Comparteix a través de

Autorización del acceso a colas mediante las condiciones de asignación de roles de Azure

  • Article

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los niveles de acceso en función de atributos asociados con una solicitud de acceso como la entidad de seguridad, recursos, solicitudes y el propio entorno. Con ABAC, puede conceder a una entidad de seguridad acceso a un recurso en las condiciones de asignación de roles de Azure.

Importante

El control de acceso basado en atributos de Azure (Azure ABAC) está disponible con carácter general (GA) para controlar el acceso a Azure Blob Storage, Azure Data Lake Storage Gen2 y Azure Queues mediante request, resource, environmenty principal atributos en los niveles de rendimiento de la cuenta de almacenamiento estándar y premium. Actualmente, el atributo de recurso de metadatos del contenedor y el atributo de solicitud de inclusión de blobs de lista se encuentran en VERSIÓN PRELIMINAR. Para información completa sobre el estado de las características de ABAC para Azure Storage, consulte Estado de las características de condición en Azure Storage.

Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Introducción a las condiciones de Azure Storage

Puede usar Microsoft Entra ID (Microsoft Entra ID) para autorizar solicitudes a recursos de almacenamiento de Azure mediante Azure RBAC. Azure RBAC le ayuda a administrar el acceso a los recursos definiendo quién tiene acceso a los recursos y qué pueden hacer con esos recursos, usando definiciones de roles y asignaciones de roles. Azure Storage define un conjunto de roles integrados que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de almacenamiento de Azure. También puede definir roles personalizados con conjuntos de permisos seleccionados. Azure Storage admite asignaciones de roles para cuentas de almacenamiento y contenedores de blobs o colas.

Azure ABAC se basa en Azure RBAC con la adición de condiciones de asignación de roles en el contexto de acciones específicas. Una condición de asignación de roles es una comprobación adicional que se evalúa cuando se autoriza la acción en el recurso de almacenamiento. Esta condición se expresa como un predicado mediante atributos asociados a cualquiera de los siguientes:

  • Entidad de seguridad que solicita autorización
  • Recurso al que se solicita acceso
  • Parámetros de la solicitud
  • Entorno desde el que se origina la solicitud

Las ventajas de usar las condiciones de asignación de roles son:

  • Habilitar el acceso más preciso a los recursos: por ejemplo, si desea conceder a un usuario acceso para ver el código de los mensajes sin salir en una cola específica, puede usar DataAction para ver el código de mensajes sin salir y el atributo de almacenamiento de nombres de cola.
  • Reducir el número de asignaciones de roles que tiene que crear y administrar: para ello, use una asignación de roles generalizada para un grupo de seguridad y, después, restrinja el acceso de los miembros individuales del grupo con una condición que coincida con atributos de una entidad de seguridad con atributos de un recurso específico al que se tiene acceso (por ejemplo, una cola).
  • Reglas de control de acceso exprés en términos de atributos con significado empresarial: por ejemplo, puede expresar sus condiciones mediante atributos que representan un nombre de proyecto, una aplicación empresarial, una función de organización o un nivel de clasificación.

El inconveniente del uso de condiciones es que necesita una taxonomía estructurada y coherente al usar atributos en toda la organización. Los atributos deben estar protegidos para evitar que el acceso esté en peligro. Además, las condiciones deben diseñarse y revisarse minuciosamente por su efecto.

Atributos y operaciones admitidos

Para lograr estos objetivos, puede configurar condiciones en las asignaciones de roles de DataActions. Puede usar condiciones con un rol personalizado o seleccionar roles integrados. Tenga en cuenta que no se admiten condiciones para las acciones de administración mediante el proveedor de recursos de almacenamiento.

Puede agregar condiciones a roles integrados o roles personalizados. Los roles integrados en los que puede usar condiciones de asignación de roles incluyen:

Puede usar condiciones con roles personalizados siempre que el rol incluya acciones que admitan condiciones.

El formato de las condiciones de asignación de roles de Azure permite usar los atributos @Principal, @Resource o @Request en las condiciones. Un atributo @Principal es un atributo de seguridad personalizado en la entidad de seguridad, como un usuario, una aplicación empresarial (entidad de servicio) o una identidad administrada. Un atributo @Resource hace referencia a un atributo existente de un recurso de almacenamiento al que se accede, como una cuenta de almacenamiento o una cola. Un atributo @Request hace referencia a un atributo o parámetro incluido en una solicitud de operación de almacenamiento.

Azure RBAC admite actualmente 2000 asignaciones de roles en una suscripción. Si necesita crear miles de asignaciones de roles de Azure, es posible que encuentre este límite. Administrar cientos o miles de asignaciones de roles puede ser difícil. En algunos casos, puede usar condiciones para reducir el número de asignaciones de roles en su cuenta de almacenamiento y facilitar su administración. Puede escalar la administración de asignaciones de roles mediante condiciones y atributos de seguridad personalizados de Microsoft Entra para entidades de seguridad.

Pasos siguientes

Consulte también