Escolher como autorizar o acesso aos dados de arquivos no portal do Azure
Quando você acessa dados de arquivo usando o portal do Azure, o portal faz solicitações ao Arquivos do Azure nos bastidores. Essas solicitações podem ser autorizadas usando a sua conta do Microsoft Entra ou a chave de acesso da conta de armazenamento. O portal indica qual método você está usando e permite que você alterne entre os dois métodos se tiver as permissões apropriadas.
Importante
Acessar um compartilhamento de arquivos usando chaves de conta de armazenamento carrega riscos de segurança inerentes – portanto, autentique-se com o Microsoft Entra quando possível. Para obter informações sobre como proteger e gerenciar suas chaves, confira Gerenciar as chaves de acesso da conta de armazenamento.
Você também pode especificar como autorizar uma operação individual de compartilhamento de arquivo no portal do Azure. Por padrão, o portal usa qualquer método que você já esteja usando para autorizar todos os compartilhamentos de arquivos, mas você tem a opção de alterar essa configuração para compartilhamentos de arquivos individuais.
Permissões necessárias para acessar os dados de arquivo
Dependendo de como você deseja autorizar o acesso aos dados de arquivo no portal do Azure, você precisará de permissões específicas. Na maioria dos casos, essas permissões são fornecidas por meio do Azure RBAC (controle de acesso baseado em função do Azure).
Usar sua conta do Microsoft Entra
Para acessar dados de arquivo no portal do Azure usando sua conta do Microsoft Entra, estas duas instruções devem ser verdadeiras:
- Você é designado a uma função interna ou personalizada que fornece acesso aos dados de arquivo.
- Você é designado a função Leitor do Azure Resource Manager, no mínimo, no escopo do nível da conta de armazenamento ou superior. A função Leitor concede as permissões mais restritas, mas outra função do Azure Resource Manager que conceda acesso aos recursos de gerenciamento da conta de armazenamento também é aceitável.
A função Leitor do Azure Resource Manager permite aos usuários exibir os recursos da conta de armazenamento, mas não os modificar. Ela não dá permissões de leitura para dados no Armazenamento do Microsoft Azure, mas apenas para recursos de gerenciamento de conta. A função Leitor é necessária para que os usuários possam navegar até os compartilhamentos de arquivo no portal do Azure.
Há duas novas funções internas que têm as permissões necessárias para acessar dados de arquivo com o OAuth:
- Leitor Privilegiado de Dados de Arquivo de Armazenamento
- Colaborador Privilegiado de Dados de Arquivo de Armazenamento
Para obter informações sobre as funções internas que aceitam o acesso a dados de arquivo, confira Acessar o compartilhamento de arquivos do Azure usando o Microsoft Entra ID com o OAuth dos Arquivos do Azure por meio de REST.
Observação
A função Colaborador Privilegiado de Dados de Arquivo de Armazenamento tem permissões para ler, gravar, excluir e modificar permissões de ACLs/NTFS em arquivos/diretórios do compartilhamento de arquivos do Azure. Não há suporte para a modificação de permissões de ACLs/NTFS por meio do portal do Azure.
As funções personalizadas podem dar suporte a diferentes combinações das mesmas permissões fornecidas pelas funções internas. Para obter mais informações sobre como criar funções personalizadas do Azure, consulte Funções personalizadas do Azure e Compreender as definições de função para recursos do Azure.
Usar a chave de acesso da conta de armazenamento
Para acessar os dados de arquivo com a chave de acesso da conta de armazenamento, você precisa ter uma função do Azure atribuída a você que inclua a ação do Azure RBAC Microsoft.Storage/storageAccounts/listkeys/Action. Essa função do Azure pode ser uma função interna ou personalizada. As funções internas que dão suporte a Microsoft.Storage/storageAccounts/listkeys/action incluem o seguinte, das menores permissões para as maiores:
- A função de Acesso a Dados e ao Leitor
- A função de Colaborador da Conta de Armazenamento
- A função de Colaborador do Azure Resource Manager
- A função de Proprietário do Azure Resource Manager
Quando você tenta acessar dados de arquivo no portal do Azure, o portal primeiro verifica se você recebeu uma função com Microsoft.Storage/storageAccounts/listkeys/action. Se você tiver recebido uma função com essa ação, o portal usará a chave de conta de armazenamento para acessar os dados de arquivo. Se uma função com essa ação não foi atribuída a você, o portal tenta acessar os dados usando a sua conta do Microsoft Entra.
Importante
Quando uma conta de armazenamento é bloqueada com um bloqueio ReadOnly do Azure Resource Manager, a operação Listar chaves não é permitida nessa conta de armazenamento. List Keys é uma operação POST e todas as operações POST são impedidas quando um bloqueio ReadOnly é configurado na conta. Por esse motivo, quando a conta é bloqueada com um bloqueio ReadOnly, os usuários devem usar as credenciais do Microsoft Entra para acessar dados de arquivo no portal. Para obter informações sobre como acessar dados de arquivo no portal do Azure com o Microsoft Entra ID, consulte Usar sua conta do Microsoft Entra.
Observação
As funções de administrador Administrador de Serviços e Coadministrador da assinatura clássica incluem o equivalente à função Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, incluindo Microsoft.Storage/storageAccounts/listkeys/action, para que um usuário com uma dessas funções administrativas também possa acessar os dados de arquivo com a chave de conta de armazenamento. Para obter mais informações, veja Funções do Azure, funções do Microsoft Entra e funções de administrador da assinatura clássico.
Especificar como autorizar operações em um compartilhamento de arquivo específico
Você pode alterar o método de autenticação para compartilhamentos de arquivos individuais. Por padrão, o portal usa o método de autenticação atual. Para determinar o método de autenticação atual, siga estas etapas.
- Navegue até sua conta de armazenamento no portal do Azure.
- No menu de serviço, em Armazenamento de dados, selecione Compartilhamentos de arquivos.
- Selecione um compartilhamento de arquivos.
- Selecione Procurar.
- O método de autenticação indica se você está usando a chave de acesso da conta de armazenamento ou sua conta do Microsoft Entra para autenticar e autorizar operações de compartilhamento de arquivos. Se estiver fazendo a autenticação usando a chave de acesso da conta de armazenamento, você verá a Chave de Acesso especificada como o método de autenticação, como na imagem a seguir. Se você estiver se autenticando com sua conta do Microsoft Entra, verá a conta de usuário do Microsoft Entra especificada.
Autenticar com sua conta do Microsoft Entra
Para alternar para usar sua conta do Microsoft Entra, selecione o link realçado na imagem que diz Alternar para conta de usuário do Microsoft Entra. Se você tiver as permissões apropriadas por meio das funções do Azure atribuídas a você, poderá continuar. No entanto, se você não tiver as permissões necessárias, verá uma mensagem de erro informando que não tem permissões para listar os dados usando sua conta de usuário com o Microsoft Entra ID.
Duas permissões adicionais do RBAC são necessárias para usar sua conta do Microsoft Entra:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Nenhum compartilhamento de arquivo aparecerá na lista se a sua conta do Microsoft Entra não tiver permissões para exibi-los.
Autenticar com a chave de acesso da conta de armazenamento
Para alternar para o uso da chave de acesso da conta, selecione o link que diz Alternar para a chave de acesso. Se você tiver acesso à chave da conta de armazenamento, poderá continuar. No entanto, se você não tiver acesso à chave da conta, verá uma mensagem de erro informando que não tem permissões para usar a chave de acesso para listar dados.
Nenhum compartilhamento de arquivo aparecerá na lista se você não tiver acesso à chave de acesso da conta de armazenamento.
Padrão para autorização do Microsoft Entra no portal do Azure
Ao criar uma nova conta de armazenamento, você pode especificar que o portal do Azure será padrão para autorização com o Microsoft Entra ID quando um usuário navegar para os dados do arquivo. Você também pode configurar essa configuração para uma conta de armazenamento existente. Essa configuração especifica apenas o método de autorização padrão. Lembre-se de que um usuário pode substituir essa configuração e optar por autorizar o acesso aos dados com a chave da conta de armazenamento.
Para especificar que o portal usará a autorização do Microsoft Entra por padrão para acesso a dados ao criar uma conta de armazenamento, siga estas etapas:
Crie uma conta de armazenamento de uso geral seguindo as instruções descritas em Criar uma conta de armazenamento.
Na guia Avançado, na seção Segurança, marque a caixa ao lado de Padrão para a autorização do Microsoft Entra no portal do Azure.
Selecione Examinar + criar para executar a validação e criar a conta de armazenamento.
Para atualizar essa configuração para uma conta de armazenamento existente, siga estas etapas:
- Navegue até a página de visão geral da conta de armazenamento no portal do Azure.
- Em Configurações, escolha Configuração.
- Defina o Padrão para autorização do Microsoft Entra no portal do Azure como Habilitado.