Asignación de un rol de Azure para acceder a datos de blobs

Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure (Azure RBAC). Azure Storage define un conjunto de roles integrados de Azure que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de blob.

Cuando un rol de Azure se asigna a una entidad de seguridad de Microsoft Entra, Azure concede a esa entidad de seguridad acceso a los recursos. Una entidad de seguridad de Microsoft Entra puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada para los recursos de Azure.

Para obtener más información sobre el uso de Microsoft Entra ID para autorizar el acceso a los datos de tablas, consulte Autorización del acceso a tablas con Microsoft Entra ID.

Nota

En este artículo se muestra cómo asignar un rol de Azure para el acceso a los datos de blob en una cuenta de almacenamiento. Para obtener información sobre la asignación de roles para las operaciones de administración en Azure Storage, consulte Uso del proveedor de recursos de Azure Storage para acceder a los recursos de administración.

Asignación de un rol de Azure

Puede usar Azure Portal, PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager para asignar un rol para el acceso a datos.

Azure Portal

Para acceder a los datos de colas en Azure Portal con las credenciales de Microsoft Entra, un usuario debe tener las siguientes asignaciones de roles:

• Un rol de acceso a datos, como Lector de datos de Storage Blob o Colaborador de datos de Storage Blob.
• El rol Lector de Azure Resource Manager, como mínimo.

Para obtener información sobre cómo asignar estos roles a un usuario, siga las instrucciones proporcionadas en Asignación de roles de Azure mediante Azure Portal.

El rol Lector es un rol de Azure Resource Manager que permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan navegar a contenedores de blobs en Azure Portal.

Por ejemplo, si asigna el rol Colaborador de datos de Storage Blob al usuario María en el nivel de un contenedor denominado contenedor-ejemplo, María tendrá acceso de lectura, escritura y eliminación en todos los blobs de ese contenedor. Sin embargo, si Mary quiere ver un blob en Azure Portal, el rol colaborador de datos de Blob Storage por sí mismo no proporcionará permisos suficientes para navegar por el portal al blob para verlo. Se necesitan más permisos para desplazarse por Portal y ver los otros recursos que estén visibles allí.

A un usuario se le debe asignar el rol Lector para usar Azure Portal con las credenciales de Microsoft Entra. Sin embargo, si a un usuario se le asigna un rol con permisos microsoft.Storage/storageAccounts/listKeys/action, el usuario puede usar el portal con las claves de la cuenta de almacenamiento, a través de la autorización de clave compartida. Para usar las claves de cuenta de almacenamiento, se debe permitir el acceso a la clave compartida para la cuenta de almacenamiento. Para obtener más información sobre cómo permitir o no el acceso a la clave compartida, consulte Impedir la autorización con clave compartida para una cuenta Azure Storage.

También puede asignar un rol de Azure Resource Manager que proporciona permisos adicionales más allá del rol Lector. La asignación de los permisos mínimos posibles se recomienda como procedimiento recomendado de seguridad. Para más información, consulte Procedimientos recomendados para Azure RBAC.

Nota

Antes de asignarse a sí mismo un rol para el acceso a los datos, puede acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, ya que este también puede usar la clave de cuenta para el acceso a los datos. Para obtener más información, vea Elección de la forma de autorizar el acceso a los datos de blob en Azure Portal.

PowerShell

Para asignar un rol de Azure a una entidad de seguridad con PowerShell, llame al comando New-AzRoleAssignment. Para ejecutar el comando, debe tener un rol que incluya Microsoft.Authorization/roleAssignments/write permisos asignados en el ámbito correspondiente o superior.

El formato del comando puede variar según el ámbito de la asignación, pero -ObjectId y -RoleDefinitionName son parámetros obligatorios. Se recomienda encarecidamente pasar un valor para el parámetro -Scope aunque no sea necesario, para conservar el principio de privilegios mínimos. Al limitar los roles y los ámbitos, también se limitan los recursos en riesgo si la entidad de seguridad llegara a verse comprometida.

El parámetro -ObjectId es el identificador de objeto de Microsoft Entra del usuario, grupo o entidad de servicio al que se asigna el rol. Para recuperar el identificador, puede usar Get-AzADUser para filtrar los usuarios de Microsoft Entra, tal como se muestra en el ejemplo siguiente.

Azure PowerShell

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

La primera respuesta devuelve la entidad de seguridad y la segunda el id. de objeto de la entidad de seguridad.

Response

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

El valor del parámetro -RoleDefinitionName es el nombre del rol RBAC que debe asignarse a la entidad de seguridad. Para acceder a los datos de colas en Azure Portal con las credenciales de Microsoft Entra, un usuario debe tener las siguientes asignaciones de roles:

• Un rol de acceso a datos, como el de Colaborador de datos de Storage Blob o Lector de datos de Storage Blob.
• El rol Lector de Azure Resource Manager

Para asignar un rol con ámbito a un contenedor de blobs o a una cuenta de almacenamiento, debe especificar una cadena que contenga el ámbito del recurso para el parámetro -Scope. Esta acción se ajusta al principio de privilegio mínimo, que es un concepto de seguridad de la información en el que un usuario tiene el nivel mínimo de acceso requerido para realizar sus funciones laborales. Esta práctica reduce el riesgo potencial de daños accidentales o intencionados que pueden causar los privilegios innecesarios.

El ámbito de un contenedor tiene este formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

El ámbito de una cuenta de almacenamiento tiene este formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Para asignar un rol cuyo ámbito es una cuenta de almacenamiento, especifique una cadena que contenga el ámbito del contenedor en el parámetro --scope.

En el ejemplo siguiente a un usuario se le asigna el rol Colaborador de datos de Storage Blob. La asignación de roles se limita al nivel del contenedor. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares (<>) por los suyos propios:

PowerShell

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

En el siguiente ejemplo se asigna el rol Lector de datos de Storage Blob a un usuario; para ello, se especifica el id. de objeto. La asignación de roles se limita al nivel de la cuenta de almacenamiento. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares (<>) por los suyos propios:

PowerShell

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

La salida debe ser similar a la siguiente:

Response

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Para obtener más información sobre cómo asignar roles con PowerShell en el ámbito de la suscripción o el grupo de recursos, consulte Asignación de roles de Azure mediante Azure PowerShell.

CLI de Azure

Para asignar un rol de Azure a una entidad de seguridad con la CLI de Azure, use el comando az role assignment create. El formato del comando puede variar en función del ámbito de la asignación. Para ejecutar el comando, debe tener un rol que incluya Microsoft.Authorization/roleAssignments/write permisos asignados en el ámbito correspondiente o superior.

Para asignar un rol cuyo ámbito es un contenedor, especifique una cadena que contenga el ámbito del contenedor en el parámetro --scope. El ámbito de un contenedor tiene este formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

En el ejemplo siguiente a un usuario se le asigna el rol Colaborador de datos de Storage Blob. La asignación de roles se limita al nivel del contenedor. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares (<>) por los suyos propios:

Azure CLI

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

En el siguiente ejemplo se asigna el rol Lector de datos de Storage Blob a un usuario; para ello, se especifica el id. de objeto. Para obtener más información sobre los parámetros --assignee-object-id y --assignee-principal-type, consulte az role assignment. En este ejemplo, la asignación de roles se limita al nivel de la cuenta de almacenamiento. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares (<>) por los suyos propios:

Azure CLI

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Para obtener información sobre cómo asignar roles con la CLI de Azure en el ámbito de la suscripción, el grupo de recursos o la cuenta de almacenamiento, consulte Asignación de roles de Azure mediante la CLI de Azure.

Plantilla

Para obtener información sobre cómo usar una plantilla de Azure Resource Manager para asignar un rol de Azure, consulte Asignación de roles de Azure mediante plantillas de Azure Resource Manager.

Tenga en cuenta los siguientes puntos sobre las asignaciones de roles de Azure en Azure Storage:

• Al crear una cuenta de Azure Storage, no se le asignan automáticamente permisos para acceder a los datos a través de Microsoft Entra ID. Tiene que asignarse a sí mismo de forma explícita un rol de Azure para Azure Storage. Puede asignarlo al nivel de su suscripción, grupo de recursos, cuenta de almacenamiento o un contenedor.
• Al asignar roles o quitar asignaciones de roles, los cambios pueden tardar hasta 10 minutos en aplicarse.
• Los roles integrados con acciones de datos se pueden asignar en el grupo de administración ámbito. Sin embargo, en escenarios poco frecuentes puede haber un retraso significativo (hasta 12 horas) antes de que los permisos de acción de datos sean efectivos para determinados tipos de recursos. Los permisos se aplicarán finalmente. En el caso de los roles integrados con acciones de datos, no se recomienda agregar o quitar asignaciones de roles en el ámbito del grupo de administración en escenarios en los que se requiera la activación o revocación oportunas de permisos, como Microsoft Entra Privileged Identity Management (PIM).
• Si la cuenta de almacenamiento se bloquea con un bloqueo de solo lectura de Azure Resource Manager, el bloqueo evita la asignación de roles de Azure que tienen como ámbito la cuenta de almacenamiento o un contenedor.
• Si establece los permisos adecuados para permitir el acceso a los datos a través de Microsoft Entra ID y no puede acceder a los datos, por ejemplo, recibe un error "AuthorizationPermissionMismatch". Asegúrese de permitir tiempo suficiente para los cambios de permisos realizados en Microsoft Entra ID para replicar y asegúrese de que no tiene ninguna asignación de denegación que bloquee el acceso, vea Descripción de las asignaciones de denegación de Azure.

Nota

Puede crear roles RBAC de Azure personalizados para que se pueda realizar un acceso pormenorizado a los datos de blobs. Para más información, consulte Roles personalizados de Azure.

Pasos siguientes

• ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
• Procedimientos recomendados para Azure RBAC