Autorización de solicitudes a Azure Storage
Todas las solicitudes realizadas en un recurso protegido en Blob, File, Queue o Table service deben estar autorizadas. La autorización garantiza que los recursos de la cuenta de almacenamiento estén accesibles únicamente en el momento que defina y solo para los usuarios o las aplicaciones a los que conceda acceso.
Importante
Para una seguridad óptima, Microsoft recomienda usar Microsoft Entra ID con identidades administradas para autorizar solicitudes en datos de blobs, colas y tablas, siempre que sea posible. La autorización con Microsoft Entra ID e identidades administradas proporciona una mayor seguridad y facilidad de uso a través de la autorización de clave compartida. Para más información, consulte Autorizar con Microsoft Entra ID. Para más información sobre las identidades administradas, consulte ¿Qué son las identidades administradas para los recursos de Azure?
En el caso de los recursos hospedados fuera de Azure, como las aplicaciones locales, puede usar identidades administradas a través de Azure Arc. Por ejemplo, las aplicaciones que se ejecutan en servidores habilitados para Azure Arc pueden usar identidades administradas para conectarse a servicios de Azure. Para más información, consulte Autenticación en recursos de Azure con servidores habilitados para Azure Arc.
En escenarios en los que se usan firmas de acceso compartido (SAS), Microsoft recomienda usar una SAS de delegación de usuarios. Una SAS de delegación de usuarios está protegida con credenciales de Microsoft Entra en lugar de la clave de cuenta. Para obtener información sobre las firmas de acceso compartido, consulte Create una SAS de delegación de usuarios.
En la tabla siguiente se describen las opciones que ofrece Azure Storage para autorizar el acceso a los recursos:
Artefacto de Azure | Clave compartida (clave de cuenta de almacenamiento) | Firma de acceso compartido (SAS) | Id. de Microsoft Entra | Active Directory Domain Services local | Acceso de lectura anónimo |
---|---|---|---|---|---|
Azure Blobs | Compatible | Compatible | Compatible | No compatible | Compatible |
Azure Files (SMB) | Compatible | No compatible | Compatible con Servicios de dominio de Microsoft Entra o Microsoft Entra Kerberos | Compatible, las credenciales se deben sincronizar con Microsoft Entra ID | No compatible |
Azure Files (REST) | Compatible | Compatible | Compatible | No compatible | No compatible |
Colas de Azure | Compatible | Compatible | Compatible | No compatible | No compatible |
Azure Tables | Compatible | Compatible | Compatible | No compatible | No compatible |
Cada opción de autorización se describe brevemente a continuación:
Microsoft Entra ID:Microsoft Entra es el servicio de administración de acceso e identidades basado en la nube de Microsoft. Microsoft Entra ID integración está disponible para los servicios Blob, File, Queue y Table. Con Microsoft Entra ID, puede asignar acceso específico a usuarios, grupos o aplicaciones a través del control de acceso basado en rol (RBAC). Para obtener información sobre Microsoft Entra ID integración con Azure Storage, consulte Autorización con Microsoft Entra ID.
Servicios de dominio de Microsoft Entra autorización para Azure Files. Azure Files admite la autorización basada en identidades a través del bloque de mensajes del servidor (SMB) a través de Servicios de dominio de Microsoft Entra. Puede usar RBAC para el control específico de acceso de los clientes a los recursos de Azure Files en una cuenta de almacenamiento. Para obtener más información sobre Azure Files autenticación mediante servicios de dominio, consulte Azure Files autorización basada en identidades.
Autorización de Active Directory (AD) para Azure Files. Azure Files admite la autorización basada en identidad sobre (SMB) mediante AD. El servicio de dominio de AD se puede hospedar en máquinas locales o en máquinas virtuales de Azure. El acceso de SMB a Files se admite mediante el uso de las credenciales de AD de las máquinas unidas a un dominio, independientemente de que sea local o en Azure. Puede usar RBAC para el control de acceso de nivel de recurso compartido y las DACL NTFS para la aplicación de permisos de nivel de directorio y archivo. Para obtener más información sobre Azure Files autenticación mediante servicios de dominio, consulte Azure Files autorización basada en identidades.
Clave compartida: La autorización de clave compartida se basa en las claves de acceso de la cuenta y otros parámetros para generar una cadena de firma cifrada que se pasa en la solicitud en el encabezado Authorization . Para obtener más información sobre la autorización de clave compartida, consulte Autorización con clave compartida.
Firmas de acceso compartido: Las firmas de acceso compartido (SAS) delegan el acceso a un recurso determinado de la cuenta con permisos especificados y durante un intervalo de tiempo especificado. Para obtener más información sobre SAS, consulte Delegar el acceso con una firma de acceso compartido.
Acceso anónimo a contenedores y blobs: Opcionalmente, puede hacer que los recursos de blob sean públicos en el nivel de contenedor o blob. Cualquier usuario puede acceder a un contenedor o blob público para consultarlo de forma anónima. Las solicitudes de lectura para contenedores y blobs públicos no requieren autorización. Para más información, consulte Habilitación del acceso de lectura público para contenedores y blobs en Azure Blob Storage.
Sugerencia
La autenticación y autorización del acceso a datos de blobs, archivos, colas y tablas con Microsoft Entra ID proporciona una mayor seguridad y facilidad de uso en otras opciones de autorización. Por ejemplo, al usar Microsoft Entra ID, evita tener que almacenar la clave de acceso de la cuenta con el código, como sucede con la autorización de clave compartida. Aunque puede seguir usando la autorización de clave compartida con las aplicaciones de blob y cola, Microsoft recomienda pasar a Microsoft Entra ID siempre que sea posible.
De forma similar, puede seguir usando firmas de acceso compartido (SAS) para conceder acceso específico a los recursos de la cuenta de almacenamiento, pero Microsoft Entra ID ofrece funcionalidades similares sin necesidad de administrar tokens de SAS o preocuparse por revocar una SAS en peligro.
Para más información sobre Microsoft Entra ID integración en Azure Storage, consulte Autorización del acceso a blobs y colas de Azure mediante Microsoft Entra ID.