Compartir a través de


Roles de Azure para tareas de almacenamiento

Este artículo describe los roles integrados de Azure con menos privilegios o acciones RBAC necesarias para leer, actualizar, eliminar y asignar una tarea de almacenamiento.

Importante

Las acciones de Azure Storage se encuentran actualmente en versión preliminar y están disponibles en estas regiones. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Permiso para leer, editar o eliminar una tarea

Debe asignar un rol a cualquier entidad de seguridad de su organización que necesite acceso a la tarea de almacenamiento. Para obtener información sobre cómo asignar un rol de Azure, consulte Asignar roles de Azure mediante Azure Portal.

Para conceder a los usuarios o aplicaciones acceso a la tarea de almacenamiento, elija un rol integrado o personalizado de Azure que tenga el permiso necesario para editar la tarea de lectura o edición. Si prefiere utilizar una función personalizada, asegúrese de que su función contenga las acciones RBAC necesarias para leer o editar la tarea. Usa la siguiente tabla como guía.

Nivel de permiso Rol integrado de Azure Acciones de RBAC para roles personalizados
Enumerar y leer tareas de almacenamiento Contributor Microsoft.StorageActions/storageTasks/read
Crear y actualizar tareas de almacenamiento Contributor Microsoft.StorageActions/storageTasks/write
Eliminar tareas de almacenamiento Contributor Microsoft.StorageActions/storageTasks/delete

Permiso para asignar una tarea

Una asignación de tarea identifica una cuenta de almacenamiento y un subconjunto de objetos en esa cuenta a los que se dirigirá la tarea de almacenamiento. Una asignación también define cuándo se ejecuta la tarea y dónde se almacenan los informes de ejecución. Para obtener instrucciones paso a paso, consulte Crear y administrar una asignación de tareas de almacenamiento.

Para crear una asignación, a la identidad se le debe asignar un rol personalizado que contenga las siguientes acciones de RBAC:

  • La acción Microsot.Authorization.roleAssignments/write.

  • Todas las acciones RBAC que están disponibles en el conjunto Microsoft.Storage/StorageAccounts de acciones RBAC.

Para obtener información sobre cómo crear un rol personalizado, consulte Roles personalizados de Azure.

Permiso para que una tarea realice operaciones

Al crear una asignación, debe elegir un rol integrado o personalizado de Azure que tenga el permiso necesario para realizar las operaciones especificadas en la cuenta de almacenamiento de destino o en el contenedor de cuentas de almacenamiento. Solo puede elegir roles asignados a su identidad de usuario. Si prefiere usar un rol personalizado, debe asegurarse de que el rol contiene las acciones de RBAC necesarias para realizar las operaciones.

En la tabla siguiente se muestran los roles integrados de Azure con privilegios mínimos, así como las acciones de RBAC necesarias para cada operación.

Permiso Rol integrado Acciones de RBAC para un rol personalizado
SetBlobTier Propietario de datos de blobs de almacenamiento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobExpiry Propietario de datos de blobs de almacenamiento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobTags Propietario de datos de blobs de almacenamiento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobImmutabilityPolicy Propietario de datos de blobs de almacenamiento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
SetBlobLegalHold Propietario de datos de blobs de almacenamiento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
DeleteBlob Propietario de datos de blobs de almacenamiento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
UndeleteBlob Propietario de datos de blobs de almacenamiento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write

Consulte también