SAS de uso malintencionado o no intencionado. Sea cauto al distribuir una SAS y tenga un plan para revocar una SAS en peligro.

Para generar un token de SAS mediante Azure Portal, siga estos pasos:

1. En Azure Portal, vaya a la lista de contenedores en la cuenta de almacenamiento.

2. Active la casilla situada junto al nombre del contenedor para el que generará un token de SAS.

3. Seleccione el botón Más del contenedor (...) y elija Generar SAS para mostrar el panel Generar SAS.

   

4. En el panel Generar SAS, seleccione el valor Clave de cuenta para el campo Método de firma.

5. En el campo Método de firma, seleccione Clave de cuenta. Al elegir la clave de cuenta se creará una SAS de servicio.

6. En el campo Clave de firma, seleccione la clave deseada que se usará para firmar la SAS.

7. En el campo Directiva de acceso almacenada, seleccione Ninguna.

8. Seleccione el campo Permisos y, luego, active las casillas correspondientes a los permisos deseados.

9. En la sección Fecha y hora de inicio y caducidad, especifique los valores deseados de fecha y hora de Inicio y Expiración y de zona horaria.

10. Opcionalmente, especifique una dirección IP o un intervalo de direcciones IP de las que aceptar solicitudes en el campo Direcciones IP permitidas. Si la dirección IP de la solicitud no coincide con la dirección IP o el intervalo de direcciones especificado en el token de SAS, no se autorizará.

11. Opcionalmente, especifique el protocolo permitido para las solicitudes realizadas con la SAS en el campo Protocolos permitidos. El valor predeterminado es HTTPS.

12. Revise la configuración para ver si los datos son precisos y, luego, seleccione Generar URL y token de SAS para mostrar las cadenas de consulta Tokens de SAS de blob y URL de SAS de blob.

    

13. Copie y pegue los valores de token de SAS de blob y URL de SAS de blob en una ubicación segura. Estos valores solo se mostrarán una vez y no se podrán recuperar una vez cerrada la ventana.

Nota

El token de SAS que ha devuelto el portal no incluye el carácter delimitador ("?") para la cadena de consulta de dirección URL. Si va a anexar el token de SAS a una dirección URL de recurso, recuerde anexar el carácter delimitador a la dirección URL del recurso antes de anexar el token de SAS.

Creación de una directiva de acceso almacenada o de inmutabilidad

Una directiva de acceso almacenada proporciona control adicional en el lado servidor sobre una o varias firmas de acceso compartido. Al asociar una SAS a una directiva de acceso almacenada, la SAS hereda las restricciones definidas en la directiva. Estas restricciones adicionales permiten cambiar la hora de inicio, la hora de expiración o los permisos de una firma. También puede revocarla después de que se haya emitido.

Las directivas de inmutabilidad se pueden usar para proteger los datos de sobrescrituras y eliminaciones. Las directivas de inmutabilidad permiten crear y leer objetos, pero impiden su modificación o eliminación durante un período específico. Blob Storage admite dos tipos de directivas de inmutabilidad. Una directiva de retención con duración definida, que prohíbe las operaciones de escritura y eliminación durante un período de tiempo definido. Una suspensión legal, que también prohíbe las operaciones de escritura y eliminación, pero debe borrarse explícitamente para que esas operaciones se puedan reanudar.

Crear una directiva de acceso almacenada

La configuración de una directiva de acceso almacenada es un proceso de dos pasos: primero se debe definir la directiva y, después, aplicarla al contenedor. Para configurar una directiva de acceso almacenada, siga estos pasos:

1. En Azure Portal, vaya a la lista de contenedores en la cuenta de almacenamiento.

2. Active la casilla situada junto al nombre del contenedor para el que generará un token de SAS.

3. Seleccione el botón Más del contenedor (...) y elija Directiva de acceso para mostrar el panel Directiva de acceso.

   

4. En el panel Directiva de acceso, seleccione + Agregar directiva en la sección Directivas de acceso almacenadas para mostrar el panel Agregar directiva. Todas las directivas existentes se mostrarán en la sección correspondiente.

   

5. En el panel Agregar directiva, seleccione el cuadro Identificador y agregue un nombre para la nueva directiva.

6. Seleccione el campo Permisos y, luego, active las casillas correspondientes a los permisos deseados para la nueva directiva.

7. Opcionalmente, proporcione valores de fecha, hora y zona horaria para los campos Hora de inicio y Hora de expiración para establecer el período de validez de la directiva.

8. Revise la configuración para ver si los datos son precisos y, luego, seleccione Aceptar para actualizar el panel Directiva de acceso.

   Precaución

   Aunque la directiva se muestra ahora en la tabla Directiva de acceso almacenada, todavía no se aplica al contenedor. Si sale del panel Directiva de acceso en este momento, la directiva no se guardará ni aplicará y perderá el trabajo.

   

9. En el panel Directiva de acceso, seleccione + Agregar directiva para definir otra directiva o seleccione Guardar para aplicar la nueva directiva al contenedor. Después de crear al menos una directiva de acceso almacenada, podrá asociarle otras firmas de acceso seguro (SAS).

   

Creación de una directiva de inmutabilidad

Lea más sobre cómo configurar directivas de inmutabilidad para contenedores. Para obtener ayuda con la implementación de directivas de inmutabilidad, siga los pasos descritos en los artículos Configuración de una directiva de retención o Configuración o borrado de una suspensión legal.

Administración de concesiones

Se usa una concesión de contenedor para establecer o administrar un bloqueo para las operaciones de eliminación. Cuando se adquiere una concesión dentro de Azure Portal, el bloqueo solo se puede crear con una duración infinita. Cuando se crea mediante programación, la duración del bloqueo puede oscilar entre 15 y 60 segundos, o puede ser infinita.

Hay cinco modos de operación de concesión diferentes, aunque solo dos están disponibles en Azure Portal:

	Caso de uso	Disponible en Azure Portal
Modo de adquisición	Solicita una nueva concesión.	✓
Modo de renovación	Renueva una concesión existente.
Cambio del modo	Cambia el identificador de una concesión existente.
Modo de liberación	Finaliza la concesión actual y permite que otros clientes adquieran una nueva concesión.	✓
Modo de interrupción	Finaliza la concesión actual e impide que otros clientes adquieran una nueva concesión durante el período de concesión actual.

Adquisición de una concesión

Para adquirir una concesión mediante Azure Portal, siga estos pasos:

1. En Azure Portal, vaya a la lista de contenedores en la cuenta de almacenamiento.

2. Active la casilla situada junto al nombre del contenedor para el que adquirirá una concesión.

3. Seleccione el botón Más del contenedor (...) y elija Adquirir concesión para solicitar una nueva concesión y mostrar los detalles en el panel Estado de concesión.

   

4. Los valores de propiedad Contenedor e Identificador de concesión de la concesión recién solicitada se muestran en el panel Estado de concesión. Copie y guarde estos valores en un lugar seguro. Solo se mostrarán una vez y no se podrán recuperar después de que se ha cerrado el panel.

   

Interrupción de una concesión

Para interrumpir una concesión mediante Azure Portal, siga estos pasos:

1. En Azure Portal, vaya a la lista de contenedores en la cuenta de almacenamiento.

2. Active la casilla situada junto al nombre del contenedor para el que interrumpirá una concesión.

3. Seleccione el botón Más del contenedor (...) y elija Interrumpir concesión para interrumpir la concesión.

   

4. Después de que se ha interrumpida la concesión, el valor Estado de concesión del contenedor seleccionado se actualizará y aparecerá una confirmación de estado.

   

Eliminación de contenedores

Al eliminar un contenedor en Azure Portal, también se eliminarán todos los blobs que contenga.

Advertencia

Siga los pasos que se indican a continuación para eliminar contenedores y los blobs que contengan de forma permanente. Microsoft recomienda habilitar la eliminación temporal de contenedores para proteger los contenedores y blobs contra la eliminación accidental. Para más información, consulte Eliminación temporal para contenedores.

Para eliminar un contenedor en Azure Portal, siga estos pasos:

1. En Azure Portal, vaya a la lista de contenedores en la cuenta de almacenamiento.

2. Seleccione el contenedor que desee eliminar.

3. Seleccione el botón Más ( ... ) y, después, Eliminar.

   

4. En el cuadro de diálogo Eliminar contenedores, confirme que quiere eliminar el contenedor.

En algunos casos, es posible recuperar los blobs que se hayan eliminado. Si la opción de protección de datos contra la eliminación temporal está habilitada en la cuenta de almacenamiento, puede acceder a los contenedores eliminados dentro del período de retención asociado. Para más información sobre la eliminación temporal, consulte el artículo Eliminación temporal para contenedores.

Visualización de contenedores eliminados temporalmente

Cuando la eliminación temporal está habilitada, puede ver los contenedores eliminados temporalmente en Azure Portal. Los contenedores eliminados temporalmente son visibles durante el período de retención especificado. Una vez expirado el período de retención, un contenedor eliminado temporalmente se elimina permanentemente y deja de estar visible.

Para ver los contenedores eliminados temporalmente en Azure Portal, siga estos pasos:

1. Vaya a su cuenta de almacenamiento en Azure Portal y vea la lista de contenedores.

2. Active el botón de conmutación Mostrar contenedores eliminados para incluir los contenedores eliminados en la lista.

   

Restauración de un contenedor eliminado temporalmente

Puede restaurar un contenedor eliminado temporalmente y su contenido dentro del período de retención. Para restaurar un contenedor eliminado temporalmente en Azure Portal, siga estos pasos:

1. Vaya a su cuenta de almacenamiento en Azure Portal y vea la lista de contenedores.

2. Muestre el menú contextual del contenedor que desea eliminar y elija Recuperar en el menú.

   

Consulte también

• Cree una cuenta de almacenamiento
• Administrar contenedores de blobs con PowerShell