Usar o provedor de recursos do Armazenamento do Microsoft Azure para acessar recursos de gerenciamento
O Azure Resource Manager é p serviço de implantação e gerenciamento do Azure. O provedor de recursos de Armazenamento do Microsoft Azure é um serviço baseado no Azure Resource Manager e que fornece acesso a recursos de gerenciamento para o Armazenamento do Microsoft Azure. Você pode usar o provedor de recursos de Armazenamento do Microsoft Azure para criar, atualizar, gerenciar e excluir recursos, como contas de armazenamento, pontos de extremidade privados e chaves de acesso de conta. Para saber mais sobre o Azure Resource Manager, confira Visão geral do Azure Resource Manager.
Você pode usar o provedor de recursos de Armazenamento do Microsoft Azure para executar ações como criar ou excluir uma conta de armazenamento ou obter uma lista de contas de armazenamento em uma assinatura. Para autorizar solicitações no provedor de recursos do Armazenamento do Microsoft Azure, use o Microsoft Entra ID. Este artigo descreve como atribuir permissões a recursos de gerenciamento e aponta para exemplos que mostram como fazer solicitações no provedor de recursos de Armazenamento do Microsoft Azure.
Recursos de gerenciamento versus recursos de dados
A Microsoft fornece duas APIs REST para trabalhar com recursos de Armazenamento do Microsoft Azure. Essas APIs formam a base de todas as ações que você pode executar no Armazenamento do Microsoft Azure. A API REST de Armazenamento do Microsoft Azure permite que você trabalhe com os dados em sua conta de armazenamento, incluindo dados de blobs, filas, arquivos e tabelas. A API REST do provedor de recursos de Armazenamento do Microsoft Azure permite que você trabalhe com a conta de armazenamento e os recursos relacionados.
Uma solicitação que lê ou grava dados de blob requer permissões diferentes de uma solicitação que executa uma operação de gerenciamento. O RBAC do Azure fornece controle refinado sobre permissões para ambos os tipos de recursos. Ao atribuir uma função do Azure a uma entidade de segurança, verifique se você entendeu quais permissões a entidade de segurança receberá. Para obter uma referência detalhada que descreve quais ações estão associadas a cada função interna do Azure, confira Funções internas do Azure.
O Armazenamento do Microsoft Azure dá suporte ao uso do Microsoft Entra ID para autorizar solicitações de armazenamento de Blobs e Filas. Para obter informações sobre as funções do Azure para operações de dados de blobs e de fila, confira Autorizar o acesso a blobs e filas usando o Active Directory.
Atribuir permissões de gerenciamento com o RBAC do Azure (controle de acesso baseado em função do Azure)
Cada assinatura do Azure tem um Microsoft Entra ID associado que gerencia usuários, grupos e aplicativos. Um usuário, grupo ou aplicativo também é conhecido como uma entidade de segurança no contexto da plataforma de identidade da Microsoft. Você pode conceder acesso a recursos em uma assinatura para uma entidade de segurança que é definida no Active Directory usando o RBAC do Azure (controle de acesso baseado em função do Azure).
Ao atribuir uma função do Azure a uma entidade de segurança, você também indica o escopo no qual as permissões concedidas pela função estão em vigor. Para operações de gerenciamento, você pode atribuir uma função no nível da assinatura, do grupo de recursos ou da conta de armazenamento. Você pode atribuir uma função do Azure a uma entidade de segurança usando o portal do Azure, a CLI clássica do Azure, o PowerShell ou a API REST do provedor de recursos de Armazenamento do Microsoft Azure.
Para obter mais informações, confira O que é o RBAC do Azure (controle de acesso baseado em função do Azure)? e Funções do Azure, funções do Microsoft Entra e funções de administrador clássico de assinaturas.
Funções internas para operações de gerenciamento
O Azure fornece funções internas que concedem permissões para chamar operações de gerenciamento. O Armazenamento do Azure também fornece funções internas especificamente para uso com o provedor de recursos de Armazenamento do Microsoft Azure.
As funções internas que concedem permissões para chamar operações de gerenciamento de armazenamento incluem as funções descritas na seguinte tabela:
Função do Azure | Descrição | Inclui acesso a chaves de conta? |
---|---|---|
Proprietário | Pode gerenciar todos os recursos de armazenamento e acesso aos recursos. | Sim, fornece permissões para exibir e regenerar as chaves de conta de armazenamento. |
Colaborador | Pode gerenciar todos os recursos de armazenamento, mas não pode gerenciar o acesso aos recursos. | Sim, fornece permissões para exibir e regenerar as chaves de conta de armazenamento. |
Leitor | Pode exibir informações sobre a conta de armazenamento, mas não pode exibir as chaves de conta. | Não. |
Colaborador da Conta de Armazenamento | Pode gerenciar a conta de armazenamento, obter informações sobre os grupos de recursos e os recursos da assinatura, bem como criar e gerenciar implantações de grupo de recursos da assinatura. | Sim, fornece permissões para exibir e regenerar as chaves de conta de armazenamento. |
Administrador de Acesso do Usuário | Pode gerenciar o acesso à conta de armazenamento. | Sim, permite que uma entidade de segurança atribua qualquer permissão a si mesma e a terceiros. |
Colaborador de Máquina Virtual | Pode gerenciar máquinas virtuais, mas não a conta de armazenamento à qual estão conectadas. | Sim, fornece permissões para exibir e regenerar as chaves de conta de armazenamento. |
A terceira coluna na tabela indica se a função interna dá suporte a Microsoft.Storage/storageAccounts/listkeys/action. Essa ação concede permissões para ler e regenerar as chaves da conta de armazenamento. As permissões para acessar os recursos de gerenciamento de Armazenamento do Microsoft Azure também não incluem permissões para acessar dados. O RBAC do Azure fornece funções internas separadas para autorizar o acesso a dados. No entanto, se um usuário tiver acesso às chaves de conta, ele poderá usar as chaves de conta para acessar os dados do Armazenamento do Microsoft Azure por meio da autorização de Chave Compartilhada.
Funções personalizadas para operações de gerenciamento
O Azure também dá suporte à definição de funções personalizadas do Azure para acesso a recursos de gerenciamento. Para saber mais em relação às funções personalizadas, veja Funções personalizadas do Azure.
Exemplos de código
Para obter exemplos de código que mostram como autorizar e chamar operações de gerenciamento das bibliotecas de gerenciamento de Armazenamento do Microsoft Azure, confira os seguintes exemplos:
Azure Resource Manager vs. implantações clássicas
O Gerenciador de Recursos e os modelos de implantação clássicos representam duas maneiras de implantar e gerenciar soluções do Azure. A Microsoft recomenda usar o modelo de implantação do Azure Resource Manager ao criar uma nova conta de armazenamento. Se possível, a Microsoft também recomenda que você recrie contas de armazenamento clássica existentes com o modelo do Resource Manager. Embora você possa criar uma conta de armazenamento usando o modelo de implantação clássico, o modelo clássico é menos flexível e, eventualmente, será preterido.
Para saber mais sobre modelos de implantação do Azure, confira Resource Manager e implantação clássica.