Compreender as chaves de contas de armazenamento

  • 5 minutos

Uma grande parte dos dados da Contoso é gerada ou consumida por aplicações personalizadas. As aplicações são escritas em várias linguagens.

As contas de Armazenamento do Azure podem criar aplicações autorizadas no Active Directory para controlar o acesso aos dados em blobs e filas. Esta abordagem de autenticação é a melhor solução para aplicações que utilizam o armazenamento de blobs ou armazenamento de filas.

Para outros modelos de armazenamento, os clientes podem utilizar uma chave partilhada ou segredo partilhado. Esta opção de autenticação é uma das mais fáceis de utilizar e suporta blobs, ficheiros, filas e tabelas. O cliente incorpora a chave partilhada no cabeçalho de HTTP Authorization de cada pedido e a conta de Armazenamento valida a chave.

Por exemplo, uma aplicação pode emitir um pedido GET para um recurso de blobs:

GET http://myaccount.blob.core.windows.net/?restype=service&comp=stats

Os cabeçalhos de HTTP controlam a versão da API REST, a data e a chave partilhada codificada:

x-ms-version: 2018-03-28  
Date: Wed, 23 Oct 2018 21:00:44 GMT  
Authorization: SharedKey myaccount:CY1OP3O3jGFpYFbTCBimLn0Xov0vt0khH/E5Gy0fXvg=

Chaves de contas de armazenamento

Nas contas de Armazenamento do Azure, as chaves partilhadas são denominadas chaves de contas de armazenamento. O Azure cria duas destas chaves (primária e secundária) para cada conta de armazenamento que criar. As chaves permitem o acesso a tudo na conta.

Irá encontrar as chaves de contas de armazenamento na vista do portal do Azure da conta de armazenamento. No painel de menu esquerdo da sua conta de armazenamento, selecione Segurança + chaves>.

Captura de ecrã a mostrar as chaves de acesso no portal do Azure.

Proteger chaves partilhadas

A conta de armazenamento só tem duas chaves e estas fornecem acesso total à conta. Uma vez que estas chaves fornecem acesso total, utilize-as apenas com aplicações internas fidedignas que controla completamente.

Se as chaves ficarem comprometidas, altere os valores de chave no portal do Azure. Existem vários motivos para voltar a gerar as chaves de contas de armazenamento:

  • Por motivos de segurança, pode voltar a gerar chaves periodicamente.
  • Se alguém aceder de modo ilícito a uma aplicação e obtiver a chave codificada ou guardada num ficheiro de configuração, volte a gerar a chave. A chave comprometida pode dar ao hacker acesso total à sua conta de armazenamento.
  • Se a sua equipa estiver a utilizar uma aplicação do Explorador de Armazenamento que mantém a chave da conta de armazenamento e um dos membros da equipa sair, volte a gerar a chave. Caso contrário, a aplicação continuará a funcionar, dando ao antigo membro de equipa acesso à sua conta de armazenamento.

Para atualizar as chaves:

  • Altere cada aplicação fidedigna para utilizar a chave secundária.
  • Atualize a chave primária no portal do Azure. Este será o novo valor de chave secundária.

Importante

Depois de atualizar as chaves, qualquer cliente que tente utilizar o valor de chave antigo será recusado. Certifique-se de identificar todos os clientes que usam a chave compartilhada e atualizá-los para mantê-los operacionais.