Configurar o controle de acesso para contas de armazenamento

Concluído

As solicitações para um recurso seguro no serviço Blob, Arquivo, Fila ou Tabela devem ser autorizadas. A autorização garante que os recursos em sua conta de armazenamento estejam acessíveis somente quando você quiser que eles estejam, e somente para os usuários ou aplicativos aos quais você concede acesso.

A tabela a seguir descreve as opções que o Armazenamento do Azure oferece para autorizar o acesso aos recursos:

Artefato do Azure Chave compartilhada (chave de conta de armazenamento) Assinatura de acesso compartilhado (SAS) Microsoft Entra ID Serviços de Domínio Ative Directory locais Acesso público de leitura anónimo
Blobs do Azure Suportado Suportado Suportado Não suportado Suportado
Arquivos do Azure (SMB) Suportado Não suportado Compatível com os Serviços de Domínio Microsoft Entra ou Microsoft Entra Kerberos Com suporte, as credenciais devem ser sincronizadas com o ID do Microsoft Entra Não suportado
Arquivos do Azure (REST) Suportado Suportado Suportado Não suportado Não suportado
Filas do Azure Suportado Suportado Suportado Não suportado Não suportado
Tabelas do Azure Suportado Suportado Suportado Não suportado Não suportado

Cada opção de autorização é brevemente descrita abaixo:

  • Microsoft Entra ID: O Microsoft Entra é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. A integração do Microsoft Entra ID está disponível para os serviços Blob, File, Queue e Table. Com o Microsoft Entra ID, você pode atribuir acesso refinado a usuários, grupos ou aplicativos por meio do RBAC (controle de acesso baseado em função).
  • Autorização dos Serviços de Domínio Microsoft Entra para Arquivos do Azure. O Azure Files dá suporte à autorização baseada em identidade sobre o Server Message Block (SMB) por meio dos Serviços de Domínio Microsoft Entra. Você pode usar o RBAC para controle refinado sobre o acesso de um cliente aos recursos do Azure Files em uma conta de armazenamento.
  • Autorização do Ative Directory (AD) para Arquivos do Azure. O Azure Files dá suporte à autorização baseada em identidade sobre SMB por meio do AD. Seu serviço de domínio do AD pode ser hospedado em máquinas locais ou em VMs do Azure. O acesso SMB a Arquivos é suportado usando credenciais do AD de máquinas ingressadas no domínio, no local ou no Azure. Você pode usar RBAC para controle de acesso em nível de compartilhamento e DACLs NTFS para imposição de permissão em nível de diretório e arquivo.
  • Chave compartilhada: a autorização de chave compartilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada que é passada na solicitação no cabeçalho Autorização .
  • Assinaturas de acesso compartilhado: as assinaturas de acesso compartilhado (SAS) delegam acesso a um recurso específico em sua conta com permissões especificadas e em um intervalo de tempo especificado.
  • Acesso anônimo a contêineres e blobs: opcionalmente, você pode tornar os recursos de blob públicos no nível de contêiner ou blob. Um contêiner ou blob público é acessível a qualquer usuário para acesso de leitura anônimo. As solicitações de leitura para contêineres públicos e blobs não exigem autorização.

Autenticar e autorizar o acesso a dados de blob, arquivo, fila e tabela com o Microsoft Entra ID oferece segurança superior e facilidade de uso em relação a outras opções de autorização. Por exemplo, ao usar o Microsoft Entra ID, você evita ter que armazenar a chave de acesso da sua conta com seu código, como faz com a autorização de Chave Compartilhada. Embora você possa continuar a usar a autorização de Chave Compartilhada com seus aplicativos de blob e fila, a Microsoft recomenda mudar para o ID do Microsoft Entra sempre que possível.

Da mesma forma, você pode continuar a usar assinaturas de acesso compartilhado (SAS) para conceder acesso refinado aos recursos em sua conta de armazenamento, mas o Microsoft Entra ID oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar em revogar um SAS comprometido.