Partilhar via


Gerenciar a autenticação de chave de acesso para uma instância de Configuração do Aplicativo do Azure

Cada solicitação para um recurso de Configuração de Aplicativo do Azure deve ser autenticada. Por padrão, as solicitações podem ser autenticadas com credenciais do Microsoft Entra ou usando uma chave de acesso. Desses dois tipos de esquemas de autenticação, o Microsoft Entra ID oferece segurança superior e facilidade de uso sobre chaves de acesso, e é recomendado pela Microsoft. Para exigir que os clientes usem a ID do Microsoft Entra para autenticar solicitações, você pode desabilitar o uso de chaves de acesso para um recurso de Configuração de Aplicativo do Azure. Se você quiser usar chaves de acesso para autenticar a solicitação, é recomendável girar as chaves de acesso periodicamente para aumentar a segurança. Consulte as recomendações para proteger segredos de aplicativos para saber mais.

Ativar autenticação de chave de acesso

A chave de acesso está habilitada por padrão, você pode usar chaves de acesso em seu código para autenticar solicitações.

Para permitir a autenticação de chave de acesso para um recurso de Configuração de Aplicativo do Azure no portal do Azure, siga estas etapas:

  1. Navegue até o recurso de Configuração do Aplicativo do Azure no portal do Azure.

  2. Localize a configuração Configurações de acesso em Configurações.

    Captura de ecrã a mostrar como aceder a uma folha de chave de acesso de recursos de Configuração de Aplicações do Azure.

  3. Defina a alternância Ativar teclas de acesso como Habilitado.

    Captura de ecrã a mostrar como ativar a autenticação de chave de acesso para a Configuração de Aplicações do Azure.

Verifique se a autenticação da chave de acesso está ativada

Para verificar se a autenticação de chave de acesso está habilitada, verifique se você consegue obter uma lista de chaves de acesso somente leitura e leitura-gravação. Esta lista só existirá se a autenticação da chave de acesso estiver ativada.

Para verificar se a autenticação de chave de acesso está habilitada para um recurso de Configuração de Aplicativo do Azure no portal do Azure, siga estas etapas:

  1. Navegue até o recurso de Configuração do Aplicativo do Azure no portal do Azure.

  2. Localize a configuração Configurações de acesso em Configurações.

    Captura de ecrã a mostrar como aceder a uma folha de chave de acesso de recursos de Configuração de Aplicações do Azure.

  3. Verifique se há chaves de acesso exibidas e se o estado alternado de Ativar chaves de acesso está habilitado.

    Captura de ecrã a mostrar chaves de acesso para um recurso de Configuração de Aplicações do Azure.

Desativar a autenticação da chave de acesso

A desativação da autenticação de chave de acesso excluirá todas as chaves de acesso. Se algum aplicativo em execução estiver usando chaves de acesso para autenticação, eles começarão a falhar quando a autenticação de chave de acesso estiver desabilitada. Somente as solicitações autenticadas usando o Microsoft Entra ID terão êxito. Para obter mais informações sobre como usar a ID do Microsoft Entra, consulte Autorizar o acesso à Configuração do Aplicativo do Azure usando a ID do Microsoft Entra. Habilitar a autenticação de chave de acesso novamente gerará um novo conjunto de chaves de acesso e todos os aplicativos que tentarem usar as chaves de acesso antigas ainda falharão.

Aviso

Se algum cliente estiver acessando dados em seu recurso de Configuração de Aplicativo do Azure com chaves de acesso, a Microsoft recomenda que você migre esses clientes para a ID do Microsoft Entra antes de desabilitar a autenticação de chave de acesso.

Para não permitir a autenticação de chave de acesso para um recurso de Configuração de Aplicativo do Azure no portal do Azure, siga estas etapas:

  1. Navegue até o recurso de Configuração do Aplicativo do Azure no portal do Azure.

  2. Localize a configuração Configurações de acesso em Configurações.

    Captura de ecrã a mostrar como aceder a uma folha de chave de acesso de recursos de Configuração de Aplicações do Azure.

  3. Defina a alternância Ativar teclas de acesso como Desativado.

    Captura de ecrã a mostrar como desativar a autenticação de chave de acesso para a Configuração de Aplicações do Azure

Verifique se a autenticação da chave de acesso está desativada

Para verificar se a autenticação de chave de acesso não é mais permitida, uma solicitação pode ser feita para listar as chaves de acesso para o recurso de Configuração de Aplicativo do Azure. Se a autenticação de chave de acesso estiver desabilitada, não haverá chaves de acesso e a operação de lista retornará uma lista vazia.

Para verificar se a autenticação de chave de acesso está desabilitada para um recurso de Configuração de Aplicativo do Azure no portal do Azure, siga estas etapas:

  1. Navegue até o recurso de Configuração do Aplicativo do Azure no portal do Azure.

  2. Localize a configuração Configurações de acesso em Configurações.

    Captura de ecrã a mostrar como aceder a uma folha de chave de acesso de recursos de Configuração de Aplicações do Azure.

  3. Verifique se não há chaves de acesso exibidas e se o estado alternado de Ativar chaves de acesso está desativado.

    Captura de ecrã a mostrar chaves de acesso a serem desativadas para um recurso de Configuração de Aplicações do Azure

Permissões para permitir ou não a autenticação da chave de acesso

Para modificar o estado da autenticação de chave de acesso para um recurso de Configuração de Aplicativo do Azure, um usuário deve ter permissões para criar e gerenciar recursos de Configuração de Aplicativo do Azure. As funções de controle de acesso baseado em função do Azure (Azure RBAC) que fornecem essas permissões incluem a ação Microsoft.AppConfiguration/configurationStores/write ou Microsoft.AppConfiguration/configurationStores/* . As funções incorporadas com esta ação incluem:

Essas funções não fornecem acesso a dados em um recurso de Configuração de Aplicativo do Azure por meio da ID do Microsoft Entra. No entanto, eles incluem a permissão de ação Microsoft.AppConfiguration/configurationStores/listKeys/action , que concede acesso às chaves de acesso do recurso. Com essa permissão, um usuário pode usar as chaves de acesso para acessar todos os dados no recurso.

As atribuições de função devem ter escopo para o nível do recurso de Configuração do Aplicativo do Azure ou superior para permitir que um usuário permita ou não a autenticação de chave de acesso para o recurso. Para obter mais informações sobre o escopo da função, consulte Entender o escopo do RBAC do Azure.

Tenha cuidado para restringir a atribuição dessas funções apenas aos usuários que exigem a capacidade de criar um recurso de Configuração de Aplicativo ou atualizar suas propriedades. Use o princípio do menor privilégio para garantir que os usuários tenham o menor número de permissões de que precisam para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Práticas recomendadas para o RBAC do Azure.

Nota

As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, portanto, um usuário com uma dessas funções administrativas também pode criar e gerenciar recursos de Configuração do Aplicativo. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.

Nota

Quando a autenticação de chave de acesso estiver desabilitada e o modo de autenticação ARM da App Configuration Store for local, a capacidade de ler/gravar valores de chave em um modelo ARM também será desabilitada. Isso ocorre porque o acesso ao recurso Microsoft.AppConfiguration/configurationStores/keyValues usado em modelos ARM requer autenticação de chave de acesso com modo de autenticação ARM local. Recomenda-se o uso do modo de autenticação ARM de passagem. Para obter mais informações, consulte Visão geral da implantação.

Rotação de chaves de acesso

A Microsoft recomenda a rotação periódica de chaves de acesso para mitigar o risco de vetores de ataque de segredos vazados. Cada recurso de Configuração de Aplicativo do Azure inclui duas chaves de acesso somente leitura e duas chaves de acesso leitura-gravação, designadas como chaves primárias e secundárias, para facilitar a rotação contínua de segredos. Essa configuração permite que você alterne as chaves de acesso em seus aplicativos sem causar nenhum tempo de inatividade.

Você pode girar as teclas usando o seguinte procedimento:

  1. Se você estiver usando ambas as chaves na produção, altere seu código para que apenas uma chave de acesso esteja em uso. Neste exemplo, digamos que você decida continuar usando a chave primária da sua loja. Você deve ter apenas uma chave em seu código, porque quando você regenerar sua chave secundária, a versão mais antiga dessa chave deixará de funcionar imediatamente, fazendo com que os clientes que usam a chave mais antiga obtenham erros de acesso negado 401.

  2. Uma vez que a chave primária é a única chave em uso, você pode regenerar a chave secundária.

    Vá para a página do seu recurso no portal do Azure, abra o menu Configurações>de configurações de acesso e selecione Regenerar em Chave secundária.

    Captura de ecrã a mostrar a chave secundária regenerada.

  3. Em seguida, atualize seu código para usar a chave secundária recém-gerada. É aconselhável revisar os logs do aplicativo para confirmar se todas as instâncias do aplicativo passaram do uso da chave primária para a chave secundária antes de prosseguir para a próxima etapa.

  4. Finalmente, você pode invalidar as chaves primárias regenerando-as. Da próxima vez, você pode alternar as chaves de acesso entre as chaves secundária e primária usando o mesmo processo.

Próximos passos