Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: ✔️ recursos compartidos de archivos SMB
Cuando accedes a datos de archivo mediante el Azure portal, el portal realiza solicitudes al servicio "Azure Files" detrás de escena. Puede autorizar estas solicitudes mediante su cuenta de Microsoft Entra (preferida) o la clave de acceso de la cuenta de almacenamiento (menos segura). El portal muestra qué método usa y le permite cambiar entre los dos métodos si tiene los permisos adecuados. De forma predeterminada, el portal usa el método que ya esté utilizando para autorizar todos los recursos compartidos de archivos, pero puede cambiar esta configuración para las operaciones individuales de los recursos compartidos de archivos.
Importante
En este artículo se explica cómo autorizar el acceso a los datos de archivo en el portal de Azure. No trata cómo configurar la autenticación basada en identidades en recursos compartidos de archivos para los usuarios finales. Para obtener información sobre la autenticación basada en identidades, consulte Información general de Azure Files la autenticación basada en identidades.
Advertencia
El acceso a un recurso compartido de archivos mediante claves de cuenta de almacenamiento tiene riesgos de seguridad inherentes. Autentíquese siempre mediante Microsoft Entra siempre que sea posible. Para obtener información sobre cómo proteger y administrar las claves, consulte Administrar claves de acceso de cuentas de almacenamiento.
Permisos necesarios para acceder a los datos del archivo
En función de cómo quieras autorizar el acceso a los datos de archivo en el portal de Azure, necesitas permisos específicos. En la mayoría de los casos, estos permisos se obtienen a través de Azure access control basado en roles (Azure RBAC).
Usar su cuenta de Microsoft Entra (recomendado)
Para acceder a los datos de archivo desde el portal de Azure mediante su cuenta de Entra, ambas declaraciones deben ser verdaderas.
- Se le asigna un rol integrado o personalizado que proporciona acceso a los datos de archivos.
- Usted ha sido asignado al rol de Azure Resource Manager Reader, como mínimo, en el ámbito del nivel de la cuenta de almacenamiento o superior. El rol Reader concede los permisos más restringidos, pero otro rol de Azure Resource Manager que concede acceso a recursos de administración de cuentas de almacenamiento también es aceptable.
El rol Azure Resource Manager Reader permite a los usuarios ver los recursos de storage cuenta, pero no modificarlos. No proporciona permisos de lectura a los datos de Azure Storage, sino solo a los recursos de administración de cuentas. El rol Reader es necesario para que los usuarios puedan navegar a recursos compartidos de archivos en el Azure portal.
Dos roles integrados tienen los permisos necesarios para acceder a los datos de archivos mediante OAuth.
- Lector privilegiado de datos de archivos de almacenamiento
- Colaborador con privilegios de datos de almacenamiento de archivos
Para obtener información sobre los roles integrados que admiten acceso a los datos de archivos, consulte Acceda a los recursos compartidos de archivos de Azure mediante Microsoft Entra ID con Azure Files OAuth sobre REST.
Nota:
El rol Storage Colaborador con privilegios de datos de archivos tiene permisos para leer, escribir, eliminar y modificar listas de control de acceso (ACL)/permisos NTFS en los archivos y directorios en recursos de uso compartido de archivos de Azure. No se admite la modificación de ACL o permisos NTFS a través de la Azure portal.
Los roles personalizados pueden admitir diferentes combinaciones de los mismos permisos que proporcionan los roles integrados. Para obtener más información, consulte roles personalizados de Azure y Comprender las definiciones de roles para los recursos de Azure.
Use la clave de acceso de la cuenta de almacenamiento (no se recomienda)
Para acceder a los datos de archivo mediante la clave de acceso de cuenta de almacenamiento, debe tener asignado un rol de Azure que incluya la acción de Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Este Azure rol puede ser un rol integrado o un rol personalizado. Roles integrados que admiten Microsoft.Storage/storageAccounts/listkeys/action incluyen lo siguiente, enumerado en orden de menos a mayores permisos:
- El rol lector y acceso a datos
- El rol de colaborador de cuenta de almacenamiento
- El rol de colaborador de Azure Resource Manager Contributor
- Azure Resource Manager Rol Propietario
Al intentar acceder a datos de archivo en el portal de Azure, el portal comprueba primero si usted tiene un rol con Microsoft.Storage/storageAccounts/listkeys/action. Si tiene un rol con esta acción, el portal usa la clave de cuenta de almacenamiento para acceder a los datos de archivos. Si no tiene un rol para esta acción, el portal intenta acceder a los datos mediante su cuenta de Entra.
Importante
Al bloquear una cuenta de storage mediante un bloqueo Resource Manager ReadOnly, no puede realizar la operación List Keys para esa cuenta de storage. List Keys es una operación POST, y todas las operaciones POST se impiden cuando se configura un bloqueo ReadOnly para la cuenta. Por este motivo, al bloquear la cuenta mediante un bloqueo ReadOnly, debe usar credenciales de Entra para acceder a los datos del archivo en el portal. Para obtener información sobre el acceso a los datos de archivo en el portal de Azure mediante Microsoft Entra ID, consulte Use su cuenta de Microsoft Entra.
Nota:
Los roles de administrador de suscripciones clásicas Service Administrator y Co-Administrator incluyen el equivalente del rol Azure Resource Manager Owner. El rol Owner incluye todas las acciones, incluida la acción Microsoft.Storage/storageAccounts/listkeys/action, por lo que un usuario con uno de estos roles administrativos también puede acceder a los datos de archivo mediante la clave de cuenta de almacenamiento. Para obtener más información, consulte roles de Azure, roles de Microsoft Entra y roles de administrador de suscripciones clásicas.
Especificar cómo autorizar operaciones en un recurso compartido de archivos específico
Puede cambiar el método de autenticación para recursos compartidos de archivos individuales. De manera predeterminada, el portal usa el método de autenticación actual. Para determinar el método de autenticación actual, siga estos pasos.
- Vaya a su cuenta de almacenamiento en el portal de Azure.
- En el menú servicio, en Data storage, seleccione File shares.
- Seleccione una compartición de archivos.
- Haga clic en Examinar.
- El método Authentication muestra si está usando actualmente la clave de acceso de la cuenta de almacenamiento o su cuenta Entra para autenticar y autorizar operaciones de recursos compartidos de archivos. Si actualmente está autenticando mediante la clave de acceso de la cuenta de almacenamiento, verá Access Key especificado como método de autenticación, como en la imagen siguiente. Si te autenticas con tu cuenta de Microsoft Entra, verás que se especifica la cuenta de usuario de Microsoft Entra.
Autenticación mediante su cuenta de Microsoft Entra (recomendado)
Para cambiar al uso de su cuenta entra, seleccione el vínculo resaltado en la imagen que indica Cambiar a la cuenta de usuario de Microsoft Entra. Si tiene los permisos adecuados a través de los roles de Azure asignados, puede continuar. Sin embargo, si carece de los permisos necesarios, verá un mensaje de error que indica que no tiene permisos para enumerar los datos mediante su cuenta de usuario con Entra ID.
Se requieren dos permisos de RBAC adicionales para usar su cuenta de Entra:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
No aparece ningún recurso compartido de archivos en la lista si su cuenta de Entra carece de permisos para visualizarlos.
Autenticación mediante la clave de acceso de la cuenta de almacenamiento (no recomendado)
Para cambiar al uso de la clave de acceso de cuenta, seleccione el vínculo que indica Cambiar a clave de acceso. Si tiene acceso a la clave de la cuenta de almacenamiento, puede continuar. Sin embargo, si no tiene acceso a la clave de cuenta, verá un mensaje de error indicando que no tiene permisos para usar la clave de acceso para enumerar los datos.
No aparece ningún recurso compartido de archivos en la lista si no tiene acceso a la clave de acceso de la cuenta de almacenamiento.
Autorización predeterminada de Microsoft Entra en el portal de Azure
Al crear una nueva cuenta de almacenamiento, puede especificar que el portal de Azure predetermine la autorización con Entra ID cuando un usuario navega a datos de archivos. También puede configurar esta opción para una cuenta de storage existente. Esta configuración especifica solo el método de autorización predeterminado. Un usuario puede invalidar esta configuración y elegir autorizar el acceso a los datos mediante la clave de cuenta de almacenamiento.
Para especificar que el portal usa la autorización de Entra de forma predeterminada para el acceso a datos al crear una cuenta de almacenamiento, siga estos pasos:
Cree una cuenta de storage, siguiendo las instrucciones de Crear una cuenta de storage.
En la pestaña Avanzado, en la sección Seguridad, active la casilla situada junto a Utilizar por defecto la autorización de Microsoft Entra en el portal de Azure.
Seleccione Review + create para ejecutar la validación y crear la cuenta de storage.
Para actualizar esta configuración para una cuenta de storage existente, siga estos pasos:
- Vaya a la vista general de la cuenta de almacenamiento en Azure portal.
- En Configuración, seleccione Configuración.
- Establezca Default en la autorización de Microsoft Entra en el portal de Azure en Habilitado.