Partekatu honen bidez:


Elección de la forma de autorizar el acceso a los datos de cola en Azure Portal

Cuando se accede a los datos de cola desde Azure Portal, este realiza ciertas solicitudes a Azure Storage en segundo plano. Una solicitud a Azure Storage se puede autorizar mediante la cuenta de Microsoft Entra o la clave de acceso a la cuenta de almacenamiento. El portal indica qué método está usando, y le permite alternar entre ambos si tiene los permisos adecuados.

Permisos necesarios para acceder a datos de cola

Necesitará permisos específicos según cómo quiera autorizar el acceso a los datos de cola en Azure Portal. En la mayoría de los casos, estos permisos se proporcionan a través del control de acceso basado en rol de Azure (Azure RBAC). Para más información acerca de Azure RBAC, consulte ¿Qué es el control de acceso basado en rol de Azure (Azure RBAC)?

Uso de la clave de acceso de la cuenta

Para acceder a los datos de cola con la clave de acceso a la cuenta, debe tener asignado un rol de Azure que incluya la acción de Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Este rol de Azure puede ser un rol integrado o personalizado. Los roles integrados que Microsoft.Storage/storageAccounts/listkeys/action admite son los siguientes, en orden de permisos mínimos a máximos:

Al intentar acceder a los datos de cola en Azure Portal, este comprueba primero si tiene asignado un rol con Microsoft.Storage/storageAccounts/listkeys/action. Si se le ha asignado un rol con esta acción, Azure Portal usa la clave de cuenta para tener acceso a los datos de cola. Si no tiene un rol asignado con esta acción, el portal intenta acceder a los datos mediante la cuenta de Microsoft Entra.

Importante

Cuando una cuenta de almacenamiento está bloqueada con un bloqueo ReadOnly de Azure Resource Manager, no se permite la operación Crear lista de claves para esa cuenta de almacenamiento. Crear lista de claves es una operación POST y todas las operaciones POST se impiden cuando se configura un bloqueo ReadOnly para la cuenta. Por esta razón, cuando la cuenta está bloqueada con un bloqueo ReadOnly, los usuarios deben usar las credenciales de Microsoft Entra para acceder a los datos de la cola en el portal. Para obtener más información sobre el acceso a los datos de colas en el portal con Microsoft Entra ID, consulte Uso de la cuenta de Microsoft Entra.

Nota:

Los roles clásicos de administrador de suscripciones Administrador de servicios y Coadministrador incluyen el equivalente del rol Owner de Azure Resource Manager. El rol Propietario engloba todas las acciones (incluida Microsoft.Storage/storageAccounts/listkeys/action), por lo que un usuario con uno de estos roles administrativos también puede acceder a datos de cola con la clave de cuenta. Para obtener más información, consulte Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripción clásicos .

Uso de la cuenta de Microsoft Entra

Para acceder a datos de colas desde Azure Portal con la cuenta de Microsoft Entra, se deben cumplir estas dos premisas:

  • Tiene asignado un rol (ya sea integrado o personalizado) que proporciona acceso a los datos de cola.
  • Tiene asignado como mínimo el rol Lector de Azure Resource Manager, con el ámbito establecido en el nivel de la cuenta de almacenamiento o en un nivel superior. El rol Lector concede los permisos más restringidos, pero otro rol de Azure Resource Manager que conceda acceso a los recursos de administración de la cuenta de almacenamiento también es aceptable.

El rol Lector de Azure Resource Manager permite a los usuarios ver recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura en los datos de Azure Storage, sino únicamente en los recursos de administración de la cuenta. El rol Lector es necesario para que los usuarios puedan navegar a colas en Azure Portal.

Para obtener información sobre los roles integrados que admiten el acceso a los datos de colas, consulte Autorización del acceso a colas mediante Microsoft Entra ID.

Los roles personalizados pueden admitir diferentes combinaciones de los mismos permisos que proporcionan los roles integrados. Para obtener más información sobre cómo crear roles RBAC de Azure personalizados, consulte el artículo sobre roles personalizados de Azure y la descripción de las definiciones de roles de recursos de Azure.

Para ver datos de cola en Azure Portal, vaya a la sección Información general de la cuenta de almacenamiento y haga clic en los vínculos de Colas. También puede navegar a la sección Queue service del menú.

Screenshot showing how to navigate to queue data in the Azure portal

Determinar el método de autenticación actual

Al ir a una cola, Azure Portal indica si lo que se usa actualmente para autenticarse es la clave de acceso de la cuenta o la cuenta de Microsoft Entra.

Autenticación con la clave de acceso de la cuenta

Si se autentica mediante la clave de acceso a la cuenta, verá Clave de acceso especificado como método de autenticación en Portal:

Screenshot showing user currently accessing queues with the account key

Para cambiar y usar la cuenta de Microsoft Entra, haga clic en el vínculo que aparece resaltado en la imagen. Si posee los permisos adecuados a través de los roles de Azure que tiene asignados, podrá continuar. Pero, si no los tiene, verá un mensaje de error como el siguiente:

Error shown if Microsoft Entra account does not support access

Tenga en cuenta que la lista no contendrá ninguna cola si su cuenta de Microsoft Entra no tiene permisos para verlas. Haga clic en el vínculo Cambiar a la clave de acceso para usar la clave de acceso para intentar autenticarse de nuevo.

Autenticación con la cuenta de Microsoft Entra

Si se autentica con la cuenta de Microsoft Entra, verá especificado Cuenta de usuario de Microsoft Entra como método de autenticación en el portal:

Screenshot showing user currently accessing queues with Microsoft Entra account

Para cambiar y usar la clave de acceso a la cuenta, haga clic en el vínculo que aparece resaltado en la imagen. Si tiene acceso a la clave de cuenta, podrá continuar. Sin embargo, si no tiene acceso a la clave de cuenta, aparecerá un mensaje de error en Azure Portal.

Las colas no aparecen en el portal si no tiene acceso a las claves de cuenta. Haga clic en el vínculo Cambiar a la cuenta de usuario de Microsoft Entra para volver a usar la cuenta de Microsoft Entra para la autenticación.

El valor predeterminado es la autorización de Microsoft Entra en Azure Portal

Al crear una cuenta de almacenamiento, puede especificar que Azure Portal realice la autorización con Microsoft Entra ID de manera predeterminada cuando un usuario vaya a los datos de colas. También puede configurar esta opción para una cuenta de almacenamiento existente. Esta configuración especifica solo el método de autorización predeterminado, por lo que debe tener en cuenta que un usuario puede invalidar esta configuración y elegir autorizar el acceso a datos con la clave de la cuenta.

Para especificar que el portal usará la autorización de Microsoft Entra de manera predeterminada para el acceso a datos al crear una cuenta de almacenamiento, siga estos pasos:

  1. Cree una cuenta de almacenamiento; siga las instrucciones de Creación de una cuenta de almacenamiento.

  2. En la pestaña Opciones avanzadas, en la sección Seguridad, seleccione la casilla situada junto a Autorización predeterminada con Microsoft Entra en Azure Portal.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. Seleccione el botón Revisar y crear para ejecutar la validación y crear la cuenta.

Para actualizar esta configuración para una cuenta de almacenamiento existente, siga estos pasos:

  1. Vaya a la información general de su cuenta en Azure Portal.

  2. En Configuración, seleccione Configuración.

  3. Establezca la opción Autorización predeterminada con Microsoft Entra en Azure Portal en Activada.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account.

Pasos siguientes