Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El Explorador de Microsoft Azure Storage permite trabajar de manera sencilla y segura con los datos de Azure Storage en Windows, macOS y Linux. Si sigue las instrucciones de abajo, puede asegurarse de que los datos se mantengan protegidos.
General
- Use siempre la versión más reciente del Explorador de Storage. Las versiones del Explorador de Storage pueden contener actualizaciones de seguridad. Por tanto, mantenerlo actualizado ayuda a garantizar la seguridad general.
- Conéctese solo a recursos en los que confíe. Los datos que descargue de orígenes que no son de confianza podrían ser malintencionados y cargar datos en un origen que no es de confianza podrían dar lugar a datos perdidos o robados.
- Use HTTPS siempre que sea posible. De forma predeterminada, el Explorador de Storage usa HTTPS. Algunos escenarios permiten usar HTTP, pero este protocolo solo debe usarse como último recurso.
- Asegúrese de que solo se conceden los permisos necesarios a las personas que los necesiten. Evite ser demasiado permisivo al conceder a cualquiera acceso a los recursos.
- Tenga cuidado al ejecutar operaciones críticas. Algunas operaciones, como eliminar y sobrescribir, son irreversibles y pueden provocar pérdida de datos. Asegúrese de que está trabajando con los recursos correctos antes de ejecutar estas operaciones.
Selección del método de autenticación adecuado
El Explorador de Storage ofrece varias formas de acceder a los recursos de Azure Storage. Sea cual sea el método que elija, estas son nuestras recomendaciones.
Autenticación de Microsoft Entra
La forma más sencilla y segura de acceder a los recursos de Azure Storage es iniciar sesión con una cuenta de Azure. Al hacerlo, se usa la autenticación de Microsoft Entra, que permite lo siguiente:
- Conceder acceso a usuarios y grupos específicos
- Revocar el acceso a usuarios y grupos específicos en cualquier momento
- Aplique condiciones de acceso, como requerir autenticación multifactor.
Se recomienda usar la autenticación de Microsoft Entra siempre que sea posible.
En esta sección se describen las dos tecnologías basadas en identificadores de Microsoft Entra que se pueden usar para proteger los recursos de almacenamiento:
- Control de acceso basado en roles de Azure (RBAC de Azure)
- Listas de control de acceso (ACL)
Control de acceso basado en roles de Azure
Azure RBAC proporciona un control de acceso específico sobre los recursos de Azure. Los roles y permisos de Azure se pueden administrar desde Azure Portal.
Puede obtener más información sobre RBAC de Azure; consulte Control de acceso basado en rol de Azure (RBAC de Azure).
El Explorador de Azure Storage admite el acceso Azure RBAC a cuentas de almacenamiento, Blobs, colas y tablas. Si necesita acceso a recursos compartidos de archivos, debe asignar roles de Azure que concedan permiso para enumerar las claves de la cuenta de almacenamiento.
Listas de control de acceso
Listas de control de acceso (ACL) permiten controlar el acceso de nivel de archivo y carpeta en contenedores de blobs de ADLS. Puede administrar las ACL con el Explorador de Storage.
Firmas de acceso compartido (SAS)
Si no puede usar la autenticación de Microsoft Entra, se recomienda usar firmas de acceso compartido. Con las firmas de acceso compartido, puede hacer lo siguiente:
- Proporcionar acceso limitado anónimo a recursos seguros.
- Revocar una SAS inmediatamente si se generó a partir de una directiva de acceso compartido (SAP).
Sin embargo, con las firmas de acceso compartido, no puede realizar ninguna de las siguientes operaciones:
- Restringir quién puede usar una SAS. Cualquier persona que tenga una SAS válida puede usarla.
- Revocar una SAS si no se generó a partir de una SAP.
Al usar SAS en el Explorador de Storage, se recomiendan las siguientes directrices:
- Limite la distribución de tokens y URI de SAS. Distribuya solo los tokens y URI de SAS a usuarios de confianza. Al limitar la distribución de SAS, se reduce la posibilidad de que se pueda usar incorrectamente una SAS.
- Use solo tokens y URI de SAS de entidades en las que confíe.
- Use las SAP al generar tokens y URI de SAS si es posible. Una SAS basada en una directiva de acceso compartido es más segura que una SAS básica, ya que una SAS se puede revocar eliminando una SAP.
- Genere tokens con permisos y acceso mínimos a recursos. Los permisos mínimos limitan los posibles daños que podrían producirse si se usa incorrectamente una SAS.
- Genere tokens que solo sean válidos durante el tiempo que sea necesario. Que tengan una duración corta es especialmente importante en el caso de las SAS básicas, ya que no hay manera de revocarlas una vez que se han generado.
Importante
Al compartir tokens y URI de SAS para solucionar problemas, como en solicitudes de servicio o informes de errores, debe ocultar siempre al menos la parte de la firma de la SAS.
Claves de cuenta de almacenamiento
Las claves de cuenta de almacenamiento conceden acceso no restringido a los servicios y recursos de una cuenta de almacenamiento. Por esta razón, se recomienda limitar el uso de las claves para acceder a los recursos del Explorador de Storage. En su lugar, use las características de Azure RBAC o SAS para proporcionar acceso.
Algunos roles de Azure conceden permiso para recuperar claves de cuentas de almacenamiento. Los usuarios con estos roles pueden eludir de manera eficaz los permisos concedidos o denegados mediante Azure RBAC. Se recomienda no conceder este permiso, a menos que sea necesario.
El Explorador de Storage intenta usar claves de cuenta de almacenamiento, si está disponible, para autenticar solicitudes. Puede deshabilitar esta característica en "Configuración" (Servicios > Cuentas de almacenamiento > Deshabilitar el uso de claves). Algunas características no son compatibles con Azure RBAC, como trabajar con cuentas de almacenamiento clásicas. Esta configuración no afecta a las características que todavía requieren claves.
Si debe usar claves para tener acceso a los recursos de almacenamiento, se recomiendan las siguientes directrices:
- No comparta sus claves de cuenta con nadie.
- Trate las claves de cuenta de almacenamiento como si fueran contraseñas. Si sus claves deben estar accesibles, use soluciones de almacenamiento seguro como Azure Key Vault.
Nota:
Si cree que una clave de cuenta de almacenamiento se ha compartido o distribuido involuntariamente, puede generar nuevas claves para la cuenta de almacenamiento desde Azure Portal.
Acceso anónimo a contenedores de blobs
El Explorador de Storage permite modificar el nivel de acceso de los contenedores de Azure Blob Storage. Los contenedores de blobs no privados permiten que cualquiera tenga acceso de lectura anónimo a los datos de esos contenedores.
Al habilitar el acceso anónimo a un contenedor de blobs, se recomiendan las siguientes directrices:
- No habilite el acceso anónimo a un contenedor de blobs que pueda contener datos potencialmente confidenciales. Asegúrese de que el contenedor de blobs no tenga datos privados.
- No cargue datos potencialmente confidenciales en un contenedor de blobs con acceso a blobs o contenedores.