Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Monitor normalmente administra el almacenamiento automáticamente, pero algunos escenarios requieren que configure una cuenta de almacenamiento administrada por el cliente. En este artículo se describen los casos de uso, los requisitos y los procedimientos para configurar un vínculo de cuenta de almacenamiento administrado por el cliente a un área de trabajo de Log Analytics.
| Escenarios que requieren una cuenta de almacenamiento administrada por el cliente |
|---|
| Vínculos privados usados para la ingesta de registros personalizada o IIS |
| Cifrado de datos de consultas de alertas de registro y consultas guardadas mediante una clave administrada por el cliente (CMK) |
El contenido de registro personalizado cargado en cuentas de almacenamiento administradas por el cliente podría cambiar de formato u otras formas inesperadas. Considere detenidamente las dependencias de este contenido y comprenda las circunstancias especiales para su caso de uso.
Prerrequisitos
Advertencia
A partir del 30 de junio de 2025, la creación o actualización de registros personalizados y las cuentas de almacenamiento vinculadas de registros de IIS ya no estarán disponibles. Las cuentas de almacenamiento existentes se desvincularán el 1 de noviembre de 2025. Se recomienda encarecidamente migrar a un agente de Azure Monitor para evitar perder datos. Para obtener más información, consulte la Información general del agente de Azure Monitor.
Advertencia
A partir del 31 de agosto de 2026, las áreas de trabajo de Log Analytics deben tener asignada una identidad administrada (MSI) para agregar o actualizar cuentas de almacenamiento vinculadas para consultas guardadas y consultas de alertas de registro guardadas. Para más información, consulte Vinculación de cuentas de almacenamiento al área de trabajo de Log Analytics.
| Acción | Permiso necesario |
|---|---|
| Administración de cuentas de almacenamiento vinculadas para un área de trabajo |
Microsoft.OperationalInsights/workspaces/write - ámbito del área de trabajo Por ejemplo, según lo que proporciona el rol integrado, Colaborador de Log Analytics. |
| Asignación de cualquier identidad administrada a un área de trabajo |
Microsoft.OperationalInsights/workspaces/write - ámbito del área de trabajo Por ejemplo, según lo que proporciona el rol integrado, Colaborador de Log Analytics. |
| Administración de una identidad administrada asignada por el usuario para un área de trabajo |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action : ámbitode identidad Por ejemplo, tal como lo proporcionan los roles integrados, el operador de identidad administrada o el colaborador de identidad administrada. |
| Permisos mínimos para la identidad administrada en la cuenta de almacenamiento | Colaborador de datos de tabla de almacenamiento. |
Además, la cuenta de almacenamiento vinculada debe estar en la misma región que el área de trabajo.
Vínculos privados
Las cuentas de almacenamiento administradas por el cliente se utilizan para ingerir registros personalizados cuando se usan vínculos privados a fin de conectarse a recursos de Azure Monitor. En primer lugar, el proceso de ingesta de estos tipos de datos carga los registros en una cuenta intermedia de Azure Storage, y solo entonces se ingieren en un espacio de trabajo.
Requisitos del área de trabajo
Al conectarse a Azure Monitor mediante un vínculo privado, el agente de Azure Monitor solo puede enviar registros a las áreas de trabajo accesibles mediante un vínculo privado. Este requisito significa que debe:
- Configurar un objeto de ámbito de Private Link de Azure Monitor (AMPLS).
- Conéctalo a tus espacios de trabajo.
- Conectar el AMPLS a la red a través de un vínculo privado
Para más información sobre el procedimiento para la configuración de AMPLS, consulte Uso de Azure Private Link para conectar redes a Azure Monitor de forma segura.
Requisitos de la cuenta de almacenamiento para el enlace privado
Cuando se conecta a Azure Monitor a través de un vínculo privado, la cuenta de almacenamiento debe ser accesible a través de un vínculo privado. Esto implica que usted debe: Para que la cuenta de almacenamiento se conecte a su enlace privado, es necesario que:
Encontrarse en la red virtual o en una red emparejada y conectada a la red virtual mediante un vínculo privado.
Permitir que Azure Monitor tenga acceso a la cuenta de almacenamiento. Para permitir que solo redes específicas tengan acceso a la cuenta de almacenamiento, seleccione la excepción: Permitir que los servicios de Microsoft de confianza accedan a esta cuenta de almacenamiento.
Si el área de trabajo controla el tráfico de otras redes, configure la cuenta de almacenamiento para permitir el tráfico entrante procedente de las redes pertinentes o de Internet.
Coordine la versión de TLS entre los agentes y la cuenta de almacenamiento. Se recomienda enviar datos a registros de Azure Monitor usando TLS 1.2 o una versión superior. Si es necesario, configure los agentes para que usen TLS. Si no es posible, configure la cuenta de almacenamiento para que acepte TLS 1.2.
Cifrado de datos de clave administrada por el cliente
Azure Storage cifra todos los datos en reposo de una cuenta de almacenamiento. De manera predeterminada, usa claves administradas por Microsoft (MMK) para cifrar los datos. Sin embargo, Azure Storage también le permite usar una clave administrada por el cliente (CMK) de Azure Key Vault para cifrar los datos de almacenamiento. Importe sus propias claves en Key Vault o use las API de Key Vault para generar claves.
Se requiere una cuenta de almacenamiento administrada por el cliente para lo siguiente:
- Cifrar consultas de alertas de registro con CMK.
- Cifrar consultas guardadas con CMK
Configure la cuenta de almacenamiento para usar CMK con Key Vault. Para más información, consulte Configuración de claves administradas por el cliente para Azure Storage.
Consideraciones para el almacenamiento administrado por el cliente con CMK
Advertencia
Al vincular una cuenta de almacenamiento para consultas, todas las consultas y funciones se quitan permanentemente del área de trabajo y se almacenan en una tabla de la cuenta de almacenamiento. Antes de iniciar esta operación, haga clic en Exportar plantilla en Automation en el área de trabajo para guardar las consultas y las funciones.
La cuenta de almacenamiento y el almacén de claves deben estar en la misma región. Sin embargo, no necesitan ser de la misma suscripción. Para más información, consulte Cifrado de Azure Storage para datos en reposo.
| Caso especial | Remediación |
|---|---|
| Cuando una cuenta de almacenamiento está vinculada para consultas, las consultas y funciones guardadas existentes en el área de trabajo se eliminan permanentemente para la privacidad y se mueven a una tabla de la cuenta de almacenamiento. | Copie las consultas guardadas existentes antes de configurar el vínculo de almacenamiento. Este es un ejemplo con PowerShell. Puede desvincular la cuenta de almacenamiento para las consultas, para volver a mover las consultas guardadas y las funciones al área de trabajo. Actualice el explorador si las consultas no se han guardado o si las funciones no se muestran en el Portal de Azure después de la operación. |
| Las consultas guardadas en los paquetes de consultas no se cifran con CMK. | Seleccione Guardar como consulta heredada al guardar consultas para protegerlas con CMK. |
| Las consultas guardadas y las alertas de búsqueda de registros no se cifran en el almacenamiento administrado por el cliente de forma predeterminada. | Cifre la cuenta de almacenamiento con CMK en la creación de la cuenta de almacenamiento, aunque CMK se pueda configurar después. |
| Se puede usar una sola cuenta de almacenamiento storageV2 para todos los fines: consultas, alertas, registros personalizados y registros de IIS. | La vinculación del almacenamiento para los registros personalizados y los registros de IIS puede requerir más cuentas de almacenamiento (hasta 5 por área de trabajo) para la escala, en función de la tasa de ingesta y los límites de almacenamiento. Tenga en cuenta que todo el almacenamiento administrado por el cliente para los registros personalizados y los registros de IIS se desvincularán el 1 de noviembre de 2025. |
Vinculación de cuentas de almacenamiento al área de trabajo de Log Analytics
Los siguientes requisitos se aplicarán antes del 31 de agosto de 2026.
| Próximo requisito | Descripción |
|---|---|
| Identidad administrada asignada al área de trabajo | La creación de nuevos vínculos a cuentas de almacenamiento administradas por el cliente cuando no se asigne ninguna identidad administrada se bloqueará para todas las áreas de trabajo, incluida la actualización de vínculos existentes. |
| Cuenta de almacenamiento configurada con asignación de roles para la identidad administrada | La creación de nuevos vínculos a cuentas de almacenamiento administradas por el cliente cuando la cuenta de almacenamiento no tiene una asignación de roles para la identidad administrada se bloqueará para todas las áreas de trabajo, incluida la actualización de vínculos existentes. |
Crea una identidad administrada
Prepárese para el próximo cambio de cumplimiento mediante la configuración del área de trabajo con una identidad administrada.
Hasta ese cumplimiento, el área de trabajo no usa la identidad administrada para la autenticación en el almacenamiento privado. No quite el método de autenticación existente hasta que se realice el anuncio de que las identidades administradas están habilitadas para la autenticación en el almacenamiento privado.
Cree o actualice el área de trabajo con una identidad administrada mediante uno de estos métodos:
- La configuración de Identidad de las áreas de trabajo de Log Analytics de Azure Portal
- Bíceps
- API DE REST.
- CLI de Azure.
Para más información, consulte ¿Qué son las identidades administradas para los recursos de Azure?.
Adición de una asignación de roles
Una vez asignada la identidad administrada al área de trabajo, actualice la cuenta de almacenamiento para permitir el acceso a la identidad administrada. Asigne esa identidad al rol Colaborador de datos de tabla de almacenamiento en la cuenta de almacenamiento para permitir que el área de trabajo acceda a las consultas guardadas y a las consultas de alertas de registro. Tenga en cuenta los permisos necesarios para asignar identidades administradas y administrar identidades asignadas por el usuario.
Adición del vínculo
En Azure Portal, abra el menú del área de trabajo y seleccione Cuentas de almacenamiento vinculadas. La cuenta de almacenamiento vinculada se muestra para cada tipo.
Al seleccionar un tipo o el icono de conexión, se abren los detalles del vínculo de la cuenta de almacenamiento para configurar o actualizar la cuenta de almacenamiento vinculada para este tipo. Use la misma cuenta de almacenamiento para varios tipos para reducir la complejidad.
Administración de cuentas de almacenamiento vinculadas
Siga estas instrucciones para administrar las cuentas de almacenamiento vinculadas.
Creación o modificación de un vínculo
Una vez que vincule una cuenta de almacenamiento a un área de trabajo, los registros de Azure Monitor comienzan a usarla en lugar de la cuenta de almacenamiento propiedad del servicio. Puedes:
- Registrar varias cuentas de almacenamiento para distribuir la carga de registros entre ellas
- Reutilizar la misma cuenta de almacenamiento para varias áreas de trabajo
Desvinculación de una cuenta de almacenamiento
Para dejar de usar una cuenta de almacenamiento, desvincule el almacenamiento del área de trabajo. Al desvincular todas las cuentas de almacenamiento de un área de trabajo, los registros de Azure Monitor usan cuentas de almacenamiento administradas por el servicio. Si la red tiene acceso limitado a Internet, es posible que estos almacenamientos no estén disponibles y que se produzca un error en cualquier escenario que se base en el almacenamiento.
Reemplazo de una cuenta de almacenamiento
Para reemplazar una cuenta de almacenamiento usada para la ingesta, realice lo siguiente:
- Cree un vínculo a una nueva cuenta de almacenamiento. Los agentes de registro obtienen la configuración actualizada y comienzan a enviar datos al nuevo almacenamiento. El proceso puede tardar unos minutos.
- Desvincule la cuenta de almacenamiento antigua para que los agentes detengan la escritura en la cuenta eliminada. El proceso de ingesta sigue leyendo los datos de esta cuenta hasta que se realice la ingesta de todos ellos. No elimine la cuenta de almacenamiento hasta que vea que se han ingerido todos los registros.
Mantenimiento de las cuentas de almacenamiento
Siga estas instrucciones para mantener las cuentas de almacenamiento.
Administración de la retención de registros
Cuando utiliza su propia cuenta de almacenamiento, usted decide el periodo de retención. Los registros de Azure Monitor no eliminan los registros almacenados en el almacenamiento privado. En su lugar, debe configurar una directiva para controlar la carga según sus preferencias.
Consideración de la carga
Las cuentas de almacenamiento pueden manejar cierta carga de solicitudes de lectura y escritura antes de comenzar a limitar las solicitudes. Para obtener más información, vea Objetivos de escalabilidad y rendimiento de Azure Blob Storage.
La limitación afecta al tiempo que se tarda en ingerir registros. Si la cuenta de almacenamiento está sobrecargada, registre otra cuenta de almacenamiento para distribuir la carga entre ellas. Para supervisar la capacidad y el rendimiento de la cuenta de almacenamiento, revise su Información en Azure Portal.
Cargos relacionados
Se le cobra por las cuentas de almacenamiento en función del volumen de datos almacenados, el tipo de almacenamiento y el tipo de redundancia. Para obtener más información, vea Precios de blobs en bloques y Precios de Azure Table Storage.
Pasos siguientes
- Información sobre el uso de Private Link para conectar redes a Azure Monitor de forma segura.
- Información sobre las claves administradas por el cliente de Azure Monitor.