Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Si necesita habilitar el tráfico desde un servicio de Azure fuera del límite de la red, puede agregar una excepción de seguridad de red. Esto resulta útil cuando un servicio de Azure funciona desde una red que no se puede incluir en la red virtual o en las reglas de red IP. Por ejemplo, es posible que algunos servicios necesiten leer los registros de recursos y las métricas de la cuenta. Puede permitir el acceso de lectura para archivos de registro, tablas de métricas o ambos mediante la creación de una excepción de regla de red. Estos servicios se conectan a la cuenta de almacenamiento mediante la autenticación segura.
Para obtener información sobre cómo agregar una excepción de seguridad de red, consulte Administración de excepciones de seguridad de red.
Acceso de confianza para los recursos registrados en el inquilino de Microsoft Entra
Los recursos de algunos servicios pueden acceder a la cuenta de almacenamiento para las operaciones seleccionadas, como escribir registros o ejecutar copias de seguridad. Estos servicios deben registrarse en una suscripción que se encuentre en el mismo inquilino de Microsoft Entra que la cuenta de almacenamiento. En la tabla siguiente se describen cada servicio y sus operaciones permitidas.
| Servicio | Nombre del proveedor de recursos | Operaciones permitidas |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Ejecute copias de seguridad y restauraciones de discos no administrados en máquinas virtuales de infraestructura como servicio (IaaS) (no necesarias para discos administrados). Más información. |
| Azure Data Box | Microsoft.DataBox |
Importe datos en Azure. Más información. |
| Explorador de Datos de Azure | Microsoft.Kusto |
Lea los datos para la ingesta y las tablas externas y escriba datos en tablas externas. Más información. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Cree imágenes personalizadas e instale artefactos. Más información. |
| Azure Event Grid | Microsoft.EventGrid |
Habilite la publicación de eventos de Azure Blob Storage y permita publicar en las colas de almacenamiento. |
| Azure Event Hubs | Microsoft.EventHub |
Archivar datos mediante Event Hubs Capture. Más información. |
| Azure File Sync | Microsoft.StorageSync |
Transforme el servidor de archivos local en una memoria caché para recursos compartidos de archivos de Azure. Esta funcionalidad permite la sincronización de varios sitios, la recuperación ante desastres rápida y la copia de seguridad en la nube. Más información. |
| Azure HDInsight | Microsoft.HDInsight |
Aprovisione el contenido inicial del sistema de archivos predeterminado para un nuevo clúster de HDInsight. Más información. |
| Azure Import/Export | Microsoft.ImportExport |
Importe datos a Azure Storage o exporte datos desde Azure Storage. Más información. |
| Azure Monitor | Microsoft.Insights |
Escriba datos de supervisión en una cuenta de almacenamiento protegida, incluidos los registros de recursos, los datos de Microsoft Defender para punto de conexión, los registros de inicio de sesión y de auditoría de Microsoft Entra y los registros de Microsoft Intune. Más información. |
| Servicios de redes de Azure | Microsoft.Network |
Almacene y analice los registros de tráfico de red, incluidos a través de Azure Network Watcher y los servicios de Azure Traffic Manager. Más información. |
| Recuperación del Sitio de Azure | Microsoft.SiteRecovery |
Habilite la replicación para la recuperación ante desastres de máquinas virtuales de IaaS de Azure al usar la caché habilitada para firewall, el origen o las cuentas de almacenamiento de destino. Más información. |
Acceso de confianza basado en una identidad administrada
En la tabla siguiente se enumeran los servicios que pueden acceder a los datos de la cuenta de almacenamiento si las instancias de recursos de esos servicios tienen los permisos adecuados.
| Servicio | Nombre del proveedor de recursos | Propósito |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Permite el acceso a las cuentas de almacenamiento. |
| Azure API Management | Microsoft.ApiManagement/service |
Permite el acceso a las cuentas de almacenamiento detrás de firewalls a través de directivas. Más información. |
| Sistemas autónomos de Microsoft | Microsoft.AutonomousSystems/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
| Caché de Azure para Redis | Microsoft.Cache/Redis |
Permite el acceso a las cuentas de almacenamiento. Más información. |
| Azure AI Search | Microsoft.Search/searchServices |
Habilita el acceso a las cuentas de almacenamiento con fines de indexación, proceso y consulta. |
| Servicios de Azure AI | Microsoft.CognitiveService/accounts |
Permite el acceso a las cuentas de almacenamiento. Más información. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Habilita la exportación a cuentas de almacenamiento detrás de un firewall. Más información. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Permite el acceso a las cuentas de almacenamiento. Los almacenes de SQL sin servidor requieren una configuración adicional. Más información. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Permite el acceso a las cuentas de almacenamiento a través del entorno de ejecución de Data Factory. |
| Explorador de Datos de Azure | Microsoft.Kusto/Clusters |
Lea los datos para la ingesta y las tablas externas y escriba datos en tablas externas. Más información. |
| Almacén de Azure Backup | Microsoft.DataProtection/BackupVaults |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Data Share (Compartición de Datos de Azure) | Microsoft.DataShare/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Base de Datos de Azure para PostgreSQL | Microsoft.DBForPostgreSQL |
Permite el acceso a las cuentas de almacenamiento. |
| Registro de dispositivos de Azure | Microsoft.DeviceRegistry/schemaRegistries |
Permite el acceso a las cuentas de almacenamiento. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
Permite que los datos de un centro de IoT se escriban en Blob Storage. Más información. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Fabric | Microsoft.Fabric |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Healthcare API | Microsoft.HealthcareApis/services |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Healthcare API | Microsoft.HealthcareApis/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Permite el acceso a las cuentas de almacenamiento. |
| HSM administrado por Azure Key Vault | Microsoft.keyvault/managedHSMs |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Más información. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Más información. |
| Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Permite a las áreas de trabajo autorizadas de Azure Machine Learning escribir los resultados del experimento, los modelos y los registros en Blob Storage y leer los datos. Más información. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Permite a las áreas de trabajo autorizadas de Azure Machine Learning escribir los resultados del experimento, los modelos y los registros en Blob Storage y leer los datos. Más información. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permite a las áreas de trabajo autorizadas de Azure Machine Learning escribir los resultados del experimento, los modelos y los registros en Blob Storage y leer los datos. Más información. |
| Azure Media Services | Microsoft.Media/mediaservices |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Permite el acceso a las cuentas de almacenamiento. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Purview | Microsoft.Purview/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Recuperación del Sitio de Azure | Microsoft.RecoveryServices/vaults |
Permite el acceso a las cuentas de almacenamiento. |
| Centro de Seguridad | Microsoft.Security/dataScanners |
Permite el acceso a las cuentas de almacenamiento. |
| Singularidad | Microsoft.Singularity/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Acciones de almacenamiento de Azure | Microsoft.Storageactions/Storagetasks |
Permite el acceso a las cuentas de almacenamiento. |
| Azure SQL Database | Microsoft.Sql |
Permite escribir datos de auditoría en cuentas de almacenamiento detrás de un firewall. |
| Servidores de Azure SQL | Microsoft.Sql/servers |
Permite escribir datos de auditoría en cuentas de almacenamiento detrás de un firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Permite la importación y exportación de datos de bases de datos SQL específicas mediante la instrucción COPY o PolyBase (en un grupo dedicado), así como la función openrowset y tablas externas en un grupo sin servidores. Más información. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Permite que los datos de un trabajo de streaming se escriban en Blob Storage. Más información. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Permite que los datos de un trabajo de streaming se escriban en Blob Storage. Más información. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permite el acceso a datos en Azure Storage. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Permite el acceso a las cuentas de almacenamiento. |
Si la cuenta no tiene habilitada la característica de espacio de nombres jerárquico, puede conceder permiso mediante la asignación explícita de un rol de Azure a la identidad administrada para cada instancia de recurso. En este caso, el ámbito de acceso de la instancia corresponde al rol de Azure asignado a la identidad administrada.
Puede usar la misma técnica para una cuenta que tenga habilitada la característica de espacio de nombres jerárquico. Sin embargo, no tiene que asignar un rol de Azure si agrega la identidad administrada asignada por el sistema a la lista de control de acceso (ACL) de cualquier directorio o blob que contiene la cuenta de almacenamiento. En ese caso, el ámbito de acceso de la instancia corresponde al directorio o archivo al que tiene acceso la identidad administrada.
También puede combinar roles y ACL de Azure para conceder acceso. Para más información, consulte Modelo de control de acceso de Azure Data Lake Storage.
Se recomienda usar reglas de instancia de recursos para conceder acceso a recursos específicos.