Configuración de redes virtuales y firewalls de Azure Storage

Azure Storage proporciona un modelo de seguridad por capas. Este modelo le permite controlar el nivel de acceso a las cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, en función del tipo y el subconjunto de redes o recursos que usa.

Cuando configura las reglas de red, solo las aplicaciones que solicitan datos en el conjunto especificado de redes o a través del conjunto especificado de recursos de Azure pueden acceder a una cuenta de almacenamiento. Puede limitar el acceso a su cuenta de almacenamiento a las solicitudes procedentes de direcciones IP especificadas, intervalos IP, subredes en una red virtual de Azure o instancias de recursos de algunos servicios de Azure.

Las cuentas de almacenamiento tienen un punto de conexión público accesible a través de Internet. También puede crear puntos de conexión privados para la cuenta de almacenamiento. La creación de puntos de conexión privados asigna una dirección IP privada desde la red virtual a la cuenta de almacenamiento. Esto ayuda a proteger el tráfico entre la red virtual y la cuenta de almacenamiento a través de un vínculo privado.

El firewall de Azure Storage proporciona control de acceso para el punto de conexión público de la cuenta de almacenamiento. También puede usar el firewall para bloquear todo el acceso a través del punto de conexión público al usar puntos de conexión privados. La configuración del firewall también permite que los servicios de la plataforma de Azure de confianza accedan a la cuenta de almacenamiento.

Una aplicación que accede a una cuenta de almacenamiento cuando las reglas de red están en vigor aún requiere la autorización adecuada para la solicitud. La autorización es compatible con las credenciales de Azure Active Directory (Azure AD) para blobs y colas, con una clave de acceso de cuenta válida o un token de firma de acceso compartido (SAS). Cuando configura un contenedor de blob para el acceso público anónimo, no es necesario autorizar las solicitudes para leer datos en ese contenedor. Las regla de firewall seguirán vigentes y bloquearán el tráfico anónimo.

La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de red virtual de Azure o desde direcciones IP públicas permitidas. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, y desde los servicios de registro y métricas.

Puede conceder acceso a los servicios de Azure que funcionan desde una red virtual al permitir el tráfico de la subred que hospeda la instancia de servicio. También puede habilitar un número limitado de escenarios a través del mecanismo de excepciones que describe este artículo. Para acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, deberá estar en una máquina situada dentro del límite de confianza (IP o red virtual) que haya configurado.

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Escenarios

Para proteger la cuenta de almacenamiento, primero debe configurar una regla para denegar el acceso al tráfico desde todas las redes (incluido el tráfico de Internet) en el punto de conexión público de forma predeterminada. A continuación, debe configurar las reglas que conceden acceso al tráfico desde redes virtuales específicas. También puede configurar reglas para conceder acceso al tráfico desde intervalos de direcciones IP de Internet públicos seleccionados, lo que permite habilitar conexiones desde clientes locales o específicos de Internet. Esta configuración le ayuda a crear un límite de red seguro para las aplicaciones.

Puede combinar reglas de firewall que permitan el acceso desde redes virtuales específicas y desde intervalos de direcciones IP públicas en la misma cuenta de almacenamiento. Puede aplicar reglas de firewall de almacenamiento a cuentas de almacenamiento existente o crear nuevas cuentas de almacenamiento.

Las reglas de firewall de almacenamiento se aplican al punto de conexión público de una cuenta de almacenamiento. No se necesitan reglas de acceso de firewall para permitir el tráfico de los puntos de conexión privados de una cuenta de almacenamiento. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado.

Se aplican reglas de red en todos los protocolos de red para Azure Storage, incluidos REST y SMB. Para tener acceso a los datos mediante herramientas como Azure Portal, el Explorador de Storage y AzCopy, debe configurar reglas de red explícitas.

Después de aplicar reglas de red, se aplican para todas las solicitudes. Los tokens de SAS que conceden acceso a una dirección IP específica sirven para limitar el acceso del titular del token, pero no conceden un acceso nuevo más allá de las reglas de red configuradas.

Las reglas de red no afectan al tráfico de disco de máquina virtual (VM), incluidas las operaciones de montaje y desmontaje y E/S de disco. Las reglas de red ayudan a proteger el acceso REST a los blobs en páginas.

Las cuentas de almacenamiento clásicas no admiten firewalls y redes virtuales.

Puede usar discos no administrados en cuentas de almacenamiento con reglas de red aplicadas para crear copias de seguridad y restaurar máquinas virtuales mediante la creación de una excepción. La sección Administración de excepciones de este artículo documenta este proceso. Las excepciones de firewall no son aplicables con discos administrados, ya que Azure ya los administra.

Modificación de la regla de acceso de red predeterminada

De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de clientes en cualquier red. Puede limitar el acceso a las redes seleccionadas o impedir el tráfico de todas las redes y permitir el acceso solo a través de un punto de conexión privado.

Debe establecer la regla predeterminada en denegar o las reglas de red no tendrán ningún efecto. Sin embargo, cambiar esta configuración puede afectar a la capacidad de la aplicación de conectarse a Azure Storage. Asegúrese de conceder acceso a las redes permitidas o configurar el acceso a través de un punto de conexión privado antes de cambiar esta configuración.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Busque la configuración Redes en Seguridad y redes.

  3. Elija el tipo de acceso a la red pública que quiere permitir:

    • Para permitir el tráfico de todas las redes, seleccione Habilitado desde todas las redes.

    • Para permitir el tráfico solo de redes virtuales específicas, seleccione Habilitado desde redes virtuales y direcciones IP seleccionadas.

    • Para bloquear el tráfico de todas las redes, seleccione Deshabilitado.

  4. Seleccione Guardar para aplicar los cambios.

Precaución

Por diseño, el acceso a una cuenta de almacenamiento desde servicios de confianza tiene la prioridad más alta, por encima de otras restricciones de acceso a la red. Si establece Acceso de red pública en Deshabilitado después de haberlo establecido en Habilitado desde redes virtuales y direcciones IP seleccionadas, las instancias de recursos y excepciones que había configurado antes, incluida la opción Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento, permanecerán en vigor. Como resultado, esos recursos y servicios podrían seguir teniendo acceso a la cuenta de almacenamiento.

Concesión de acceso desde una red virtual

Puede configurar las cuentas de almacenamiento para permitir el acceso solo desde subredes específicas. Las subredes permitidas pueden pertenecer a una red virtual de la misma suscripción o una suscripción diferente, incluidas las que pertenecen a un inquilino de Azure AD diferente. Con los puntos de conexión de servicio entre regiones, las subredes permitidas también pueden estar en regiones diferentes de la cuenta de almacenamiento.

Debe habilitar un punto de conexión de servicio para Azure Storage dentro de la red virtual. El punto de conexión de servicio enruta el tráfico desde la red virtual hasta el servicio Azure Storage mediante una ruta de acceso óptima. Las identidades de la red virtual y la subred también se transmiten con cada solicitud. Después, los administradores pueden configurar reglas de red para la cuenta de almacenamiento que permitan recibir solicitudes desde subredes específicas en una red virtual. Los clientes a los que se concedió acceso a través de estas reglas de red deben seguir cumpliendo los requisitos de autorización de la cuenta de almacenamiento para acceder a los datos.

Cada cuenta de almacenamiento admite hasta 200 reglas de red virtual. Puede combinar estas reglas con reglas de red IP.

Importante

Si elimina una subred que se ha incluido en una regla de red, se quitará de las reglas de red de la cuenta de almacenamiento. Si crea una subred con el mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta de almacenamiento.

Permisos necesarios

Para aplicar una regla de red virtual a una cuenta de almacenamiento, el usuario debe tener permisos apropiados para las subredes que se van a agregar. Un Colaborador de la cuenta de almacenamiento o un usuario al que se haya concedido permiso para la Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionoperación del proveedor de recursos de Azure puede aplicar una regla a través de un rol personalizado de Azure.

La cuenta de almacenamiento y las redes virtuales a las que se concedió acceso pueden estar en distintas suscripciones, incluidas suscripciones que formen parte de un inquilino de Azure AD diferente.

La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Azure AD diferente solo se admiten actualmente a través de PowerShell, la CLI de Azure y las API de REST. No puede configurar estas reglas a través del Azure Portal, aunque puede verlos en el portal.

Puntos de conexión de servicio entre regiones de Azure Storage

Los puntos de conexión de servicio entre regiones para Azure Storage están disponibles con carácter general en abril de 2023. Funcionan entre redes virtuales e instancias de servicio de almacenamiento en cualquier región. Con los puntos de conexión de servicio entre regiones, las subredes ya no usan una dirección IP pública para comunicarse con ninguna cuenta de almacenamiento, incluidas las de otra región. En su lugar, todo el tráfico de subredes a las cuentas de almacenamiento usa una dirección IP privada como dirección IP de origen. Como consecuencia, las cuentas de almacenamiento que usen reglas de red IP para permitir el tráfico de esas subredes dejan de tener efecto.

La configuración de puntos de conexión de servicio entre redes virtuales e instancias de servicio en una región emparejada puede ser una parte importante del plan de recuperación ante desastres. Los puntos de conexión de servicio permiten la continuidad durante una conmutación por error regional, así como un acceso a las instancias de almacenamiento con redundancia geográfica de solo lectura (RA-GRS). Las reglas de red que conceden acceso de una red virtual a una cuenta de almacenamiento también conceden acceso a cualquier instancia de RA-GRS.

Al planear la recuperación ante desastres durante una interrupción regional, debe crear por adelantado las redes virtuales en la región emparejada. Habilite puntos de conexión de servicio para Azure Storage, con reglas de red que concedan acceso desde estas redes virtuales alternativas. A continuación, aplique estas reglas a las cuentas de almacenamiento con redundancia geográfica.

Los puntos de conexión de servicio locales y entre regiones no pueden coexistir en la misma subred. Para reemplazar los puntos de conexión de servicio existentes por los de varias regiones, elimine los puntos de conexión existentes Microsoft.Storage y vuelva a crearlos como puntos de conexión entre regiones (Microsoft.Storage.Global).

Administración de reglas de red virtual

Puede administrar las reglas de red virtual para las cuentas de almacenamiento a través del Azure Portal, PowerShell o la CLI de Azure v2.

Si desea habilitar el acceso a su cuenta de almacenamiento desde una red o subred virtual en otro inquilino de Azure AD, debe usar PowerShell o la CLI de Azure. Azure Portal no muestra subredes en otros inquilinos de Azure AD.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Seleccionar Redes.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.

  4. Para conceder acceso a una red virtual con una nueva regla de red, en Redes virtuales, seleccione Agregar red virtual existente. Seleccione las opciones Redes virtuales y Subredes y, a continuación, haga clic en Agregar.

    Para crear una nueva red virtual y concederle acceso, seleccione Agregar nueva red virtual. Proporcione la información necesaria para crear la nueva red virtual y, luego, seleccione Crear.

    Si un punto de conexión de servicio para Azure Storage no se ha configurado previamente para la red virtual y las subredes seleccionadas, se puede configurar como parte de esta operación.

    Actualmente, solo aparecen las redes virtuales que pertenecen al mismo inquilino de Azure AD para su selección durante la creación de la regla. Para conceder acceso a una subred de una red virtual que pertenece a otro inquilino, use PowerShell, la CLI de Azure o la API de REST.

  5. Para quitar una regla de red virtual o subred, seleccione la elipsis (...) para abrir el menú contextual de la red virtual o la subred y seleccione Quitar.

  6. Seleccione Guardar para aplicar los cambios.

Concesión de acceso desde un intervalo IP de Internet

Puede usar las reglas de red IP para permitir el acceso desde intervalos específicos de direcciones IP de la red pública de Internet mediante la creación de reglas de red IP. Cada cuenta de almacenamiento admite hasta 200 reglas. Estas reglas conceden acceso a servicios específicos basados en Internet y redes locales, y bloquean el tráfico de Internet general.

Las restricciones siguientes se aplican a los intervalos de direcciones IP:

  • Las reglas de red IP solo se permiten para direcciones IP de la red pública de Internet.

    No se permiten intervalos de direcciones IP reservados para redes privadas (tal y como se define en RFC 1918) en las reglas de IP. Las redes privadas incluyen direcciones que comienzan por 10, 172.16 a 172.31 y 192.168.

  • Debe proporcionar los intervalos de dirección de Internet permitidos mediante la notación CIDR en el formulario 16.17.18.0/24 o como direcciones IP individuales en formato 16.17.18.19.

  • Los intervalos de dirección pequeños con tamaños de prefijos /31 o /32 no son compatibles. Configure estos rangos utilizando reglas de direcciones IP individuales.

  • Solo se admiten direcciones IPv4 para la configuración de reglas de firewall de almacenamiento.

Las reglas de red IP no se pueden usar en los siguientes casos:

  • Para restringir el acceso a los clientes de la misma región de Azure que la cuenta de almacenamiento.

    Las reglas de red IP no tienen ningún efecto en las solicitudes que proceden de la misma región de Azure que la cuenta de almacenamiento. Use reglas de red virtual para permitir solicitudes de la misma región.

  • Para restringir el acceso a los clientes de una región emparejada que se encuentran en una red virtual que tiene un punto de conexión de servicio.

  • Para restringir el acceso a los servicios de Azure implementados en la misma región que la cuenta de almacenamiento.

    Los servicios implementados en la misma región que la cuenta de almacenamiento usan direcciones IP privadas de Azure para la comunicación. Por lo tanto, no puede restringir el acceso a servicios específicos de Azure en función de su intervalo de direcciones IP salientes públicas.

Configuración del acceso desde redes locales

Para conceder acceso desde las redes locales a la cuenta de almacenamiento mediante una regla de red IP, debe identificar las direcciones IP orientadas a Internet que usa su red. Para obtener ayuda, póngase en contacto con el administrador de red.

Si usa Azure ExpressRoute desde las instalaciones para pares públicos o el emparejamiento de Microsoft, tiene que identificar las direcciones IP de NAT que se usan. Para el emparejamiento público, cada circuito ExpressRoute usa de forma predeterminada dos direcciones IP de NAT que se aplican al tráfico del servicio de Azure cuando el tráfico entra en la red troncal de Microsoft Azure. Para el emparejamiento de Microsoft, el proveedor de servicios o el cliente proporciona las direcciones IP NAT.

Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP públicas en la configuración del firewall de IP de recursos. Para encontrar las direcciones de IP de circuito de ExpressRoute de los pares públicos, abra una incidencia de soporte técnico con ExpressRoute en Azure Portal. Obtenga más información sobre NAT para ExpressRoute para emparejamiento público y de Microsoft.

Administración de reglas de red IP

Puede administrar las reglas de red de IP para las cuentas de almacenamiento a través de Azure Portal, PowerShell o la CLI de Azure v2.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Seleccionar Redes.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.

  4. Para conceder acceso al intervalo IP de Internet, escriba la dirección IP o el intervalo de direcciones (en formato CIDR) en Firewall>Intervalo de direcciones.

  5. Para quitar una regla de red de IP, seleccione el icono ( ) junto al intervalo de direcciones.

  6. Seleccione Guardar para aplicar los cambios.

Concesión de acceso a instancias de recursos de Azure

En algunos casos, una aplicación puede depender de recursos de Azure que no se pueden aislar a través de una regla de red virtual o de dirección IP. Pero aún le gustaría proteger y restringir el acceso de la cuenta de almacenamiento solo a los recursos de Azure de la aplicación. Puede configurar cuentas de almacenamiento para permitir el acceso a instancias de recursos específicas de algunos servicios de Azure mediante la creación de una regla de instancia de recurso.

Las asignaciones de roles de Azure de la instancia de recurso determinan los tipos de operaciones que una instancia de recurso puede realizar en los datos de la cuenta de almacenamiento. Las instancias de recursos deben estar en el mismo inquilino que la cuenta de almacenamiento, pero pueden pertenecer a cualquier suscripción del inquilino.

Puede agregar o quitar reglas de red de recursos en Azure Portal:

  1. Inicie sesión en Azure Portal.

  2. Busque la cuenta de almacenamiento y muestre la información general de la cuenta.

  3. Seleccionar Redes.

  4. En Firewalls y redes virtuales, en Redes seleccionadas, seleccione la opción permitir el acceso.

  5. Desplácese hacia abajo para buscar Instancias de recursos. En la lista desplegable Tipo de recurso, seleccione el tipo de recurso de la instancia de recurso.

  6. En la lista desplegable Nombre de instancia, seleccione la instancia de recurso. También puede elegir incluir todas las instancias de recursos en el inquilino, la suscripción o el grupo de recursos activos.

  7. Seleccione Guardar para aplicar los cambios. La instancia de recurso aparece en la sección Instancias de recursos de la página de configuración de red.

Para quitar la instancia de recurso, seleccione el icono de eliminación () junto a la instancia de recurso.

Concesión de acceso a servicios de Azure de confianza

Algunos servicios de Azure funcionan desde redes que no se pueden incluir en las reglas de red. Puede conceder a un subconjunto de estos servicios de Azure de confianza el acceso a la cuenta de almacenamiento, a la vez que mantiene las reglas de red para otras aplicaciones. Estos servicios de confianza usarán una autenticación sólida para conectarse a su cuenta de almacenamiento.

Puede conceder acceso a servicios de Azure de confianza mediante la creación de una excepción de regla de red. La sección Administración de excepciones de este artículo proporciona instrucciones paso a paso.

Acceso de confianza para los recursos registrados en su suscripción

Los recursos de algunos servicios que están registrados en su suscripción pueden acceder a su cuenta de almacenamiento en la misma suscripción para ciertas operaciones, como la escritura de registros o la realización de copias de seguridad. En la tabla siguiente se describe cada servicio y las operaciones permitidas.

Servicio Nombre del proveedor de recursos Operaciones permitidas
Azure Backup Microsoft.RecoveryServices Ejecute copias de seguridad y restauraciones de discos no administrados en máquinas virtuales de infraestructura como servicio (IaaS) (no necesarias para discos administrados). Más información.
Azure Data Box Microsoft.DataBox Importe datos en Azure. Más información.
Azure DevTest Labs Microsoft.DevTestLab Cree imágenes personalizadas e instale artefactos. Más información.
Azure Event Grid Microsoft.EventGrid Habilite la publicación de eventos de Azure Blob Storage y permita publicar en las colas de almacenamiento.
Azure Event Hubs Microsoft.EventHub Archivar datos mediante Event Hubs Capture. Más información.
Azure File Sync Microsoft.StorageSync Transforme el servidor de archivos local en una memoria caché para los recursos compartidos de archivos de Azure. Esta funcionalidad permite la sincronización de varios sitios, la recuperación ante desastres rápida y la copia de seguridad en la nube. Más información.
HDInsight de Azure Microsoft.HDInsight Aprovisione el contenido inicial del sistema de archivos predeterminado para un nuevo clúster de HDInsight. Más información.
Azure Import/Export Microsoft.ImportExport Importe datos a Azure Storage o exporte datos desde Azure Storage. Más información.
Azure Monitor Microsoft.Insights Escriba datos de supervisión en una cuenta de almacenamiento protegida, incluidos los registros de recursos, los registros de inicio de sesión y de auditoría de Azure AD y los registros de Microsoft Intune. Más información.
Servicios de redes de Azure Microsoft.Network Almacene y analice los registros de tráfico de red, incluidos los servicios Azure Network Watcher y Azure Traffic Manager. Más información.
Azure Site Recovery Microsoft.SiteRecovery Habilite la replicación para la recuperación ante desastres de máquinas virtuales de IaaS de Azure al usar la caché habilitada para firewall, el origen o las cuentas de almacenamiento de destino. Más información.

Acceso de confianza basado en la identidad administrada asignada por el sistema

En la tabla siguiente se enumeran los servicios que pueden acceder a los datos de la cuenta de almacenamiento si las instancias de recursos de esos servicios tienen el permiso adecuado.

Servicio Nombre del proveedor de recursos Propósito
Azure API Management Microsoft.ApiManagement/service Permite el acceso a las cuentas de almacenamiento detrás de firewalls a través de directivas. Más información.
Azure Cache for Redis Microsoft.Cache/Redis Permite el acceso a las cuentas de almacenamiento. Más información.
Azure Cognitive Search Microsoft.Search/searchServices Habilita el acceso a las cuentas de almacenamiento con fines de indexación, proceso y consulta.
Azure Cognitive Services Microsoft.CognitiveService/accounts Permite el acceso a las cuentas de almacenamiento. Más información.
Azure Container Registry Microsoft.ContainerRegistry/registries Mediante el conjunto de características de ACR Tasks, permite el acceso a las cuentas de almacenamiento al compilar imágenes de contenedor.
Azure Data Factory Microsoft.DataFactory/factories Permite el acceso a las cuentas de almacenamiento a través del entorno de ejecución de Data Factory.
Azure Data Share Microsoft.DataShare/accounts Permite el acceso a las cuentas de almacenamiento.
Azure DevTest Labs Microsoft.DevTestLab/labs Permite el acceso a las cuentas de almacenamiento.
Azure Event Grid Microsoft.EventGrid/topics Permite el acceso a las cuentas de almacenamiento.
Azure Healthcare API Microsoft.HealthcareApis/services Permite el acceso a las cuentas de almacenamiento.
Azure IoT Central Microsoft.IoTCentral/IoTApps Permite el acceso a las cuentas de almacenamiento.
Azure IoT Hub Microsoft.Devices/IotHubs Permite que los datos de un centro de IoT se escriban en Blob Storage. Más información.
Azure Logic Apps Microsoft.Logic/workflows Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Más información.
Azure Machine Learning Microsoft.MachineLearningServices Permite a las áreas de trabajo autorizadas de Azure Machine Learning escribir los resultados del experimento, los modelos y los registros en Blob Storage y leer los datos. Más información.
Azure Media Services Microsoft.Media/mediaservices Permite el acceso a las cuentas de almacenamiento.
Azure Migrate Microsoft.Migrate/migrateprojects Permite el acceso a las cuentas de almacenamiento.
Microsoft Purview Microsoft.Purview/accounts Permite el acceso a las cuentas de almacenamiento.
Azure Site Recovery Microsoft.RecoveryServices/vaults Permite el acceso a las cuentas de almacenamiento.
Azure SQL Database Microsoft.Sql Permite escribir datos de auditoría en cuentas de almacenamiento detrás de un firewall.
Azure Synapse Analytics Microsoft.Sql Permite importar y exportar datos de bases de datos SQL específicas mediante la instrucción COPY o PolyBase (en un grupo dedicado) o la función openrowset y las tablas externas de un grupo de servidores. Más información.
Azure Stream Analytics Microsoft.StreamAnalytics Permite que los datos de un trabajo de streaming se escriban en Blob Storage. Más información.
Azure Synapse Analytics Microsoft.Synapse/workspaces Permite el acceso a datos en Azure Storage.

Si la cuenta no tiene habilitada la característica de espacio de nombres jerárquico, puede conceder permiso mediante la asignación explícita de un rol de Azure a la identidad administrada para cada instancia de recurso. En ese caso, el ámbito de acceso de la instancia corresponde al rol de Azure que se asigna a la identidad administrada.

Puede usar la misma técnica para una cuenta que tenga la característica de espacio de nombres jerárquico habilitada en ella. Sin embargo, no tiene que asignar un rol de Azure si agrega la identidad administrada asignada por el sistema a la lista de control de acceso (ACL) de cualquier directorio o blob que contiene la cuenta de almacenamiento. En ese caso, el ámbito de acceso de la instancia corresponde al directorio o archivo al que tiene acceso la identidad administrada.

También puede combinar roles y ACL de Azure para conceder acceso. Para más información, consulte Modelo de control de acceso de Azure Data Lake Storage Gen2.

Se recomienda usar reglas de instancia de recursos para conceder acceso a recursos específicos.

Administración de excepciones

En algunos casos, como los análisis de almacenamiento, se requiere acceso para leer registros de recursos y métricas desde fuera del límite de red. Al configurar el acceso de los servicios de confianza a la cuenta de almacenamiento, puede permitir el acceso de lectura a los archivos de registro, las tablas de métricas o ambos mediante la creación de una excepción de regla de red. Puede administrar las excepciones de reglas de red a través de Azure Portal, PowerShell o la CLI de Azure v2.

Para más información sobre cómo trabajar con Storage Analytics, consulte Uso de Azure Storage Analytics para recopilar datos de métricas y registros.

  1. Vaya a la cuenta de almacenamiento que quiere proteger.

  2. Seleccionar Redes.

  3. Compruebe haber elegido permitir el acceso desde Redes seleccionadas.

  4. En Excepciones, seleccione las excepciones que quiere conceder.

  5. Seleccione Guardar para aplicar los cambios.

Pasos siguientes

Más información sobre los puntos de conexión de servicio de red de Azure.

Profundizar más en la seguridad de Azure Storage.