Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Antes de continuar, asegúrese de obtener información general sobre el servicio de detección de almacenamiento y el valor que puede proporcionarle.
Asegúrese de que el servicio funciona para su escenario
Actualmente, la Detección de almacenamiento de Azure muestra información sobre los recursos del servicio de Detección de almacenamiento de Azure. La cobertura también incluye cuentas de almacenamiento configuradas con la característica de espacio de nombres jerárquico para habilitar Azure Data Lake Storage.
La detección no funciona actualmente para Azure Files ni para otros tipos de almacenamiento.
Conceptos básicos de la implementación
Los recursos de Azure Storage (como las cuentas de almacenamiento) no experimentan transacciones ni impacto en el rendimiento al analizarlos con la Detección de almacenamiento de Azure.
La implementación del servicio significa implementar y configurar un recurso de área de trabajo de detección de almacenamiento en un grupo de recursos de una de las suscripciones. El servicio de detección funciona para calcular y almacenar información sobre el patrimonio de Azure Blob Storage. Estas conclusiones calculadas se almacenan en la región del área de trabajo que creó. Aparte del área de trabajo de Detección de almacenamiento, no es necesario implementar ninguna otra infraestructura.
El área de trabajo se puede configurar para agregar información en todas las suscripciones del inquilino de Azure en el que se implementa el área de trabajo. Para generar información sobre los recursos de Azure Storage, como las cuentas de almacenamiento, debe ser miembro del rol lector RBAC (control de acceso basado en roles) para cada recurso de almacenamiento.
Importante
Para obtener información precisa, debe configurar el área de trabajo para los recursos a los que tiene permisos.
La sección permisos de este artículo tiene detalles importantes que debe revisar.
Preparando la suscripción
Debe elegir una suscripción controlada por el mismo inquilino de Azure que los recursos de Azure Storage (como las cuentas de almacenamiento) para las que desea obtener información. Cuando haya decidido una suscripción de Azure y un grupo de recursos para el área de trabajo de Storage Discovery, revise las secciones siguientes para asegurarse de que la suscripción está preparada.
Espacio de nombres del proveedor de recursos
Antes de usar un servicio por primera vez en una suscripción de Azure, su espacio de nombres del proveedor de recursos debe registrarse una vez con la suscripción elegida. La detección de Azure Storage tiene el mismo requisito. Un propietario o colaborador de la suscripción puede realizar esta acción. La realización de esta acción de registro antes de la implementación real del área de trabajo detección de almacenamiento permite a los administradores con menos derechos para implementar y usar el servicio de detección de almacenamiento.
Importante
La suscripción debe registrarse con los espacios de nombres del proveedor de recursos Microsoft.StorageDiscovery.
Registro de un proveedor de recursos:
Sugerencia
Al implementar un área de trabajo de Detección de almacenamiento como Propietario o Colaborador de la suscripción a través de Azure Portal, la suscripción se registra automáticamente con este espacio de nombres del proveedor de recursos. Solo es necesario realizar el registro manualmente cuando se usa Azure PowerShell o CLI.
Una vez habilitada una suscripción para este espacio de nombres del proveedor de recursos, permanece habilitada hasta que se anula el registro manualmente. Incluso puede eliminar el último área de trabajo de detección de almacenamiento y la suscripción sigue estando habilitada. Las implementaciones posteriores del área de trabajo detección de almacenamiento requieren permisos reducidos de un administrador. La siguiente sección contiene un desglose de diferentes escenarios de administración y sus permisos necesarios.
Decidir el número de áreas de trabajo que necesita
Es necesario configurar un área de trabajo de detección de almacenamiento con ámbitos. En el artículo componentes de administración se comparten detalles sobre los ámbitos del área de trabajo. Los ámbitos son grupos lógicos de recursos de almacenamiento. Por ejemplo, un ámbito puede hacer referencia a todos los recursos de almacenamiento de una carga de trabajo o departamento específicos para los que desea obtener información por separado.
Dado que solo puede configurar un número limitado de ámbitos en un área de trabajo, puede que necesite más de una área de trabajo para cubrir las necesidades de informes de información.
Si se va a usar un área de trabajo para obtener información de nivel superior, puede crear una con un ámbito para todo el patrimonio de Azure Storage y, a continuación, agregar ámbitos para cada departamento. Si se designa un área de trabajo para proporcionar información sobre cargas de trabajo específicas, puede crear un área de trabajo que contenga un ámbito para cada carga de trabajo.
Revisión de las etiquetas de recursos de Azure
Puede seleccionar qué recursos de almacenamiento se incluyen en un ámbito de área de trabajo seleccionando primero suscripciones o grupos de recursos específicos y, a continuación, filtrando los recursos de almacenamiento dentro de ellos por etiquetas de recursos de Azure. Es importante que se familiarice con las etiquetas de recursos disponibles en los recursos de almacenamiento. Asegúrese de que se aplican de forma coherente y, a continuación, catalogarlos para compilar los ámbitos en el área de trabajo. Planee los ámbitos que necesita para tener información disponible por departamento, carga de trabajo u otra agrupación para la que tenga un uso.
Seleccione una región de Azure para la implementación
Al implementar un área de trabajo de detección de almacenamiento, debe elegir una región. La región que seleccione determina dónde se almacenan las conclusiones calculadas sobre los recursos de Azure Storage. Todavía puede capturar información de los recursos de Azure Storage que se encuentran en otras regiones. Un procedimiento recomendado general consiste en elegir la región del área de trabajo según los requisitos de residencia de metadatos que se aplican a usted y en una proximidad más cercana a su ubicación. La visualización de la información desde un área de trabajo más cercana puede tener una ligera ventaja de rendimiento.
Las áreas de trabajo de detección de almacenamiento se pueden crear en las siguientes regiones:
- Centro de Francia
- Centro de Canadá
- Región Este de EE.UU. 2
- Norte de Europa
- Oeste de Europa
- Oeste de EE. UU. 2
- Centro-sur de EE. UU.
- Este de Australia
- Centro de la India
- Japón Oriental
- Sur de Brasil
Un área de trabajo de Detección de almacenamiento puede cubrir las cuentas de almacenamiento ubicadas en cualquier región de nube pública. Si hay disponible una nueva región de nube pública de Azure, puede haber un retraso hasta que los recursos de almacenamiento de esta nueva región se cubran mediante el servicio de detección de almacenamiento.
Permisos
Los permisos se administran a través del conocido Control de acceso basado en roles (RBAC) de Azure. En estas secciones se tratan los siguientes temas:
- Permiso para los recursos de almacenamiento para los que desea obtener información del servicio de detección.
- Consideraciones de permisos para un recurso de área de trabajo.
Permisos para los recursos de almacenamiento
Durante la creación de un área de trabajo de detección de almacenamiento, configure la raíz del área de trabajo. En el artículo componentes de administración se proporcionan más detalles para esta configuración. En la raíz del área de trabajo, se muestran al menos uno y al menos 100 recursos de Azure de distintos tipos:
- Suscripciones
- Grupos de recursos
La persona que implementa el área de trabajo debe tener al menos el Lector de asignación de roles del control de acceso basado en roles (RBAC) para cada recurso de la raíz del área de trabajo. Lector es el nivel de permiso mínimo necesario. También se admiten colaborador y propietario.
Es posible que veas una suscripción incluida en el Azure Portal para la cual no tienes esta asignación directa de rol de Lector. Cuando puedes ver un recurso para el cual no tienes una asignación de rol, lo más probable es que tengas permisos para un subrecurso en esta suscripción. En este caso, se reveló la existencia de este "elemento primario", pero no tiene derechos en el propio recurso de suscripción. Este ejemplo también se puede extender a los grupos de recursos. Si falta un lector o una asignación de roles directa superior, se descalifica un recurso de Azure de ser la base (raíz) de un área de trabajo.
Los permisos solo se validan cuando se crea un área de trabajo. Cualquier cambio en los permisos de la cuenta de Azure que creó el área de trabajo, incluida su eliminación, no tiene ningún efecto en el área de trabajo ni en la funcionalidad del servicio de detección.
Consideraciones de permisos para un recurso de área de trabajo
El área de trabajo De detección de Azure Storage almacena la información calculada para el patrimonio de almacenamiento. Puede acceder a los informes en Azure Portal o usar estas conclusiones a través de Azure Copilot. Para acceder a la información almacenada en un área de trabajo, un usuario debe tener al menos el rol RBAC Lector en el área de trabajo. Las asignaciones de roles de colaborador y propietario también funcionan. Puede proporcionar acceso de información a otro usuario asignando uno de los tres roles enumerados anteriormente en el área de trabajo.
| Escenario | Asignaciones de roles de RBAC mínimas necesarias |
|---|---|
| Registro de un espacio de nombres del proveedor de recursos con una suscripción | Suscripción: Contributor |
| Implementar un área de trabajo de detección de almacenamiento (Espacio de nombres del proveedor de recursos ya registrado) |
Grupos de recursos: Contributor |
| Uso compartido de la información de detección de almacenamiento con otra persona | Área de trabajo de detección de almacenamiento: Owner |
| Permitir que una persona realice cambios en la configuración del área de trabajo | Área de trabajo de detección de almacenamiento: Contributor |
Precaución
Cuando se proporciona a otros usuarios acceso a un área de trabajo, se muestran todas las conclusiones del área de trabajo. Es posible que otros usuarios no tengan privilegios para conocer la existencia de los recursos de Azure o información sobre los datos que almacenan. Proporcionar acceso a un área de trabajo no proporciona acceso a una cuenta de almacenamiento individual, un grupo de recursos o una suscripción. Los recursos individuales permanecen regidos por RBAC.