Usar o provedor de recursos de Armazenamento do Azure para acessar recursos de gerenciamento
O Azure Resource Manager é o serviço de implementação e gestão do Azure. O provedor de recursos do Armazenamento do Azure é um serviço baseado no Gerenciador de Recursos do Azure e que fornece acesso a recursos de gerenciamento para o Armazenamento do Azure. Você pode usar o provedor de recursos do Armazenamento do Azure para criar, atualizar, gerenciar e excluir recursos, como contas de armazenamento, pontos de extremidade privados e chaves de acesso de conta. Para obter mais informações sobre o Azure Resource Manager, consulte Visão geral do Azure Resource Manager.
Você pode usar o provedor de recursos de Armazenamento do Azure para executar ações como criar ou excluir uma conta de armazenamento ou obter uma lista de contas de armazenamento em uma assinatura. Para autorizar solicitações contra o provedor de recursos de Armazenamento do Azure, use a ID do Microsoft Entra. Este artigo descreve como atribuir permissões a recursos de gerenciamento e aponta para exemplos que mostram como fazer solicitações no provedor de recursos do Armazenamento do Azure.
Recursos de gerenciamento versus recursos de dados
A Microsoft fornece duas APIs REST para trabalhar com recursos de Armazenamento do Azure. Essas APIs formam a base de todas as ações que você pode executar no Armazenamento do Azure. A API REST do Armazenamento do Azure permite que você trabalhe com dados em sua conta de armazenamento, incluindo dados de blob, fila, arquivo e tabela. A API REST do provedor de recursos de Armazenamento do Azure permite que você trabalhe com a conta de armazenamento e recursos relacionados.
Uma solicitação que lê ou grava dados de blob requer permissões diferentes de uma solicitação que executa uma operação de gerenciamento. O RBAC do Azure fornece controle refinado sobre permissões para ambos os tipos de recursos. Ao atribuir uma função do Azure a uma entidade de segurança, certifique-se de entender quais permissões essa entidade será concedida. Para obter uma referência detalhada que descreva quais ações estão associadas a cada função interna do Azure, consulte Funções internas do Azure.
O Armazenamento do Azure dá suporte ao uso da ID do Microsoft Entra para autorizar solicitações no armazenamento de Blob e Fila. Para obter informações sobre funções do Azure para operações de dados de blob e fila, consulte Autorizar o acesso a blobs e filas usando o Ative Directory.
Atribuir permissões de gerenciamento com o controle de acesso baseado em função do Azure (Azure RBAC)
Cada assinatura do Azure tem uma ID do Microsoft Entra associada que gerencia usuários, grupos e aplicativos. Um usuário, grupo ou aplicativo também é conhecido como uma entidade de segurança no contexto da plataforma de identidade da Microsoft. Você pode conceder acesso a recursos em uma assinatura para uma entidade de segurança definida no Ative Directory usando o controle de acesso baseado em função do Azure (Azure RBAC).
Ao atribuir uma função do Azure a uma entidade de segurança, você também indica o escopo no qual as permissões concedidas pela função estão em vigor. Para operações de gerenciamento, você pode atribuir uma função no nível da assinatura, do grupo de recursos ou da conta de armazenamento. Você pode atribuir uma função do Azure a uma entidade de segurança usando o portal do Azure, a CLI clássica do Azure, o PowerShell ou a API REST do provedor de recursos do Armazenamento do Azure.
Para obter mais informações, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC) e funções do Azure, funções do Microsoft Entra e funções de administrador de assinatura clássicas.
Funções internas para operações de gerenciamento
O Azure fornece funções internas que concedem permissões para operações de gerenciamento de chamadas. O Armazenamento do Azure também fornece funções internas especificamente para uso com o provedor de recursos do Armazenamento do Azure.
As funções internas que concedem permissões para chamar operações de gerenciamento de armazenamento incluem as funções descritas na tabela a seguir:
Função do Azure | Description | Inclui acesso a chaves de conta? |
---|---|---|
Proprietário | Pode gerenciar todos os recursos de armazenamento e acesso aos recursos. | Sim, fornece permissões para visualizar e regenerar as chaves da conta de armazenamento. |
Contribuinte | Pode gerenciar todos os recursos de armazenamento, mas não pode gerenciar o acesso aos recursos. | Sim, fornece permissões para visualizar e regenerar as chaves da conta de armazenamento. |
Leitor | Pode exibir informações sobre a conta de armazenamento, mas não pode exibir as chaves da conta. | N.º |
Contribuidor de Conta de Armazenamento | Pode gerenciar a conta de armazenamento, obter informações sobre os grupos de recursos e recursos da assinatura e criar e gerenciar implantações de grupos de recursos de assinatura. | Sim, fornece permissões para visualizar e regenerar as chaves da conta de armazenamento. |
Administrador de Acesso do Utilizador | Pode gerenciar o acesso à conta de armazenamento. | Sim, permite que uma entidade de segurança atribua quaisquer permissões a si e a outras pessoas. |
Contribuidor de Máquina Virtual | Pode gerenciar máquinas virtuais, mas não a conta de armazenamento à qual elas estão conectadas. | Sim, fornece permissões para visualizar e regenerar as chaves da conta de armazenamento. |
A terceira coluna da tabela indica se a função interna oferece suporte a Microsoft.Storage/storageAccounts/listkeys/action. Esta ação concede permissões para ler e regenerar as chaves da conta de armazenamento. As permissões para acessar recursos de gerenciamento do Armazenamento do Azure também não incluem permissões para acessar dados. O RBAC do Azure fornece funções internas separadas para autorizar o acesso a dados. No entanto, se um usuário tiver acesso às chaves de conta, ele poderá usar as chaves de conta para acessar os dados do Armazenamento do Azure por meio da autorização de Chave Compartilhada.
Funções personalizadas para operações de gerenciamento
O Azure também dá suporte à definição de funções personalizadas do Azure para acesso a recursos de gerenciamento. Para obter mais informações sobre funções personalizadas, consulte Funções personalizadas do Azure.
Amostras de código
Para obter exemplos de código que mostram como autorizar e chamar operações de gerenciamento das bibliotecas de gerenciamento do Armazenamento do Azure, consulte os seguintes exemplos:
Azure Resource Manager versus implantações clássicas
Estes modelos representam duas formas distingas de implementar e gerir as suas soluções do Azure. A Microsoft recomenda usar o modelo de implantação do Azure Resource Manager ao criar uma nova conta de armazenamento. Se possível, a Microsoft também recomenda que você recrie contas de armazenamento clássicas existentes com o modelo do Resource Manager. Embora você possa criar uma conta de armazenamento usando o modelo de implantação clássico, o modelo clássico é menos flexível e acabará sendo preterido.
Para obter mais informações sobre modelos de implantação do Azure, consulte Gerenciador de recursos e implantação clássica.