Uso de Azure Portal para asignar un rol de Azure para el acceso a datos de blobs y colas

Azure Active Directory (Azure AD) autoriza derechos de acceso a recursos protegidos mediante el control de acceso basado en rol de Azure (Azure RBAC). Azure Storage define un conjunto de roles integrados de Azure que engloban los conjuntos comunes de permisos que se usan para acceder a los datos de los blobs o de las colas.

Cuando un rol de Azure se asigna a una entidad de seguridad de Azure AD, Azure concede acceso a esos recursos a esa entidad de seguridad. El acceso se puede limitar al nivel de la suscripción, el grupo de recursos, la cuenta de almacenamiento o un contenedor individual o una cola. Una entidad de seguridad de Azure AD puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad de servicio administrada para recursos de Azure.

En este artículo se explica cómo usar Azure Portal para asignar roles de Azure. Azure Portal proporciona una interfaz sencilla para asignar roles de Azure y administrar el acceso a los recursos de almacenamiento. También se pueden asignar roles de Azure para recursos de blob y cola mediante las herramientas de línea de comandos de Azure o las API de administración de Azure Storage. Para obtener más información sobre los roles de Azure para recursos de almacenamiento, vea Autorización del acceso a blobs y colas de Azure con Azure Active Directory.

Roles de Azure para blobs y colas

Azure proporciona los siguientes roles integrados para autorizar el acceso a datos de blob y cola con Azure AD y OAuth:

Solo los roles definidos explícitamente para el acceso a datos permiten a una entidad de seguridad acceder a los datos de blobs o colas. Los roles integrados, como Propietario, Colaborador y Colaborador de la cuenta de almacenamiento, permiten que una entidad de seguridad administre una cuenta de almacenamiento, pero no proporcionan acceso a los datos de blobs o colas dentro de esa cuenta a través de Azure AD. Sin embargo, si un rol incluye Microsoft.Storage/storageAccounts/listKeys/action, el usuario al que se haya asignado ese rol podrá acceder a los datos de la cuenta de almacenamiento mediante la autorización de clave compartida con las claves de acceso de la cuenta. Para más información, consulte Usar Azure Portal para tener acceso a datos de blob o de cola.

Para obtener información detallada sobre los roles integrados de Azure para Azure Storage para los servicios de datos y el servicio de administración, consulte la sección Almacenamiento en Roles integrados de Azure para RBAC de Azure. Además, para obtener información sobre los diferentes tipos de roles que proporcionan permisos en Azure, consulte Roles de administrador de suscripciones clásico, roles de Azure y roles de Azure AD.

Importante

Las asignaciones de roles de Azure pueden tardar hasta 30 minutos en propagarse.

Determinar el ámbito de recursos

Antes de asignar un rol de Azure RBAC a una entidad de seguridad, determine el ámbito de acceso que debería tener la entidad de seguridad. Los procedimientos recomendados dictan que siempre es mejor conceder únicamente el ámbito más restringido posible. Los roles de Azure RBAC definidos en un ámbito más amplio los heredan los recursos que están debajo de ellos.

En la lista siguiente se describen los niveles en los que puede definir el ámbito de acceso a recursos de blob y cola de Azure, empezando por el ámbito más restringido:

  • Un contenedor individual. En este ámbito, se aplica una asignación de roles a todos los blobs del contenedor, así como las propiedades y los metadatos del contenedor.
  • Una cola individual. En este ámbito, se aplica una asignación de roles a los mensajes de la cola, así como las propiedades y los metadatos de la cola.
  • La cuenta de almacenamiento. En este ámbito, se aplica una asignación de roles a todos los contenedores y sus blobs, o bien a todas las colas y sus mensajes.
  • El grupo de recursos. En este ámbito, se aplica una asignación de roles a todos los contenedores o colas de todas las cuentas de almacenamiento del grupo de recursos.
  • La suscripción. En este ámbito, se aplica una asignación de roles a todos los contenedores o las colas de todas las cuentas de almacenamiento de todos los grupos de recursos de la suscripción.
  • Un grupo de administración. En este ámbito, se aplica una asignación de roles a todos los contenedores o colas de todas las cuentas de almacenamiento de todos los grupos de recursos de todas las suscripciones del grupo de administración.

Para más información sobre las asignaciones de roles de Azure y su ámbito, consulte ¿Qué es el control de acceso basado en rol de Azure (Azure RBAC)?

Asignación de roles de Azure mediante Azure Portal

Después de determinar el ámbito adecuado de una asignación de roles, vaya a ese recurso en Azure Portal. Acceda a la configuración Control de acceso (IAM) del recurso y siga estas instrucciones para administrar las asignaciones de roles:

  1. Asigne el rol de Azure de Azure Storage adecuado para conceder acceso a una entidad de seguridad de Azure AD.

  2. Asigne el rol Lector de Azure Resource Manager a aquellos usuarios que necesiten tener acceso a los contenedores o colas a través de Azure Portal con sus credenciales de Azure AD.

En las siguientes secciones se describe cada uno de estos pasos con más detalle.

Importante

Al crear una cuenta de Azure Storage, no se le asignan automáticamente permisos para tener acceso a datos a través de Azure AD. Tiene que asignarse a sí mismo de forma explícita un rol de Azure para Azure Storage. Puede asignarlo al nivel de su suscripción, grupo de recursos, cuenta de almacenamiento o un contenedor o cola.

Antes de asignarse a sí mismo un rol para el acceso a los datos, puede acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, ya que este también puede usar la clave de cuenta para el acceso a los datos. Para obtener más información, vea Elección de la forma de autorizar el acceso a los datos de blob en Azure Portal.

Si la cuenta de almacenamiento se bloquea con un bloqueo de solo lectura de Azure Resource Manager, el bloqueo evita la asignación de roles de RBAC de Azure que tienen como ámbito la cuenta de almacenamiento o un contenedor de datos (contenedor de blobs o cola).

Asignación de un rol integrado de Azure

Antes de asignar un rol a una entidad de seguridad, asegúrese de haber tenido en cuenta el ámbito de los permisos que se van a conceder. Revise la sección Determinar el ámbito de recursos para decidir cuál es el ámbito adecuado.

El procedimiento mostrado aquí asigna un rol limitado a un contenedor, pero puede seguir los mismos pasos para asignar un rol limitado a una cola:

  1. En Azure Portal, vaya a la cuenta de almacenamiento y muestre la Introducción para la cuenta.

  2. En Servicios, seleccione Blobs.

  3. Busque el contenedor para el que desea asignar un rol y visualice la configuración del contenedor.

  4. Seleccione Control de acceso (IAM) para mostrar la configuración del control de acceso del contenedor. Seleccione la pestaña Asignaciones de roles para ver la lista de asignaciones de roles.

    Captura de pantalla que muestra la configuración de control de acceso del contenedor

  5. Haga clic en el botón Agregar asignación de roles para agregar un rol nuevo.

  6. En la ventana Agregar asignación de roles, seleccione el rol de Azure Storage que quiera asignar. Después, realice una búsqueda para localizar la entidad de seguridad a la que quiere asignar ese rol.

    Captura de pantalla que muestra cómo asignar un rol de Azure

  7. Haga clic en Save(Guardar). La identidad a la que ha asignado el rol aparece enumerada debajo de ese rol. Por ejemplo, la siguiente imagen muestra que el usuario agregado tiene ahora permisos de lectura para los datos del contenedor llamado sample-container.

    Captura de pantalla con una lista de los usuarios asignados a un rol

Puede realizar este mismo procedimiento para asignar un rol que tenga como ámbito una cuenta de almacenamiento, un grupo de recursos o una suscripción.

Asignar el rol Lector para acceder a Portal

Al asignar un rol integrado o personalizado de Azure Storage a una entidad de seguridad, está concediendo permisos a esa entidad de seguridad para realizar operaciones en los datos de su cuenta de almacenamiento. Los roles Lector de datos integrados proporcionan permisos de lectura en los datos de un contenedor o una cola, mientras que los roles Colaborador de datos integrados proporcionan permisos de lectura, escritura y eliminación en un contenedor o cola. Los permisos se limitan al ámbito del recurso especificado.
Por ejemplo, si asigna el rol Colaborador de datos de Storage Blob al usuario María en el nivel de un contenedor denominado contenedor-ejemplo, María tendrá acceso de lectura, escritura y eliminación en todos los blobs de ese contenedor.

Pero si María quiere ver un blob en Azure Portal, el rol Colaborador de datos de Storage Blob por sí solo no le proporcionará suficientes permisos para desplazarse por Portal hasta el blob para poder verlo. Se necesitan más permisos de Azure AD para desplazarse por Portal y ver los otros recursos que estén visibles allí.

Si los usuarios necesitan poder acceder a blobs de Azure Portal, asígneles un rol de Azure adicional, el rol Lector, en el nivel de la cuenta de almacenamiento o por encima. El rol Lector es un rol de Azure Resource Manager que permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta.

Siga estos pasos para asignar el rol Lector para que un usuario pueda acceder a los blobs de Azure Portal. En este ejemplo, la asignación se limita al ámbito de la cuenta de almacenamiento:

  1. En Azure Portal, vaya a la cuenta de almacenamiento.
  2. Seleccione Control de acceso (IAM) para mostrar la configuración del control de acceso de la cuenta de almacenamiento. Seleccione la pestaña Asignaciones de roles para ver la lista de asignaciones de roles.
  3. En la ventana Agregar asignación de roles, seleccione el rol Lector.
  4. En el campo Asignar acceso a, seleccione Usuario, grupo o entidad de servicio de Azure AD.
  5. Realice una búsqueda para localizar la entidad de seguridad a la que quiere asignar el rol.
  6. Guarde la asignación de roles.

Asignar el rol Lector solo es necesario con aquellos usuarios que necesiten tener acceso a blobs o colas mediante Azure Portal.

Importante

La versión preliminar de Explorador de Storage en Azure Portal no admite el uso de credenciales de Azure AD para ver y modificar datos de blobs o colas. Explorador de Storage en Azure Portal usa siempre las claves de cuenta para acceder a los datos. Para usar Explorador de Storage en Azure Portal, debe tener asignado un rol que incluya Microsoft.Storage/storageAccounts/listkeys/action.

Pasos siguientes