Compartir a través de

Autorización del acceso a colas mediante condiciones de asignación de roles de Azure

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los niveles de acceso en función de los atributos asociados a una solicitud de acceso, como la entidad de seguridad, el recurso, el entorno y la propia solicitud. Con ABAC, puede conceder a una entidad de seguridad acceso a un recurso en función de las condiciones de asignación de roles de Azure.

Importante

Actualmente, el control de acceso basado en atributos de Azure (Azure ABAC) está disponible con carácter general para controlar el acceso solo a Azure Blob Storage, Azure Data Lake Storage Gen2 y Azure Queues mediante los atributos request, resource, environment y principal en el nivel de rendimiento de las cuentas de almacenamiento premium y estándar. Actualmente, el atributo de recurso de metadatos del contenedor y el atributo de solicitud de inclusión de blobs de lista se encuentran en VERSIÓN PRELIMINAR. Para información completa sobre el estado de las características de ABAC para Azure Storage, consulte Estado de las características de condición en Azure Storage.

Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Introducción a las condiciones de Azure Storage

Puede usar el identificador de Entra de Microsoft (id. de Microsoft Entra) para autorizar las solicitudes a los recursos de Azure Storage mediante Azure RBAC. Azure RBAC le ayuda a administrar el acceso a los recursos definiendo quién tiene acceso a los recursos y qué pueden hacer con esos recursos, usando definiciones de roles y asignaciones de roles. Azure Storage define un conjunto de roles integrados que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de almacenamiento de Azure. También puede definir roles personalizados con conjuntos de permisos seleccionados. Azure Storage admite asignaciones de roles para cuentas de almacenamiento y contenedores de blobs o colas.

Azure ABAC se basa en Azure RBAC con la adición de condiciones de asignación de roles en el contexto de acciones específicas. Una condición de asignación de roles es una comprobación adicional que se evalúa cuando se autoriza la acción en el recurso de almacenamiento. Esta condición se expresa como un predicado mediante atributos asociados a cualquiera de los siguientes:

  • Entidad de seguridad que solicita autorización
  • Recurso al que se solicita acceso
  • Parámetros de la solicitud
  • Entorno desde el que se origina la solicitud

Las ventajas de usar las condiciones de asignación de roles son:

  • Habilitar el acceso más específico a los recursos: por ejemplo, si desea conceder a un usuario acceso para ver los mensajes en una cola específica, puede usar el elemento DataAction de ver los mensajes y el atributo de almacenamiento de nombres de cola.
  • Reducir el número de asignaciones de roles que tiene que crear y administrar - Puede hacerlo mediante una asignación de roles generalizada para un grupo de seguridad y luego restringir el acceso a miembros individuales del grupo utilizando una condición que coincida con los atributos de un principal con los atributos de un recurso específico al que se accede (por ejemplo, una cola).
  • Reglas de control de acceso exprés en términos de atributos con significado empresarial: por ejemplo, puede expresar sus condiciones mediante atributos que representan un nombre de proyecto, una aplicación empresarial, una función de organización o un nivel de clasificación.

La desventaja del uso de condiciones es que necesita una taxonomía estructurada y coherente al usar atributos en toda la organización. Los atributos deben estar protegidos para evitar que el acceso esté en peligro. Además, las condiciones deben diseñarse y revisarse minuciosamente por su efecto.

Atributos y operaciones admitidos

Para lograr estos objetivos, puede configurar condiciones en las asignaciones de roles de DataActions. Puede usar condiciones con un rol personalizado o seleccionar roles integrados. Nota: no se admiten condiciones para las acciones de administración a través del proveedor de recursos de almacenamiento.

Puede agregar condiciones a roles integrados o roles personalizados. Los roles integrados en los que puede usar condiciones de asignación de roles incluyen:

Puede usar condiciones con roles personalizados siempre que el rol incluya acciones que admitan condiciones.

El formato de condición de asignación de roles de Azure permite el uso de atributos @Principal, @Resource o @Request en las condiciones. Un atributo @Principal es un atributo de seguridad personalizado en la entidad de seguridad, como un usuario, una aplicación empresarial (entidad de servicio) o una identidad administrada. Un @Resource atributo hace referencia a un atributo existente de un recurso de almacenamiento al que se accede, como una cuenta de almacenamiento o una cola. Un atributo @Request hace referencia a un atributo o parámetro incluido en una solicitud de operación de almacenamiento.

Azure RBAC admite actualmente 2000 asignaciones de roles en una suscripción. Si necesita crear miles de asignaciones de roles de Azure, puede encontrar este límite. Administrar cientos o miles de asignaciones de roles puede ser difícil. En algunos casos, puede usar condiciones para reducir el número de asignaciones de roles en su cuenta de almacenamiento y facilitar su administración. Puede escalar la administración de asignaciones de roles mediante condiciones y atributos de seguridad personalizados de Microsoft Entra para entidades de seguridad.

Pasos siguientes

Consulte también