Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Si necesita habilitar el tráfico desde un servicio de Azure fuera del límite de red, puede agregar una excepción de seguridad de red network. Esto resulta útil cuando un servicio de Azure funciona desde una red que no se puede incluir en la red virtual o en las reglas de red IP. Por ejemplo, es posible que algunos servicios necesiten leer los registros de recursos y las métricas de la cuenta. Puede permitir el acceso de lectura para archivos de registro, tablas de métricas o ambos mediante la creación de una excepción de regla de red. Estos servicios se conectan a la cuenta de almacenamiento mediante la autenticación segura.
Para obtener información sobre cómo agregar una excepción de seguridad de red, consulte Administración de excepciones de seguridad de red.
Acceso de confianza para los recursos registrados en el inquilino de Microsoft Entra
Los recursos de algunos servicios pueden acceder a la cuenta de almacenamiento para las operaciones seleccionadas, como escribir registros o ejecutar copias de seguridad. Estos servicios deben registrarse en una suscripción que se encuentre en el mismo inquilino de Microsoft Entra que la cuenta de almacenamiento. En la tabla siguiente se describen cada servicio y sus operaciones permitidas.
| Servicio | Nombre del proveedor de recursos | Operaciones permitidas |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Ejecute copias de seguridad y restauraciones de discos no administrados en máquinas virtuales de infraestructura como servicio (IaaS) (no necesarias para discos administrados). Aprende más. |
| Azure Data Box | Microsoft.DataBox |
Importe los datos en Azure. Aprende más. |
| Azure Data Explorer | Microsoft.Kusto |
Lea los datos para la ingesta y las tablas externas y escriba datos en tablas externas. Aprende más. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Cree imágenes personalizadas e instale artefactos. Aprende más. |
| Azure Event Grid | Microsoft.EventGrid |
Habilite la publicación de eventos de Azure Blob Storage y permita publicar en colas de almacenamiento. |
| Azure Event Hubs | Microsoft.EventHub |
Archivar datos mediante Event Hubs Capture. Más información. |
| Azure File Sync | Microsoft.StorageSync |
Transforme su servidor de archivos local en una memoria caché para comparticiones de archivos de Azure. Esta funcionalidad permite la sincronización de varios sitios, la recuperación ante desastres rápida y la copia de seguridad en la nube. Aprende más. |
| Azure HDInsight | Microsoft.HDInsight |
Aprovisione el contenido inicial del sistema de archivos predeterminado para un nuevo clúster de HDInsight. Aprende más. |
| Azure Import/Export | Microsoft.ImportExport |
Importe datos a Azure Storage o exporte datos de Azure Storage. Aprende más. |
| Azure Monitor | Microsoft.Insights |
Escriba datos de supervisión en una cuenta de almacenamiento protegida, incluidos los registros de recursos, los datos de Microsoft Defender for Endpoint, los registros de inicio de sesión y auditoría de Microsoft Entra y los registros de Microsoft Intune. Aprende más. |
| servicios de red de Azure | Microsoft.Network |
Almacene y analice los registros de tráfico de red, incluidos los servicios de Azure Network Watcher y Azure Traffic Manager. Aprende más. |
| Azure Site Recovery | Microsoft.SiteRecovery |
Habilite la replicación para la recuperación ante desastres de máquinas virtuales IaaS de Azure cuando se utilizan cuentas de almacenamiento de caché, origen o destino habilitadas para firewall. Aprende más. |
Acceso de confianza basado en una identidad administrada
En la tabla siguiente se enumeran los servicios que pueden acceder a los datos de la cuenta de almacenamiento si las instancias de recursos de esos servicios tienen los permisos adecuados.
| Servicio | Nombre del proveedor de recursos | Propósito |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Permite el acceso a las cuentas de almacenamiento. |
| Azure API Management | Microsoft.ApiManagement/service |
Permite el acceso a las cuentas de almacenamiento detrás de firewalls a través de directivas. Aprende más. |
| Sistemas autónomos de Microsoft | Microsoft.AutonomousSystems/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Managed Redis | Microsoft.Cache/Redis |
Permite el acceso a las cuentas de almacenamiento. Aprende más. |
| Azure AI Search | Microsoft.Search/searchServices |
Habilita el acceso a las cuentas de almacenamiento con fines de indexación, proceso y consulta. |
| Herramientas de fundición | Microsoft.CognitiveService/accounts |
Permite el acceso a las cuentas de almacenamiento. Aprende más. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Habilita la exportación a cuentas de almacenamiento detrás de un firewall. Aprende más. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Permite el acceso a las cuentas de almacenamiento. Los almacenes de SQL sin servidor requieren una configuración adicional. Aprende más. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Permite el acceso a las cuentas de almacenamiento a través del entorno de ejecución de Data Factory. |
| Azure Data Explorer | Microsoft.Kusto/Clusters |
Lea los datos para la ingesta y las tablas externas y escriba datos en tablas externas. Aprende más. |
| almacén de Azure Backup | Microsoft.DataProtection/BackupVaults |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Data Share | Microsoft.DataShare/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Base de Datos de Azure para PostgreSQL | Microsoft.DBForPostgreSQL |
Permite el acceso a las cuentas de almacenamiento. |
| Registro de dispositivos de Azure | Microsoft.DeviceRegistry/schemaRegistries |
Permite el acceso a las cuentas de almacenamiento. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
Permite escribir datos de un centro de IoT en Blob Storage. Aprende más. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Fabric | Microsoft.Fabric |
Permite el acceso a las cuentas de almacenamiento. |
| API de Azure Healthcare | Microsoft.HealthcareApis/services |
Permite el acceso a las cuentas de almacenamiento. |
| API de Azure Healthcare | Microsoft.HealthcareApis/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Permite el acceso a las cuentas de almacenamiento. |
| HSM administrado Azure Key Vault | Microsoft.keyvault/managedHSMs |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Aprende más. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Aprende más. |
| Azure Machine Learning studio | Microsoft.MachineLearning/registries |
Permite que las áreas de trabajo Azure Machine Learning autorizadas escriban registros, modelos y resultados del experimento en Blob Storage y lean los datos. Aprende más. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Permite que las áreas de trabajo Azure Machine Learning autorizadas escriban registros, modelos y resultados del experimento en Blob Storage y lean los datos. Aprende más. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permite que las áreas de trabajo Azure Machine Learning autorizadas escriban registros, modelos y resultados del experimento en Blob Storage y lean los datos. Aprende más. |
| Azure Media Services | Microsoft.Media/mediaservices |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Permite el acceso a las cuentas de almacenamiento. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Microsoft Purview | Microsoft.Purview/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Permite el acceso a las cuentas de almacenamiento. |
| Centro de Seguridad | Microsoft.Security/dataScanners |
Permite el acceso a las cuentas de almacenamiento. |
| Singularidad | Microsoft.Singularity/accounts |
Permite el acceso a las cuentas de almacenamiento. |
| Acciones de Azure Storage | Microsoft.Storageactions/Storagetasks |
Permite el acceso a las cuentas de almacenamiento. |
| Azure SQL Database | Microsoft.Sql |
Permite escribir datos de auditoría en cuentas de almacenamiento detrás de un firewall. |
| servidores de Azure SQL | Microsoft.Sql/servers |
Permite escribir datos de auditoría en cuentas de almacenamiento detrás de un firewall. |
| Azure Synapse Analytics | Microsoft.Sql |
Permite la importación y exportación de datos de bases de datos SQL específicas mediante la instrucción COPY o PolyBase (en un grupo dedicado), así como la función openrowset y tablas externas en un grupo sin servidores.
Aprende más. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Permite escribir datos de un trabajo de streaming en Blob Storage. Aprende más. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Permite escribir datos de un trabajo de streaming en Blob Storage. Aprende más. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permite el acceso a los datos en Azure Storage. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Permite el acceso a las cuentas de almacenamiento. |
Si la cuenta no tiene habilitada la característica de espacio de nombres jerárquico, puede conceder permiso asignando explícitamente un rol de Azure a la identidad administrada para cada instancia de recurso. En este caso, el ámbito de acceso de la instancia corresponde al rol de Azure asignado a la identidad administrada.
Puede usar la misma técnica para una cuenta que tenga habilitada la característica de espacio de nombres jerárquico. Sin embargo, no es necesario asignar un rol de Azure si agrega la identidad administrada a la lista de control de acceso (ACL) de cualquier directorio o blob que contenga la cuenta de almacenamiento. En ese caso, el ámbito de acceso de la instancia corresponde al directorio o archivo al que tiene acceso la identidad administrada.
También puede combinar roles de Azure y ACLs para conceder acceso. Para obtener más información, consulte modelo de control de acceso en Azure Data Lake Storage.
Se recomienda usar reglas de instancia de recursos para conceder acceso a recursos específicos.