Desplegar el servicio de detección de Azure Storage

Para implementar el servicio de detección de Azure Storage, debe crear un recurso de área de trabajo de Discovery en uno de sus grupos de recursos. Con este recurso, se definen los recursos de almacenamiento que quiere cubrir en el entorno de Microsoft Entra y cómo quiere segmentar los informes para ellos. El área de trabajo ofrece informes creados previamente en Azure Portal que puede usar para recuperar la información que necesita sobre los recursos de almacenamiento.

Siga los pasos de este artículo para crear un recurso del espacio de trabajo Azure Storage Discovery.

Creación de un área de trabajo de detección de almacenamiento

Puede crear un área de trabajo de detección de almacenamiento mediante Azure Portal, Azure PowerShell o la CLI de Azure.

Cree un recurso del área de trabajo de detección de Azure Storage en Azure Portal; para ello, seleccione Crear como se muestra en la imagen siguiente.

Elija la suscripción y el grupo de recursos en el que se va a crear el área de trabajo de detección. En esta tabla se describe cada elemento.

Elemento	Descripción
`Name`	El nombre del recurso del área de trabajo de Detección.
`Description`	Opcional. Descripción del recurso del área de trabajo de Detección.
`Region`	Región de Azure donde se crea el recurso de detección. ¹
`Pricing plan`	Plan de precios de Storage Discovery.²

¹ Para obtener información sobre las regiones cubiertas, consulte Regiones del área de trabajo de Descubrimiento de almacenamiento. ² Para obtener información sobre el plan de precios de la detección de almacenamiento, consulte Descripción de los precios de la detección de almacenamiento.

Definición de workspaceRoots

Un elemento workspaceRoot especifica los identificadores de recursos de Azure de nivel superior en los que la Detección de almacenamiento inicia su examen de cuentas de almacenamiento. Estos identificadores suelen ser suscripciones o grupos de recursos y sirven como raíz del proceso de detección. WorkspaceRoots define el ámbito general y los límites del patrimonio de Azure para su análisis.

Seleccione las suscripciones o grupos de recursos que desea incluir en el área de trabajo.

Nota:

Asegúrese de que al usuario o a la entidad de servicio que implementa el área de trabajo se le concede al menos acceso lector a cada raíz especificada.
Hasta 100 recursos: las suscripciones o los grupos de recursos se pueden incluir en un área de trabajo.
Se puede aumentar el límite predeterminado de 100 recursos por área de trabajo. Póngase en contacto con el soporte técnico de Azure. Proporcione el tenantID, SubscriptionID donde desea que se aumente este límite.

Después de agregar las suscripciones o grupos de recursos al área de trabajo, el servicio ejecuta una comprobación de acceso para comprobar que el usuario tiene Microsoft.Storage/storageAccounts/read en los recursos agregados. En la imagen siguiente se proporciona un ejemplo de un error de comprobación de acceso con el mensaje de estado asociado.

Si no tiene Microsoft.Storage/storageAccounts/read en ninguno de los recursos agregados, quite el recurso de los workSpaceRoots para continuar con la creación del área de trabajo o resuelva el problema de acceso e inténtelo de nuevo.

Crear un ámbito

Los ámbitos son agrupaciones lógicas de cuentas de almacenamiento dentro del área de trabajo definidaRoots. Los ámbitos permiten filtrar y organizar los datos mediante etiquetas y tipos de recursos, lo que permite obtener perspectivas específicas. Por ejemplo, puede crear ámbitos para departamentos, entornos o zonas de cumplimiento individuales.

Importante

Se agrega automáticamente un ámbito predeterminado , que incluye todas las cuentas de almacenamiento dentro de suscripciones o grupos de recursos agregados en workspaceRoots.

Opcionalmente, puede agregar etiquetas a este recurso de área de trabajo. A continuación, seleccione Revisar y crear. Si la validación de acceso todavía se está ejecutando, aún no puede crear el recurso del área de trabajo. Espere a que finalice esta comprobación, corrija los problemas y, a continuación, confirme seleccionando Crear.

Nota:

Se produce un error en la creación de recursos de detección si las comprobaciones de acceso en cualquier suscripción o grupo de recursos no se han realizado correctamente.

Una vez completadas correctamente las comprobaciones de acceso, el recurso se puede implementar como se muestra en la siguiente imagen de ejemplo.

Cree un recurso de área de trabajo de Detección de Azure Storage en Azure Portal modificando las variables en el siguiente script de PowerShell para incluir el grupo de recursos, el nombre del área de trabajo y la ubicación. Compruebe que los valores son correctos y, a continuación, ejecute el script en la consola de Azure PowerShell.


# First, set variables for the resources
$resGroupName   = "myResourceGroup"
$workSpaceName  = "myStorageDiscoveryWorkspace"
$location       = "East US"
$DiscoveryScopeLevel1 = "myScopeLevel1"
$DiscoveryScopeLevel2 = "myScopeLevel2"

# Next, prepare a DiscoveryScope object
$scope1 =  New-AzStorageDiscoveryScopeObject -DisplayName "test1" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest1" -Tag @{"tag1" = "value1"; "tag2" = "value2" }
$scope2 =  New-AzStorageDiscoveryScopeObject -DisplayName "test2" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest2" -Tag @{"tag3" = "value3" }

# Finally, create the discovery workspace
New-AzStorageDiscoveryWorkspace -Name $workSpaceName  -ResourceGroupName $resGroupName `
-Location $location -Description 123 -WorkspaceRoot $DiscoveryScopeLevel1 `
-Sku Standard   -Scope $scope1

Cree un recurso de espacio de trabajo de Azure Storage Discovery mediante el CLI.


az storage-discovery workspace create \
            --resource-group <your-resource-group> \
            --name <your-workspace-name> \
            --location <azure-region> \
            --workspace-roots "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>" \
            --scopes '[{"displayName":"basic","resourceTypes":["Microsoft.Storage/storageAccounts"]}]' \
            --sku Standard \
            --description "Optional description"

Parámetros necesarios

Parámetro	Descripción
grupo de recursos	Grupo de recursos donde se crea el área de trabajo.
nombre	Nombre del área de trabajo.
location	Región de Azure para la implementación.
workspace-roots	La raíz del área de trabajo designa los recursos de almacenamiento para los que obtener información. Esto `string[]` puede contener una combinación de identificadores de suscripción e identificadores de grupo de recursos. Puede mezclar y hacer coincidir estos tipos de recursos. La identidad bajo la cual despliega el área de trabajo debe tener permisos para todos los recursos que se enumeran en el momento de la implementación.
ámbitos	Puede crear varios ámbitos en un área de trabajo. Un ámbito permite filtrar los recursos de almacenamiento que cubre el área de trabajo y obtener informes diferentes para cada uno de estos ámbitos. El filtrado se basa en etiquetas de recursos de ARM en los recursos de almacenamiento. Esta propiedad espera un objeto `JSON` que contenga secciones de `tag key name` : `value` combinaciones o `tag key names` únicamente. Cuando los recursos de almacenamiento tienen etiquetas de recursos arm coincidentes, se incluyen en este ámbito.
sku	Plan de tarifa (Gratis o Estándar).

Parámetros opcionales

Parámetro	Descripción
descripción	Metadatos opcionales para el área de trabajo.

Nota:

Es posible que transcurran hasta 24 horas después de la creación del ámbito para que las métricas comiencen a aparecer en los informes.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-10-16

Compartir a través de

Desplegar el servicio de detección de Azure Storage

Creación de un área de trabajo de detección de almacenamiento

Definición de workspaceRoots

Crear un ámbito

Comentarios

Recursos adicionales