Configurar Arquivos do Azure
Antes que os usuários da Contoso possam acessar os Arquivos do Azure, eles devem primeiro se autenticar, e não há suporte para acesso anônimo. Como engenheiro-chefe do sistema, você precisará conhecer os métodos de autenticação aos quais os Arquivos do Azure dão suporte, descritos na tabela a seguir.
| Método de autenticação | Descrição |
|---|---|
| Autenticação baseada em identidade sobre SMB | Preferível ao acessar os Arquivos do Azure, ele proporciona a mesma experiência de SSO (logon único) contínuo ao acessar compartilhamentos de arquivos do Azure que o acesso a compartilhamentos de arquivos locais. A autenticação baseada em identidade dá suporte à autenticação Kerberos, que usa identidades do Microsoft Entra ID (antigo Azure AD) ou do AD DS. |
| Chave de acesso | Uma chave de acesso é uma opção mais antiga e menos flexível. Uma conta de armazenamento do Azure tem duas chaves de acesso que podem ser usadas ao fazer uma solicitação para a conta de armazenamento, incluindo os Arquivos do Azure. As chaves de acesso são estáticas e fornecem acesso de controle total aos Arquivos do Azure. As chaves de acesso devem ser protegidas e não devem ser compartilhadas com os usuários, pois ignoram todas as restrições de controle de acesso. Uma prática recomendada é evitar compartilhar chaves de conta de armazenamento e usar a autenticação baseada em identidade sempre que possível. |
| Um token SAS (Assinatura de Acesso Compartilhado) | SAS é um Uniform Resource Identifier (URI) gerado dinamicamente com base na chave de acesso de armazenamento. O SAS fornece direitos de acesso restritos a uma conta de armazenamento do Azure. As restrições incluem permissões concedidas, hora de início e de término, endereços IP permitidos dos quais as solicitações podem ser enviadas e protocolos permitidos. Com os Arquivos do Azure, um token SAS é usado apenas para fornecer acesso à API REST do código. |
Usar a autenticação baseada em identidade
Você pode habilitar a autenticação baseada em identidade em contas de armazenamento do Azure. A primeira etapa é configurar a origem do Active Directory (AD) para a conta de armazenamento. Para o Windows, você pode escolher entre as três fontes do AD a seguir:
- AD DS local
- Microsoft Entra Domain Services (antigo Azure Active Directory Domain Services)
- Microsoft Entra Kerberos (somente para identidades híbridas)
Para usar o AD DS ou o Microsoft Entra Kerberos, você deve garantir que o AD DS local esteja sincronizando com o Microsoft Entra ID por meio do Microsoft Entra Connect ou da sincronização de nuvem do Microsoft Entra Connect.
Depois de habilitar a autenticação baseada em identidade para uma conta de armazenamento, os usuários podem acessar arquivos no compartilhamento de arquivo do Azure com suas credenciais de entrada. Quando um usuário tenta acessar dados nos Arquivos do Azure, a solicitação é enviada ao AD DS ou ao Microsoft Entra ID para autenticação, dependendo da origem do AD selecionada. Se a autenticação for bem-sucedida, a origem do AD retornará um token do Kerberos. O usuário então envia uma solicitação que inclui o token do Kerberos e o compartilhamento de arquivo do Azure usa esse token para autorizar a solicitação.
Configurar permissões de compartilhamento de arquivo do Azure
Se você tiver habilitado a autenticação baseada em identidade, poderá usar o RBAC (controle de acesso baseado em função do Azure) para controlar os direitos de acesso (ou permissões) para compartilhamentos de arquivos do Azure. A tabela a seguir lista as funções internas dos Arquivos do Azure.
| Função do Azure RBAC | Descrição |
|---|---|
| Colaborador de Compartilhamento SMB de Dados do Arquivo de Armazenamento | Os usuários nesta função têm acesso de leitura, gravação e exclusão em compartilhamentos de arquivo do Azure via SMB. |
| Colaborador elevado de compartilhamento SMB de dados de arquivo de armazenamento | Os usuários nessa função têm acesso de leitura, de gravação, de exclusão e de modificação de permissão do NTFS nos compartilhamentos de arquivo do Azure por SMB. Essa função tem permissões de controle total para o compartilhamento de arquivo do Azure. |
| Leitor de Compartilhamento SMB de Dados do Arquivo de Armazenamento | Os usuários nessa função têm acesso de leitura ao compartilhamento de arquivo do Azure por SMB. |
| Leitor Privilegiado de Dados de Arquivo de Armazenamento | Os usuários nessa função têm acesso de leitura completo em todos os dados nos compartilhamentos para todas as contas de armazenamento configuradas, independentemente das permissões NTFS no nível do arquivo/diretório definidas. |
| Colaborador Privilegiado de Dados de Arquivo de Armazenamento | Os usuários nessa função têm acesso completo de leitura, gravação, modificação de ACLs e exclusão em todos os dados nos compartilhamentos para todas as contas de armazenamento configuradas, independentemente das permissões NTFS no nível do arquivo/diretório definidas. |
Se necessário, você também poderá criar e usar funções RBAC personalizadas. No entanto, as funções RBAC permitem acesso a apenas um compartilhamento. Para acessar arquivos, um usuário também deve ter permissões em nível de diretório e arquivo.
Os compartilhamentos de arquivo do Azure impõem permissões padrão de arquivo do Windows nos níveis de pasta e arquivo. Você pode montar o compartilhamento e configurar permissões sobre o SMB da mesma maneira que com os compartilhamentos de arquivo locais.
Importante
O controle administrativo completo de um compartilhamento de arquivo do Azure, incluindo a capacidade de assumir a propriedade de um arquivo, requer o uso da chave de conta de armazenamento.
Criptografia de dados
Todos os dados armazenados em uma conta de armazenamento do Azure (que inclui os dados em compartilhamentos de arquivos do Azure) são sempre criptografados em repouso usando o SSE (Criptografia do Serviço de Armazenamento). Os dados são criptografados conforme eles são gravados em data centers do Azure e descriptografados automaticamente quando você os acessa. Por padrão, os dados são criptografados usando chaves gerenciadas da Microsoft, mas você pode optar por trazer a própria chave de criptografia.
Por padrão, todas as contas de armazenamento do Azure têm criptografia em trânsito habilitada. Isso garante que todos os dados sejam criptografados ao serem transferidos do data center do Azure para seu dispositivo. O acesso não criptografado usando SMB 2.1 e SMB 3.0 sem criptografia ou HTTP não é permitido por padrão, e os clientes não podem se conectar aos compartilhamentos de arquivo do Azure sem criptografia. Isso pode ser configurado para uma conta de armazenamento do Azure e é eficaz para todos os serviços de conta de armazenamento.
Como criar compartilhamentos de arquivo do Azure
Os Arquivos do Azure são implantados como parte de uma conta de armazenamento do Azure. As configurações que você especifica ao criar uma conta de armazenamento do Azure, como localização, replicação e método de conectividade, também se aplicam aos Arquivos do Azure. Algumas configurações de conta de armazenamento do Azure, como o tipo de conta e de desempenho, podem limitar as opções disponíveis para os Arquivos do Azure. Por exemplo, se você quiser usar compartilhamentos de arquivos Premium, que usam SSDs, deverá selecionar o desempenho Premium e o tipo de FileStorage de conta ao criar a conta de armazenamento do Azure.
Depois que uma conta de armazenamento do Azure estiver em vigor, você poderá criar um compartilhamento de arquivo do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure (interface de linha de comando do Azure) ou a API REST. Você também pode criar uma conta de Armazenamento do Azure usando o Windows Admin Center ao implantar a Sincronização de Arquivos do Azure.
Para criar um compartilhamento de arquivo SMB padrão do Azure, use o procedimento a seguir. Se você estiver criando um compartilhamento de arquivo Premium do Azure, também deverá especificar a capacidade provisionada.
- Entre no portal do Azure e selecione a conta de armazenamento adequada.
- No menu de serviço, em Armazenamento de dados, selecione Compartilhamentos de arquivos.
- No painel de detalhes, na barra de ferramentas, selecione + Compartilhamento de arquivo.
- Na folha Novo compartilhamento de arquivo, insira o Nome desejado e selecione uma Camada de acesso.
- Selecione Examinar + criar e Criar.