Compartilhar via

Escolher como autorizar o acesso a dados de blob no portal do Azure

  • Artigo

Quando você acessa dados de blob usando o Portal do Azure, o portal faz solicitações para o armazenamento do Azure nos bastidores. Uma solicitação para o Armazenamento do Azure pode ser autorizada usando a sua conta do Microsoft Entra ou a chave de acesso da conta de armazenamento. O portal indica qual método você está usando e permite que você alterne entre os dois métodos se tiver as permissões apropriadas.

Permissões necessárias para acessar dados de blob

Dependendo de como você deseja autorizar o acesso aos dados de blob no portal do Azure, você precisará de permissões específicas. Na maioria dos casos, essas permissões são fornecidas por meio do Azure RBAC (controle de acesso baseado em função do Azure). Para saber mais sobre o RBAC do Azure, veja O que é o controle de acesso baseado em função do Azure (RBAC do Azure)?.

Use a chave de acesso da conta

Para acessar dados de blob com a chave de acesso da conta, você deve ter uma função do Azure atribuída a você que inclua a ação do RBAC do Azure Microsoft.Storage/storageAccounts/listkeys/Action. Essa função do Azure pode ser uma função interna ou personalizada.

As seguintes funções internas, listadas de permissões mínimas para máximas, dão suporte a Microsoft.Storage/storageAccounts/listkeys/action:

Quando você tenta acessar dados de blob no portal do Azure, o portal primeiro verifica se você recebeu uma função com Microsoft.Storage/storageAccounts/listkeys/action. Se você tiver recebido uma função com essa ação, o portal usará a chave de conta para acessar dados de blob. Se uma função com essa ação não foi atribuída a você, o portal tenta acessar os dados usando a sua conta do Microsoft Entra.

Importante

Quando uma conta de armazenamento é bloqueada com um bloqueio ReadOnly do Azure Resource Manager, a operação Listar chaves não é permitida nessa conta de armazenamento. List Keys é uma operação POST e todas as operações POST são impedidas quando um bloqueio ReadOnly é configurado na conta. Por esse motivo, quando a conta é bloqueada com um bloqueio ReadOnly, os usuários devem usar as credenciais do Microsoft Entra para acessar dados de blob no portal. Para obter informações sobre como acessar dados de blob no portal com o Microsoft Entra ID, consulte Usar sua conta do Microsoft Entra.

Observação

O administrador de serviço de funções de administrador de assinatura clássica e Coadministrator incluem o equivalente da função de proprietário do Azure Resource Manager. A função de Proprietário inclui todas as ações, incluindo Microsoft.Storage/storageAccounts/listkeys/ , para que um usuário com uma dessas funções administrativas também possa acessar dados de blob com a chave de conta. Para obter mais informações, veja Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássico.

Usar sua conta do Microsoft Entra

Para acessar dados de blob no portal do Azure usando sua conta do Microsoft Entra, as duas instruções devem ser verdadeiras para você:

  • Você recebeu uma função interna ou personalizada que fornece acesso aos dados de blob.
  • Você é designado a função Leitor do Azure Resource Manager, no mínimo, no escopo do nível da conta de armazenamento ou superior. A função Leitor concede as permissões mais restritas, mas outra função do Azure Resource Manager que conceda acesso aos recursos de gerenciamento da conta de armazenamento também é aceitável.

A função Leitor do Azure Resource Manager permite aos usuários exibir os recursos da conta de armazenamento, mas não os modificar. Ela não dá permissões de leitura para dados no Armazenamento do Microsoft Azure, mas apenas para recursos de gerenciamento de conta. A função Leitor é necessária para que os usuários possam navegar até os contêineres de blob no portal do Azure.

Para obter informações sobre as funções internas que permitem acessar os dados de blob, confira Autorizar o acesso a blobs usando o Microsoft Entra ID.

As funções personalizadas podem dar suporte a diferentes combinações das mesmas permissões fornecidas pelas funções internas. Para obter mais informações sobre como criar funções personalizadas do Azure, consulte Funções personalizadas do Azure e Compreender as definições de função para recursos do Azure.

Para exibir dados de blob no portal, navegue até Visão geral da sua conta de armazenamento e clique nos links para Blobs. Como alternativa, você pode navegar até a seção Contêineres no menu.

Captura de tela mostrando como navegar até os dados de blob no portal do Azure

Determinar o método de autenticação atual

Quando você navega para um contêiner, o portal do Azure indica se você está usando a chave de acesso da conta ou a sua conta do Microsoft Entra para autenticação.

Autenticar-se com a chave de acesso da conta

Se você estiver autenticando com a chave de acesso da conta, verá a Chave de Acesso especificada como o método de autenticação no portal:

Captura de tela mostrando o usuário que está acessando contêineres com a chave de conta

Se você quiser alternar para usar a conta do Microsoft Entra, selecione o link realçado na imagem. Se você tiver as permissões apropriadas por meio das funções do Azure atribuídas a você, poderá continuar. Se você não tiver as permissões certas, verá uma mensagem de erro e nenhum blob aparecerá na lista.

Clique no link Alternar para a chave de acesso para usar a chave de acesso para autenticação novamente.

Autenticar com sua conta do Microsoft Entra

Se você estiver se autenticando com sua conta do Microsoft Entra, verá a Conta de usuário do Microsoft Entra especificada como o método de autenticação no portal:

Captura de tela mostrando o usuário que está acessando contêineres com a conta do Microsoft Entra

Se quiser alternar para o uso da chave de acesso da conta, clique no link realçado na imagem. Se você tiver acesso à chave de conta, poderá continuar. Se você não tiver acesso à chave da conta, verá uma mensagem de erro e nenhum blob aparecerá na lista.

Clique no link Alternar para a conta de usuário do Microsoft Entra para usar a sua conta do Microsoft Entra para autenticação novamente.

Padrão para autorização do Microsoft Entra no portal do Azure

Ao criar uma nova conta de armazenamento, você pode especificar que o portal do Azure será padrão para autorização com o Microsoft Entra ID quando um usuário navegar para os dados do blob. Você também pode configurar essa configuração para uma conta de armazenamento existente. Essa configuração especifica apenas o método de autorização padrão, portanto, tenha em mente que um usuário pode substituir essa configuração e optar por autorizar o acesso aos dados com a chave da conta.

Para especificar que o portal usará a autorização do Microsoft Entra por padrão para acesso a dados ao criar uma conta de armazenamento, siga estas etapas:

  1. Crie uma conta de armazenamento de uso geral seguindo as instruções descritas em Criar uma conta de armazenamento.

  2. Na guia Avançado, na seção Segurança, marque a caixa ao lado de Padrão para a autorização do Microsoft Entra no portal do Azure.

    Captura de tela mostrando como configurar a autorização padrão do Microsoft Entra no portal do Azure para uma nova conta

  3. Selecione o botão Revisar + criar para executar a validação e criar a conta.

Para atualizar essa configuração para uma conta de armazenamento existente, siga estas etapas:

  1. Navegue até a página de visão geral da conta no portal do Azure.

  2. Em Configurações, escolha Configuração.

  3. Definir o Padrão para autorização do Microsoft Entra no portal do Azure como Habilitado.

    Captura de tela mostrando como configurar a autorização padrão do Microsoft no portal do Azure para uma conta existente

A propriedade defaultToOAuthAuthenticatio de uma conta de armazenamento não é definida por padrão e não retorna um valor até que você a defina explicitamente.

Próximas etapas