Configurar arquivos do Azure
Antes que os usuários da Contoso possam acessar os Arquivos do Azure, eles devem primeiro se autenticar, e o acesso anônimo não é suportado. Como engenheiro de sistema principal, você precisa conhecer os métodos de autenticação suportados pelos Arquivos do Azure, descritos na tabela a seguir.
| Método de autenticação | Description |
|---|---|
| Autenticação baseada em identidade sobre SMB | Preferível ao acessar Arquivos do Azure, ele fornece a mesma experiência de logon único (SSO) contínua ao acessar compartilhamentos de arquivos do Azure como acessar compartilhamentos de arquivos locais. A autenticação baseada em identidade dá suporte à autenticação Kerberos que usa identidades do Microsoft Entra ID (anteriormente Azure AD) ou AD DS. |
| Chave de acesso | Uma chave de acesso é uma opção mais antiga e menos flexível. Uma conta de armazenamento do Azure tem duas chaves de acesso que podem ser usadas ao fazer uma solicitação para a conta de armazenamento, incluindo os Arquivos do Azure. As chaves de acesso são estáticas e fornecem acesso de controle total aos Arquivos do Azure. As chaves de acesso devem ser protegidas e não compartilhadas com os usuários, porque ignoram todas as restrições de controle de acesso. Uma prática recomendada é evitar o compartilhamento de chaves de conta de armazenamento e usar a autenticação baseada em identidade sempre que possível. |
| Um token SAS (Assinatura de Acesso Compartilhado) | O SAS é um URI (Uniform Resource Identifier) gerado dinamicamente baseado na chave de acesso de armazenamento. O SAS fornece direitos de acesso restrito a uma conta de armazenamento do Azure. As restrições incluem permissões permitidas, tempo de início e expiração, endereços IP permitidos de onde as solicitações podem ser enviadas e protocolos permitidos. Com os Arquivos do Azure, um token SAS é usado apenas para fornecer acesso à API REST a partir do código. |
Usar autenticação baseada em identidade
Você pode habilitar a autenticação baseada em identidade em contas de armazenamento do Azure. A primeira etapa é configurar a origem do Ative Directory (AD) para a conta de armazenamento. Para Windows, você pode escolher entre as três fontes do AD a seguir:
- AD DS local
- Serviços de Domínio Microsoft Entra (anteriormente Serviços de Domínio Ative Directory do Azure)
- Microsoft Entra Kerberos (apenas para identidades híbridas)
Para usar o AD DS ou o Microsoft Entra Kerberos, você deve garantir que o AD DS local esteja sincronizando com a ID do Microsoft Entra por meio da sincronização na nuvem do Microsoft Entra Connect ou do Microsoft Entra Connect.
Depois de habilitar a autenticação baseada em identidade para uma conta de armazenamento, os usuários podem acessar arquivos no compartilhamento de arquivos do Azure com suas credenciais de entrada. Quando um usuário tenta acessar dados nos Arquivos do Azure, a solicitação é enviada para AD DS ou ID do Microsoft Entra para autenticação, dependendo da fonte do AD selecionada. Se a autenticação for bem-sucedida, a origem do AD retornará um token Kerberos. Em seguida, o usuário envia uma solicitação que inclui o token Kerberos e o compartilhamento de arquivos do Azure usa esse token para autorizar a solicitação.
Configurar permissões de compartilhamento de arquivos do Azure
Se você tiver habilitado a autenticação baseada em identidade, poderá usar o RBAC (controle de acesso baseado em função) do Azure para controlar os direitos de acesso (ou permissões) aos compartilhamentos de arquivos do Azure. A tabela a seguir lista as funções internas para Arquivos do Azure.
| Função RBAC do Azure | Description |
|---|---|
| Contribuinte de Partilhas SMB de Dados de Ficheiros de Armazenamento | Os usuários nessa função têm acesso de leitura, gravação e exclusão em compartilhamentos de arquivos do Azure sobre SMB. |
| Contribuinte Elevado de Partilhas SMB de Dados de Ficheiros de Armazenamento | Os usuários nessa função têm acesso de permissão de leitura, gravação, exclusão e modificação NTFS em compartilhamentos de arquivos do Azure sobre SMB. Essa função tem permissões de controle total para o compartilhamento de arquivos do Azure. |
| Leitor de Partilhas SMB de Dados de Ficheiros de Armazenamento | Os utilizadores nesta função têm acesso de leitura à partilha de ficheiros do Azure através do SMB. |
| Leitor com Privilégios aos Dados dos Ficheiros de Armazenamento | Os usuários nessa função têm acesso total de leitura em todos os dados nos compartilhamentos de todas as contas de armazenamento configuradas, independentemente das permissões NTFS de nível de arquivo/diretório definidas. |
| Contribuidor com Privilégios aos Dados dos Ficheiros de Armazenamento | Os usuários nessa função têm acesso completo de leitura, gravação, modificação de ACLs e exclusão em todos os dados nos compartilhamentos de todas as contas de armazenamento configuradas, independentemente das permissões NTFS de nível de arquivo/diretório definidas. |
Se necessário, você também pode criar e usar funções RBAC personalizadas. No entanto, as funções RBAC concedem acesso apenas a um compartilhamento. Para acessar arquivos, um usuário também deve ter permissões de diretório e nível de arquivo.
Os compartilhamentos de arquivos do Azure impõem permissões de arquivo padrão do Windows no nível de pasta e arquivo. Você pode montar o compartilhamento e configurar permissões sobre SMB da mesma forma que com compartilhamentos de arquivos locais.
Importante
O controle administrativo total de um compartilhamento de arquivos do Azure, incluindo a capacidade de assumir a propriedade de um arquivo, requer o uso da chave da conta de armazenamento.
Encriptação de dados
Todos os dados armazenados em uma conta de armazenamento do Azure (que inclui os dados em compartilhamentos de arquivos do Azure) são sempre criptografados em repouso usando a Criptografia do Serviço de Armazenamento (SSE). Os dados são encriptados à medida que são escritos nos centros de dados do Azure e são automaticamente desencriptados quando acede aos mesmos. Por padrão, os dados são criptografados usando chaves gerenciadas pela Microsoft, mas você pode optar por trazer sua própria chave de criptografia.
Por padrão, todas as contas de armazenamento do Azure têm a criptografia em trânsito habilitada. Isso garante que todos os dados sejam criptografados ao transferir do data center do Azure para seu dispositivo. O acesso não criptografado usando SMB 2.1 e SMB 3.0 sem criptografia ou HTTP não é permitido por padrão, e os clientes não podem se conectar a compartilhamentos de arquivos do Azure sem criptografia. Isso pode ser configurado para uma conta de armazenamento do Azure e é efetivo para todos os serviços de conta de armazenamento.
Criando compartilhamentos de arquivos do Azure
O Azure Files é implantado como parte de uma conta de armazenamento do Azure. As configurações que você especifica ao criar uma conta de armazenamento do Azure, como local, replicação e método de conectividade, também se aplicam aos Arquivos do Azure. Algumas configurações da conta de armazenamento do Azure, como desempenho e tipo de conta, podem limitar as opções disponíveis para os Arquivos do Azure. Por exemplo, se você quiser usar compartilhamentos de arquivos premium, que usam SSDs, deverá selecionar o desempenho premium e o tipo de conta FileStorage ao criar a conta de armazenamento do Azure.
Depois que uma conta de armazenamento do Azure estiver em vigor, você poderá criar um compartilhamento de arquivos do Azure usando o portal do Azure, o Azure PowerShell, a Interface de Linha de Comando do Azure (CLI do Azure) ou a API REST. Você também pode criar uma conta de armazenamento do Azure usando o Windows Admin Center ao implantar a Sincronização de Arquivos do Azure.
Para criar um compartilhamento de arquivos SMB padrão do Azure, use o procedimento a seguir. Se você estiver criando um compartilhamento de arquivos premium do Azure, também deverá especificar a capacidade provisionada.
- Entre no portal do Azure e selecione a conta de armazenamento apropriada.
- No menu de serviço, em Armazenamento de dados, selecione Compartilhamentos de arquivos.
- No painel de detalhes, na barra de ferramentas, selecione + Compartilhamento de arquivos.
- Na folha Novo compartilhamento de arquivos, digite o Nome desejado e selecione uma camada de Acesso.
- Selecione Rever + criar e, em seguida, selecione Criar.