Asignación de un rol de Azure para acceder a datos de cola

Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure (Azure RBAC). Azure Storage define un conjunto de roles integrados de Azure que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de colas.

Cuando un rol de Azure se asigna a una entidad de seguridad de Microsoft Entra, Azure concede a esa entidad de seguridad acceso a los recursos. Una entidad de seguridad de Microsoft Entra puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada para recursos de Azure.

Para obtener más información sobre el uso de Microsoft Entra ID para autorizar el acceso a los datos de colas, consulte Autorización del acceso a colas con Microsoft Entra ID.

Nota:

En este artículo se muestra cómo asignar un rol de Azure para el acceso a los datos de colas en una cuenta de almacenamiento. Para obtener información sobre la asignación de roles para las operaciones de administración en Azure Storage, consulte Uso del proveedor de recursos de Azure Storage para acceder a los recursos de administración.

Asignación de un rol de Azure

Puede usar Azure Portal, PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager para asignar un rol para el acceso a datos.

Azure Portal

Para acceder a los datos de colas en Azure Portal con las credenciales de Microsoft Entra, un usuario debe tener las siguientes asignaciones de roles:

• Un rol de acceso a datos, como Colaborador de datos de Storage Queue.
• El rol Lector de Azure Resource Manager

Para obtener información sobre cómo asignar estos roles a un usuario, siga las instrucciones proporcionadas en Asignación de roles de Azure mediante Azure Portal.

El rol Lector es un rol de Azure Resource Manager que permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan desplazarse a las colas y los mensajes de Azure Portal.

Por ejemplo, si asigna el rol Colaborador de datos de Storage Queue al usuario Mary a nivel de una cola llamada contenedor-ejemplo, María tendrá acceso de lectura, escritura y eliminación en todos los blobs de esa cola. Sin embargo, si Mary quiere ver una cola en Azure Portal, el rol Colaborador de datos de Storage Queue por sí solo no le proporcionará suficientes permisos para desplazarse por el portal hasta la cola para poder verla. Se necesitan más permisos para desplazarse por Portal y ver los otros recursos que estén visibles allí.

A un usuario se le debe asignar el rol Lector para usar Azure Portal con las credenciales de Microsoft Entra. Sin embargo, si a un usuario se le ha asignado un rol con permisos Microsoft.Storage/storageAccounts/listKeys/action, el usuario puede usar el portal con las claves de cuenta de almacenamiento a través de la autorización de clave compartida. Para usar las claves de cuenta de almacenamiento, se debe permitir el acceso a la clave compartida para la cuenta de almacenamiento. Para obtener más información sobre cómo permitir o no el acceso a la clave compartida, consulte Impedir la autorización con clave compartida para una cuenta Azure Storage.

También puede asignar un rol de Azure Resource Manager que proporciona permisos adicionales más allá del rol Lector. La asignación de los permisos mínimos posibles se recomienda como procedimiento recomendado de seguridad. Para más información, consulte Procedimientos recomendados para Azure RBAC.

Nota:

Antes de asignarse a sí mismo un rol para el acceso a los datos, puede acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, ya que este también puede usar la clave de cuenta para el acceso a los datos. Para más información, consulte Elección de la forma de autorizar el acceso a los datos de cola en Azure Portal.

PowerShell

Para asignar un rol de Azure a una entidad de seguridad, llame al comando New-AzRoleAssignment. El formato del comando puede variar en función del ámbito de la asignación. Para ejecutar el comando, debe tener un rol que incluya los permisos Microsoft.Authorization/roleAssignments/write asignados en el ámbito correspondiente o superior.

Para asignar un rol cuyo ámbito es una cola, especifique una cadena que contenga el ámbito de la cola en el parámetro --scope. El ámbito de una cola tiene este formato:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

En el siguiente ejemplo se asigna el rol Colaborador de datos de la cola de Storage Blob a un usuario y el ámbito se establece una cola denominada sample-queue. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares por los suyos propios:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Para obtener información sobre cómo asignar roles con PowerShell en el ámbito de la suscripción, el grupo de recursos o la cuenta de almacenamiento, consulte Asignación de roles de Azure mediante Azure PowerShell.

CLI de Azure

Para asignar un rol de Azure a una entidad de seguridad, use el comando az role assignment create. El formato del comando puede variar en función del ámbito de la asignación. El formato del comando puede variar en función del ámbito de la asignación. Para ejecutar el comando, debe tener un rol que incluya los permisos Microsoft.Authorization/roleAssignments/write asignados en el ámbito correspondiente o superior.

Para asignar un rol cuyo ámbito es una cola, especifique una cadena que contenga el ámbito de la cola en el parámetro --scope. El ámbito de una cola tiene este formato:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

En el siguiente ejemplo se asigna el rol Colaborador de datos de Storage Queue a un usuario y el ámbito se establece en un nivel de cola. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares por los suyos propios:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Para obtener información sobre cómo asignar roles con PowerShell en el ámbito de la suscripción, el grupo de recursos o la cuenta de almacenamiento, consulte Asignación de roles de Azure mediante la CLI de Azure.

Plantilla

Para obtener información sobre cómo usar una plantilla de Azure Resource Manager para asignar un rol de Azure, consulte Asignación de roles de Azure mediante plantillas de Azure Resource Manager.

Tenga en cuenta los siguientes puntos sobre las asignaciones de roles de Azure en Azure Storage:

• Al crear una cuenta de Azure Storage, no se le asignan automáticamente permisos para acceder a los datos a través de Microsoft Entra ID. Tiene que asignarse a sí mismo de forma explícita un rol de Azure para Azure Storage. Puede asignarlo al nivel de su suscripción, grupo de recursos, cuenta de almacenamiento o cola.
• Si la cuenta de almacenamiento se bloquea con un bloqueo de solo lectura de Azure Resource Manager, el bloqueo evita la asignación de roles de Azure que estén limitados a la cuenta de almacenamiento o a una cola.

Pasos siguientes

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
• Procedimientos recomendados para Azure RBAC