Entender as chaves de conta de armazenamento

  • 5 minutos

Grande parte dos dados da Contoso é gerada ou consumida por aplicativos personalizados. Os aplicativos são escritos em várias linguagens.

As contas de Armazenamento do Azure podem criar aplicativos autorizados no Active Directory para controlar o acesso aos dados em blobs e filas. Essa abordagem de autenticação é a melhor solução para aplicativos que usam o Armazenamento de Blobs ou o Armazenamento de Filas.

Para outros modelos de armazenamento, os clientes podem usar uma chave compartilhada ou um segredo compartilhado. Essa opção de autenticação é uma das mais fáceis de usar e é compatível com blobs, arquivos, filas e tabelas. O cliente insere a chave compartilhada no cabeçalho HTTP Authorization de cada solicitação e a conta de armazenamento valida a chave.

Por exemplo, um aplicativo pode emitir uma solicitação GET em um recurso de blob:

GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats

Os cabeçalhos HTTP controlam a versão da API REST, a data e a chave compartilhada codificada:

x-ms-version: 2018-03-28  
Date: Wed, 23 Oct 2018 21:00:44 GMT  
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Chaves de conta de armazenamento

Nas contas de Armazenamento do Azure, as chaves compartilhadas são chamadas chaves de conta de armazenamento. O Azure cria duas dessas chaves (primária e secundária) para cada conta de armazenamento que você cria. As chaves permitem acesso a tudo na conta.

Você encontrará as chaves de conta de armazenamento na exibição do portal do Azure da conta de armazenamento. No painel do menu à esquerda da sua conta de armazenamento, selecione Segurança + rede>Chaves de acesso.

Captura de tela que mostra as chaves de acesso no portal do Azure.

Proteger chaves compartilhadas

A conta de armazenamento tem somente duas chaves que permitem acesso completo à conta. Como essas chaves são poderosas, use-as somente com aplicativos internos confiáveis que você pode controlar completamente.

Se as chaves forem comprometidas, altere os valores delas no portal do Azure. Aqui estão vários motivos para regenerar as chaves de conta de armazenamento:

  • Por motivos de segurança, você pode regenerar as chaves periodicamente.
  • Se alguém hackear um aplicativo e obtiver a chave que foi embutida em código ou salva em um arquivo de configuração, regenere a chave. A chave comprometida pode dar ao hacker acesso completo à conta de armazenamento.
  • Se a sua equipe estiver usando um aplicativo do Gerenciador de Armazenamento que mantenha a chave de conta de armazenamento e um dos membros da equipe sair, regenere a chave. Caso contrário, o aplicativo continuará a funcionar, permitindo acesso à conta de armazenamento ao antigo membro da equipe.

Para atualizar as chaves:

  • Altere cada aplicativo confiável para usar a chave secundária.
  • Atualize a chave primária no portal do Azure. Esse será o novo valor da chave secundária.

Importante

Depois que você atualizar as chaves, qualquer cliente que tentar usar o valor antigo da chave será recusado. Identifique todos os clientes que usam a chave compartilhada e atualize-os para mantê-los operacionais.