Configurar o controle de acesso para contas de armazenamento
As solicitações de um recurso protegido no serviço de Blob, Arquivo, Fila ou Tabela devem ser autorizadas. A autorização garante que os recursos na conta de armazenamento fiquem acessíveis somente quando você quiser e somente para os usuários ou aplicativos aos quais você conceder acesso.
A tabela a seguir descreve as opções oferecidas pelo Armazenamento do Azure para autorizar o acesso a recursos:
| Artefato do Azure | Chave Compartilhada (chave da conta de armazenamento) | SAS (assinatura de acesso compartilhado) | Microsoft Entra ID | Active Directory Domain Services local | Acesso público anônimo de leitura |
|---|---|---|---|---|---|
| Blobs do Azure | Com suporte | Compatível | Compatível | Sem suporte | Com suporte |
| Arquivos do Azure (SMB) | Com suporte | Sem suporte | Compatível com o Microsoft Entra Domain Services ou o Microsoft Entra Kerberos | Com suporte, as credenciais devem ser sincronizadas com o Microsoft Entra ID | Sem suporte |
| Arquivos do Azure (REST) | Com suporte | Compatível | Compatível | Sem suporte | Sem suporte |
| Filas do Azure | Com suporte | Compatível | Compatível | Sem suporte | Sem suporte |
| Tabelas do Azure | Com suporte | Compatível | Compatível | Sem suporte | Sem suporte |
Cada opção de autorização é descrita brevemente abaixo:
- Microsoft Entra ID: O Microsoft Entra é a solução de gerenciamento de identidade e acesso baseada em nuvem da Microsoft. A integração do Microsoft Entra ID está disponível para os serviços de blob, arquivo, fila e tabela. Com o Microsoft Entra ID, é possível atribuir acesso granular a usuários, grupos ou aplicativos por meio do RBAC (controle de acesso baseado em função).
- Autorização do Microsoft Entra Domain Services para Arquivos do Azure. Os Arquivos do Azure dão suporte à autorização baseada em identidade por meio de Blocos de Mensagens do Servidor (SMB) do Microsoft Entra Domain Services. Você pode usar o RBAC para um controle granular sobre o acesso de um cliente aos recursos dos Arquivos do Azure em uma conta de armazenamento.
- Autorização do Active Directory (AD) para Arquivos do Azure. Os Arquivos do Azure dão suporte à autorização baseada em identidade por meio do SMB e do AD. O serviço de domínio do AD pode ser hospedado em computadores locais ou em VMs do Azure. Há suporte para o acesso SMB aos Arquivos usando credenciais do AD de computadores ingressados no domínio, localmente ou no Azure. Você pode usar o RBAC para controle de acesso no nível de compartilhamento e DACLs do NTFS para imposição de permissões de nível de arquivo e diretório.
- Chave compartilhada: A autorização de chave compartilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada que é passada na solicitação no cabeçalho Autorização.
- Assinaturas de acesso compartilhado: As SAS (assinaturas de acesso compartilhado) delegam acesso a um recurso específico de sua conta, com permissões especificadas e por um intervalo de tempo especificado.
- Acesso anônimo a contêineres e blobs: Opcionalmente, você pode tornar os recursos de blob públicos no nível do contêiner ou do blob. Qualquer usuário pode ter acesso de leitura anônimo a um contêiner ou blob público. Solicitações de leitura para contêineres e blobs públicos não exigem autorização.
A autenticação e autorização de acesso a dados de blob, arquivo, fila e tabela com o Microsoft Entra ID oferece segurança superior e facilidade de uso em comparação com outras opções de autorização. Por exemplo, usando o Microsoft Entra ID, você evita a necessidade de armazenar a chave de acesso da sua conta junto com seu código, como no caso da autorização com Chaves Compartilhadas. Embora você possa continuar a usar a autorização com Chaves Compartilhadas para seus aplicativos de blob e de fila de espera, a Microsoft recomenda que você migre para o Microsoft Entra ID sempre que possível.
Da mesma forma, você pode continuar a usar assinaturas de acesso compartilhado (SAS) para conceder acesso refinado a recursos da sua conta de armazenamento, mas o Microsoft Entra ID oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar em revogar uma SAS comprometida.