Compartir vía


Delegar el acceso mediante una firma de acceso compartido

Importante

Para una seguridad óptima, Microsoft recomienda usar Microsoft Entra ID con identidades administradas para autorizar solicitudes en datos de blobs, colas y tablas, siempre que sea posible. La autorización con Microsoft Entra ID e identidades administradas proporciona una mayor seguridad y facilidad de uso a través de la autorización de clave compartida. Para más información, consulte Autorizar con Microsoft Entra ID. Para más información sobre las identidades administradas, consulte ¿Qué son las identidades administradas para los recursos de Azure?

En el caso de los recursos hospedados fuera de Azure, como las aplicaciones locales, puede usar identidades administradas a través de Azure Arc. Por ejemplo, las aplicaciones que se ejecutan en servidores habilitados para Azure Arc pueden usar identidades administradas para conectarse a servicios de Azure. Para más información, consulte Autenticación en recursos de Azure con servidores habilitados para Azure Arc.

En escenarios en los que se usan firmas de acceso compartido (SAS), Microsoft recomienda usar una SAS de delegación de usuarios. Una SAS de delegación de usuarios está protegida con credenciales de Microsoft Entra en lugar de la clave de cuenta. Para obtener información sobre las firmas de acceso compartido, consulte Create una SAS de delegación de usuarios.

Una Firma de acceso compartido (SAS) es un URI que concede derechos de acceso restringidos a recursos de Azure Storage. Puede proporcionar una firma de acceso compartido a los clientes que no deben ser de confianza con la clave de la cuenta de almacenamiento, pero que necesitan acceso a determinados recursos de la cuenta de almacenamiento. Mediante la distribución de un URI de firma de acceso compartido a estos clientes, puede concederles acceso a un recurso durante un período de tiempo especificado y con un conjunto de permisos concreto.

Los parámetros de consulta de URI que componen el token de SAS incorporan toda la información necesaria para conceder acceso controlado a un recurso de almacenamiento. Un cliente que tenga la SAS puede realizar una solicitud en Azure Storage mediante solo el URI de SAS. La información del token de SAS se usa para autorizar la solicitud.

Tipos de firmas de acceso compartido

Azure Storage admite los siguientes tipos de firmas de acceso compartido:

  • Una SAS de cuenta, introducida con la versión 2015-04-05. Este tipo de SAS delega el acceso a los recursos de uno o varios de los servicios de almacenamiento. Todas las operaciones disponibles con una SAS de servicio están también disponibles con una SAS de cuenta.

    Con la SAS de la cuenta, puede delegar el acceso a las operaciones que se aplican a un servicio, como Get/Set Service Properties y Get Service Stats. También puede delegar el acceso para leer, escribir y eliminar operaciones en contenedores de blobs, tablas, colas y recursos compartidos de archivos que no están permitidos con SAS de servicio.

    Para obtener más información, consulte Creación de una SAS de cuenta.

  • Una SAS de servicio. Este tipo de SAS delega el acceso a un recurso en solo uno de los servicios de almacenamiento: Azure Blob Storage, Azure Queue Storage, Azure Table Storage o Azure Files. Para obtener más información, consulte Create ejemplos de SAS de servicio y SAS de servicio.

  • Una SAS de delegación de usuarios, introducida con la versión 2018-11-09. Este tipo de SAS está protegido con Microsoft Entra credenciales. Solo se admite para Blob Storage y se puede usar para conceder acceso a contenedores y blobs. Para más información, vea Creación de SAS de delegación de usuarios.

Además, una SAS de servicio puede hacer referencia a una directiva de acceso almacenada que proporciona otro nivel de control sobre un conjunto de firmas. Este control incluye la capacidad de modificar o revocar el acceso al recurso si es necesario. Para obtener más información, consulte Definición de una directiva de acceso almacenada.

Nota

Actualmente, las directivas de acceso almacenadas no se admiten para una SAS de cuenta o una SAS de delegación de usuarios.

Consulte también