Cargar archivo al almacenamiento del blob de Azure: CRL-290029 prohibido

Last update: Tue Apr 21 2026 00:00:00 GMT+0000 (Coordinated Universal Time)

Este artículo aborda el problema de Campaign v7, donde solo puede leer archivos, pero no puede escribir archivos en el almacenamiento del blob. Para resolver esto, póngase en contacto con Azure para comprobar los permisos de lectura y escritura, que están determinados por la identidad o la autorización (RBAC o SAS).

Descripción description

Entorno

Adobe Campaign

Problema/Síntomas

Está integrando Adobe Campaign v7 con Adobe Experience Platform y ha creado un flujo de trabajo como se describe en Crear un flujo de trabajo de exportación en Campaign Classic en la documentación de Campaign Classic v7. Esto es para exportar datos de ACC a la ubicación de almacenamiento del blob de Azure.
Intenta agregar una actividad File transfer (Action-File upload) al blob de Azure. En los registros de pista de auditoría, verá un error similar al siguiente:

Error de CRL-290182 al cargar 'https://xxxx002.blob.core.windows.net/campaign/xxxAEP/Feedback/envioCDP.csv' en el almacenamiento de Azure Blob (código CRL-290029 prohibido: el servidor entendió la solicitud, pero se niega a cumplirla)

El resultado es que puede leer archivos del almacenamiento del blob (descarga), pero no puede escribir archivos allí (carga).

Resolución resolution

Para resolver problemas como este, póngase en contacto con Azure para comprobar los permisos de lectura y escritura, que están determinados por la identidad o la autorización (RBAC o SAS).

El acceso de lectura y escritura en el almacenamiento del blob de Azure no está definido por la IP del llamador incluida en la lista blanca.

La inclusión en la lista de permitidos IP es una puerta de red (que puede hablar con la cuenta de almacenamiento), mientras que los permisos de lectura y escritura están determinados por la identidad y la autorización (RBAC o SAS).

Cómo se determina realmente el acceso

Autorización: funciones y permisos SAS
El almacenamiento del blob de Azure admite varios mecanismos de autorización:

Azure AD + RBAC (recomendado)

Puede conceder funciones como las siguientes:
- Storage Blob Data Reader → solo lectura
- Storage Blob Data Contributor → lectura/escritura/eliminación
Estas funciones son las que definen los permisos de leer frente a escribir en blobs y contenedores.
Consulte las operaciones y la asignación RBAC para el almacenamiento en: Documentación de control de acceso basado en roles de Azure

Firmas de acceso compartido (SAS)

Un token SAS codifica:
- Permisos a través de sp (por ejemplo: sp=r para lectura, sp=rw para lectura+escritura, sp=rwdl para CRUD + lista completa).
- Restricción de IP opcional mediante sip (IP o intervalo de IP permitido para utilizar ese token).

Microsoft Azure Essentials: aspectos básicos de Azure muestra un ejemplo de SAS:

code language-none
`&sp=r # read permission &sip=168.1.5.60-168.1.5.70 # allowed IP range`

El parámetro sp controla la lectura y escritura; sip solo restringe desde dónde puede originarse la solicitud.

Claves de cuenta (clave compartida)
- Lectura y escritura a nivel de cuenta completa si se utiliza directamente; no se recomienda para el acceso detallado y, en general, se desaconseja en entornos de Adobe.

Controles de red/IP: servidores de seguridad y SAS sip

Estos controlan si una solicitud puede llegar a la cuenta, no qué puede hacer:
- Reglas de firewall de cuenta de almacenamiento/red virtual
  - Puede permitir que determinados rangos de IP públicas o VNets accedan a la cuenta de almacenamiento.
  - Esto se aplica independientemente de si el llamador está haciendo lecturas o escrituras; los permisos siguen viniendo de RBAC o SAS.
  - Documentación de Microsoft: Seguridad de red de la cuenta de almacenamiento
- SAS sip(intervalo de IP)
  - Parámetro opcional en un token SAS que restringe las direcciones IP desde las que se puede utilizar ese token.
  - Aún así, las operaciones permitidas están definidas por sp (permisos); la IP solo reduce quién puede ejercer esos permisos.

Documentación relevante sobre el almacenamiento del blob de Azure

Referencias clave de aprendizaje de Microsoft:

Conceptos generales de seguridad y servicio de almacenamiento de blobs

Documentación de almacenamiento de blob
Operaciones RBAC para almacenamiento (acciones del plano de datos como lectura/escritura/eliminación)

Documentación de control de acceso basada en funciones de Azure
Reglas de red/firewall para cuentas de almacenamiento y inclusión en la lista de permitidos IP

Seguridad de red de la cuenta de almacenamiento
SAS y SAS de delegación de usuarios (permisos codificados en el token)

Crear delegación de usuario SAS

En conjunto, estos documentos dejan claro que authorization (RBAC/SAS) define lectura/escritura, mientras que la configuración de IP (firewalls o SAS sip) solo restringe la procedencia de esas llamadas autorizadas.

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f