Elección de la forma de autorizar el acceso a los datos de blob en Azure Portal

  • Artículo
  • 6 minutos para leer

Cuando se accede a los datos de blob desde Azure Portal, este realiza ciertas solicitudes a Azure Storage en segundo plano. Una solicitud a Azure Storage se puede autorizar mediante la cuenta de Azure AD o la clave de acceso a la cuenta de almacenamiento. El portal indica qué método está usando, y le permite alternar entre ambos si tiene los permisos adecuados.

También puede especificar cómo autorizar una operación de carga de blobs individual en Azure Portal. De forma predeterminada, el portal usa el método que ya está utilizando para autorizar una operación de carga de blobs, pero tiene la opción de cambiar esta configuración al cargar un blob.

Permisos necesarios para acceder a datos de blob

Necesitará permisos específicos según cómo quiera autorizar el acceso a los datos de blob en Azure Portal. En la mayoría de los casos, estos permisos se proporcionan a través del control de acceso basado en rol de Azure (Azure RBAC). Para más información acerca de Azure RBAC, consulte ¿Qué es el control de acceso basado en rol de Azure (Azure RBAC)?

Uso de la clave de acceso de la cuenta

Para acceder a los datos de blob con la clave de acceso a la cuenta, debe tener asignado un rol de Azure que incluya la acción de Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Este rol de Azure puede ser un rol integrado o personalizado. Los roles integrados que Microsoft.Storage/storageAccounts/listkeys/action admite son los siguientes, en orden de permisos mínimos a máximos:

Al intentar acceder a los datos de blob en Azure Portal, este comprueba primero si tiene asignado un rol con Microsoft.Storage/storageAccounts/listkeys/action. Si se le ha asignado un rol con esta acción, Azure Portal usa la clave de cuenta para tener acceso a los datos de blob. Si no tiene un rol asignado con esta acción, Portal intenta obtener acceso a los datos mediante su cuenta de Azure AD.

Importante

Cuando una cuenta de almacenamiento está bloqueada con un bloqueo ReadOnly de Azure Resource Manager, no se permite la operación Crear lista de claves para esa cuenta de almacenamiento. Crear lista de claves es una operación POST y todas las operaciones POST se impiden cuando se configura un bloqueo ReadOnly para la cuenta. Por esta razón, cuando la cuenta está bloqueada con un bloqueo ReadOnly, los usuarios deben usar las credenciales de Azure AD para acceder a los datos de blob en el portal. Para información sobre cómo acceder a los datos de blob en el portal con Azure AD, consulte Uso de la cuenta de Azure AD.

Nota

Los roles clásicos de administrador de suscripciones Administrador del servicio y Coadministrador equivalen al rol Propietario de Azure Resource Manager. El rol Propietario engloba todas las acciones (incluida Microsoft.Storage/storageAccounts/listkeys/action), por lo que un usuario con uno de estos roles administrativos también puede acceder a datos de blob con la clave de cuenta. Para obtener más información, consulte Roles de administrador de suscripciones clásico, de Azure y de administrador de Azure AD.

Uso de la cuenta de Azure AD

Para acceder a datos de blob desde Azure Portal con la cuenta de Azure AD, se deben cumplir estas dos premisas:

  • Tiene asignado un rol (ya sea integrado o personalizado) que proporciona acceso a los datos de blob.
  • Tiene asignado como mínimo el rol Lector de Azure Resource Manager, con el ámbito establecido en el nivel de la cuenta de almacenamiento o en un nivel superior. El rol Lector concede los permisos más restringidos, pero otro rol de Azure Resource Manager que conceda acceso a los recursos de administración de la cuenta de almacenamiento también es aceptable.

El rol Lector de Azure Resource Manager permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan navegar a contenedores de blobs en Azure Portal.

Para obtener información sobre los roles integrados que admiten el acceso a los datos de los blobs, consulte Autorización del acceso a blobs mediante Azure Active Directory.

Los roles personalizados pueden admitir diferentes combinaciones de los mismos permisos que proporcionan los roles integrados. Para obtener más información sobre cómo crear roles RBAC de Azure personalizados, consulte el artículo sobre roles personalizados de Azure y la descripción de las definiciones de roles de recursos de Azure.

Nota

La versión preliminar de Explorador de Storage en Azure Portal no admite el uso de credenciales de Azure AD para ver y modificar datos de blob. Explorador de Storage en Azure Portal usa siempre las claves de cuenta para acceder a los datos. Para usar Explorador de Storage en Azure Portal, debe tener asignado un rol que incluya Microsoft.Storage/storageAccounts/listkeys/action.

Para ver datos de blob en Azure Portal, vaya a la sección Información general de la cuenta de almacenamiento y haga clic en los vínculos Blobs. También tiene la opción de ir a la sección Contenedores del menú.

Captura de pantalla que muestra cómo ir a los datos de blob en Azure Portal

Determinar el método de autenticación actual

Al ir a un contenedor, Azure Portal indica si lo que se usa actualmente para autenticarse es la clave de acceso a la cuenta o la cuenta de Azure AD.

Autenticación con la clave de acceso de la cuenta

Si se autentica mediante la clave de acceso a la cuenta, verá Clave de acceso especificado como método de autenticación en Portal:

Captura de pantalla que muestra el usuario que accede actualmente a los contenedores con la clave de cuenta

Para cambiar y usar la cuenta de Azure AD, haga clic en el vínculo que aparece resaltado en la imagen. Si posee los permisos adecuados a través de los roles de Azure que tiene asignados, podrá continuar. Pero, si no los tiene, verá un mensaje de error como el siguiente:

Error que aparece si la cuenta de Azure AD no admite el acceso

Cabe mencionar que la lista no contendrá ningún blob si su cuenta de Azure AD no tiene permisos para verlos. Haga clic en el vínculo Cambiar a la clave de acceso para usar la clave de acceso para intentar autenticarse de nuevo.

Autenticación con la cuenta de Azure AD

Si se autentica utilizando la cuenta de Azure AD, verá Cuenta de usuario de Azure AD especificado como método de autenticación en Portal:

Captura de pantalla que muestra el usuario que accede actualmente a los contenedores con una cuenta de Azure AD

Para cambiar y usar la clave de acceso a la cuenta, haga clic en el vínculo que aparece resaltado en la imagen. Si tiene acceso a la clave de cuenta, podrá continuar. Pero, si no puede acceder a ella, verá un mensaje de error como el siguiente:

Error que aparece si no tiene acceso a la clave de cuenta

Cabe mencionar que la lista no contendrá ningún blob si carece de acceso a las claves de cuenta. Haga clic en el vínculo Cambiar a la cuenta de usuario de Azure AD para usar la cuenta de Azure AD para intentar autenticarse de nuevo.

Especificación de cómo autorizar una operación de carga de blobs

Al cargar un blob desde Azure Portal, puede especificar si desea autenticar y autorizar esa operación con la clave de acceso a la cuenta o con sus credenciales de Azure AD. De forma predeterminada, el portal usa el método de autenticación actual, como se muestra en Determinar el método de autenticación actual.

Para especificar cómo autorizar una operación de carga de blobs, siga estos pasos:

  1. En Azure Portal, vaya al contenedor en el que desea cargar un blob.

  2. Seleccione el botón Cargar.

  3. Expanda la sección Avanzado para mostrar las propiedades avanzadas del blob.

  4. En el campo Tipo de autenticación, indique si desea autorizar la operación de carga mediante su cuenta de Azure AD o con la clave de acceso a la cuenta, tal como se muestra en la siguiente imagen:

    Captura de pantalla que muestra cómo cambiar el método de autorización en la carga de blobs

Pasos siguientes