Selección y configuración de un método adecuado para el acceso a Azure Files
Al acceder a los datos de archivo mediante el Azure Portal, el portal realiza solicitudes a Azure Files en segundo plano. Estas solicitudes se pueden autorizar mediante su cuenta de Microsoft Entra o la clave de acceso de la cuenta de almacenamiento. El portal indica qué método está usando y le permite cambiar entre los dos si tiene los permisos adecuados. Microsoft recomienda usar la autenticación de id. de Entra de Microsoft siempre que sea posible para mejorar la seguridad y la administración centralizada de identidades.
También puede especificar cómo autorizar una operación de recurso compartido de archivos individual en Azure Portal. De forma predeterminada, el portal usa el método que ya usa para autorizar todos los recursos compartidos de archivos, pero tiene la opción de cambiar esta configuración para recursos compartidos de archivos individuales.
Permisos necesarios para acceder a los datos del archivo
En función de cómo quiera autorizar el acceso a los datos de archivos en Azure Portal, necesitará permisos específicos. En la mayoría de los casos, estos permisos se proporcionan a través del control de acceso basado en rol de Azure (RBAC de Azure).
Uso de la cuenta de Microsoft Entra
Para acceder a los datos de archivo desde Azure Portal mediante su cuenta de Microsoft Entra, ambas instrucciones deben ser verdaderas:
- Se le asigna un rol integrado o personalizado que proporciona acceso a los datos de archivo.
- Se le asigna como mínimo el rol Lector de Azure Resource Manager, con el ámbito establecido en el nivel de la cuenta de almacenamiento o en un nivel superior. El rol Lector concede los permisos más restringidos, pero otro rol de Azure Resource Manager que concede acceso a los recursos de administración de cuentas de almacenamiento también es aceptable.
El rol Lector de Azure Resource Manager permite a los usuarios ver los recursos de la cuenta de almacenamiento, pero no modificarlos. No proporciona permisos de lectura a los datos de Azure Storage, sino solo a los recursos de administración de cuentas. El rol Lector es necesario para que los usuarios puedan navegar a recursos compartidos de archivos en Azure Portal.
Azure proporciona roles integrados que tienen los permisos necesarios para acceder a los datos de archivo con OAuth (autenticación de Id. de Microsoft Entra):
- Lector con privilegios de datos de archivos de almacenamiento : proporciona acceso de lectura al contenido del recurso compartido de archivos de Azure.
- Colaborador con privilegios de datos de archivos de Storage: proporciona acceso de lectura, escritura y eliminación al contenido del recurso compartido de archivos de Azure.
El rol Colaborador con privilegios en los datos de archivos de almacenamiento tiene permisos para leer, escribir, eliminar y modificar permisos ACL/NTFS en archivos y directorios en los recursos compartidos de archivos de Azure. Tenga en cuenta que la modificación de ACL o permisos NTFS no se admite actualmente a través de Azure Portal y debe realizarse a través de otras herramientas, como PowerShell o la CLI de Azure.
Los roles personalizados pueden admitir diferentes combinaciones de los mismos permisos proporcionados por los roles integrados. Para obtener más información sobre cómo crear roles RBAC de Azure personalizados, consulte el artículo sobre roles personalizados de Azure y la descripción de las definiciones de roles de recursos de Azure.
Uso de la clave de acceso de la cuenta de almacenamiento
Para acceder a los datos de archivo con la clave de acceso de la cuenta de almacenamiento, debe tener asignado un rol de Azure que incluya la acción RBAC de Azure Microsoft.Storage/storageAccounts/listkeys/action. Este rol de Azure puede ser un rol integrado o un rol personalizado.
Nota:
El uso de claves de acceso de la cuenta de almacenamiento proporciona acceso completo a la cuenta de almacenamiento y debe evitarse siempre que sea posible. La autenticación de Id. de Microsoft Entra proporciona un control de acceso más pormenorizado y se alinea mejor con los principios de seguridad de Confianza cero.
Entre los roles integrados que admiten Microsoft.Storage/storageAccounts/listkeys/action incluyen lo siguiente, ordenados de menos a más permisos:
- El rol Lector y acceso a los datos
- El rol Colaborador de la cuenta de almacenamiento
- El rol Colaborador de Azure Resource Manager
- El rol Propietario de Azure Resource Manager
Al intentar acceder a los datos de archivo en Azure Portal, el portal comprueba primero si se le ha asignado un rol con Microsoft.Storage/storageAccounts/listkeys/action. Si se le ha asignado un rol con esta acción, el portal usa la clave de cuenta de almacenamiento para acceder a los datos del archivo. Si no se le ha asignado un rol con esta acción, el portal intenta acceder a los datos mediante su cuenta de Microsoft Entra.
Cuando una cuenta de almacenamiento está bloqueada con un bloqueo de Azure Resource Manager readOnly, la operación Listar claves no está permitida para esa cuenta de almacenamiento. List Keys es una operación POST, y todas las operaciones POST se impiden cuando se configura un bloqueo ReadOnly para la cuenta. Por este motivo, cuando la cuenta está bloqueada con un bloqueo de ReadOnly, los usuarios deben usar las credenciales de Microsoft Entra para acceder a los datos de los archivos en el portal.
Los roles de administrador de suscripciones clásicas administrador de servicios y coadministrador incluyen el equivalente del rol propietario de Azure Resource Manager. El rol Propietario incluye todas las acciones, incluidas las Microsoft.Storage/storageAccounts/listkeys/action, por lo que un usuario con uno de estos roles administrativos también puede acceder a los datos de archivo con la clave de la cuenta de almacenamiento.
Especificar cómo autorizar operaciones en un recurso compartido de archivos específico
Puede cambiar el método de autenticación para archivos compartidos individualmente. De forma predeterminada, el portal usa el método de autenticación actual. Para determinar el método de autenticación actual, siga estos pasos.
Vaya a su cuenta de almacenamiento en Azure Portal y seleccione Almacenamiento de datos>Recursos compartidos de archivos en el menú de navegación de la izquierda.
Seleccione un recurso compartido de archivos.
Seleccione Examinar.
El método de autenticación indica si actualmente está utilizando la clave de acceso de la cuenta de almacenamiento o la cuenta de Microsoft Entra para autenticar y autorizar las operaciones de uso compartido de archivos. Si está autenticándose actualmente mediante la clave de acceso de la cuenta de almacenamiento, verá Clave de Acceso especificada como método de autenticación, como en la imagen siguiente. Si te autenticas usando tu cuenta de Microsoft Entra , verás en su lugar especificada la cuenta de usuario de Microsoft Entra.
Autenticación con su cuenta de Microsoft Entra
Para cambiar al uso de su cuenta de Microsoft Entra, seleccione el vínculo resaltado en la imagen que indica Cambiar a la cuenta de usuario de Microsoft Entra. Si tiene los permisos adecuados a través de los roles de Azure que se le asignan, podrá continuar. Sin embargo, si carece de los permisos necesarios, verá un mensaje de error que indica que no tiene permisos para enumerar los datos mediante la cuenta de usuario con el identificador de Entra de Microsoft.
Se requieren dos permisos de RBAC adicionales para usar su cuenta de Microsoft Entra:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Autenticación con la clave de acceso de la cuenta de almacenamiento
Para usar la clave de acceso, seleccione Cambiar a la clave de acceso. Si tiene acceso a la clave de cuenta de almacenamiento, podrá continuar. Sin embargo, si no tiene acceso a la clave de cuenta, verá un mensaje de error que indica que no tiene permisos para usar la clave de acceso para enumerar los datos.
El valor predeterminado es la autorización de Microsoft Entra en Azure Portal
Al crear una nueva cuenta de almacenamiento, puede especificar que Azure Portal tendrá como valor predeterminado la autorización con el identificador de Microsoft Entra cuando un usuario navegue a los datos de archivo. También puede configurar esta opción para una cuenta de almacenamiento existente. Esta configuración especifica solo el método de autorización predeterminado. Tenga en cuenta que un usuario puede invalidar esta configuración y elegir autorizar el acceso a datos con la clave de la cuenta de almacenamiento.
{! NOTA] Habilite esta configuración para animar a los usuarios a autenticarse con el identificador de Microsoft Entra de forma predeterminada, lo que reduce la dependencia de las claves de la cuenta de almacenamiento y mejora la posición general de seguridad.
Para especificar que el portal usará la autorización de Microsoft Entra de forma predeterminada para el acceso a datos al crear una cuenta de almacenamiento, siga estos pasos:
- Cree una nueva cuenta de almacenamiento siguiendo las instrucciones de Creación de una cuenta de almacenamiento.
- En la pestaña Opciones avanzadas, en la sección Seguridad, active la casilla situada junto a Predeterminada para la autorización de Microsoft Entra ID en Azure Portal.
- Seleccione Revisar y crear para ejecutar la validación y crear la cuenta de almacenamiento.
Para actualizar esta configuración para una cuenta de almacenamiento existente, siga estos pasos:
Vaya a la información general de la cuenta de almacenamiento en Azure Portal.
En Configuración, seleccione Configuración.
Establezca Valor predeterminado para la autorización de Microsoft Entra en Azure Portal en Habilitado.
Procedimientos recomendados de seguridad para el acceso a Azure Files
Al configurar el acceso a Azure Files, siga estas recomendaciones de seguridad:
- Preferir la autenticación basada en identidades: utilice Microsoft Entra ID para la autenticación en lugar de claves de cuenta de almacenamiento siempre que sea posible. Esto proporciona mejores seguimientos de auditoría, control de acceso granular e integración con directivas de acceso condicional.
- Usar los roles de RBAC adecuados: Asigne el rol más restrictivo que satisfaga los requisitos del usuario. Use el Lector con privilegios de datos de archivos de Storage para el acceso de solo lectura en lugar de roles más permisivos.
- Habilitar la autorización predeterminada de Microsoft Entra: configure las cuentas de almacenamiento para la autenticación predeterminada de Microsoft Entra ID en el portal para reducir el uso accidental de las claves de cuenta.
- Aprovechar las identidades administradas: en el caso de las aplicaciones que se ejecutan en Azure, use identidades administradas para acceder a Azure Files sin almacenar credenciales.
- Implementar el acceso condicional: use las directivas de acceso condicional de Microsoft Entra para aplicar requisitos adicionales, como la autenticación multifactor o las comprobaciones de dispositivos compatibles para el acceso a archivos.
- Supervisión del acceso: revise periódicamente los registros de Azure Monitor para realizar un seguimiento de quién accede a los recursos compartidos de archivos e identificar los intentos de acceso no autorizados.
- Considere la posibilidad de deshabilitar la clave compartida: si todos los escenarios admiten la autenticación basada en identidades, considere la posibilidad de deshabilitar la autorización de clave compartida en el nivel de cuenta de almacenamiento para evitar su uso por completo.