Configurar o controle de acesso para contas de armazenamento
As solicitações para um recurso seguro no serviço Blob, Arquivo, Fila ou Tabela devem ser autorizadas. A autorização garante que os recursos em sua conta de armazenamento estejam acessíveis somente quando você quiser que eles estejam, e somente para os usuários ou aplicativos aos quais você concede acesso.
A tabela a seguir descreve as opções que o Armazenamento do Azure oferece para autorizar o acesso aos recursos:
Artefato do Azure | Chave compartilhada (chave de conta de armazenamento) | Assinatura de acesso compartilhado (SAS) | Microsoft Entra ID | Serviços de Domínio Ative Directory locais | Acesso público de leitura anónimo |
---|---|---|---|---|---|
Blobs do Azure | Suportado | Suportado | Suportado | Não suportado | Suportado |
Arquivos do Azure (SMB) | Suportado | Não suportado | Compatível com os Serviços de Domínio Microsoft Entra ou Microsoft Entra Kerberos | Com suporte, as credenciais devem ser sincronizadas com o ID do Microsoft Entra | Não suportado |
Arquivos do Azure (REST) | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Filas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Tabelas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Cada opção de autorização é brevemente descrita abaixo:
- Microsoft Entra ID: O Microsoft Entra é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. A integração do Microsoft Entra ID está disponível para os serviços Blob, File, Queue e Table. Com o Microsoft Entra ID, você pode atribuir acesso refinado a usuários, grupos ou aplicativos por meio do RBAC (controle de acesso baseado em função).
- Autorização dos Serviços de Domínio Microsoft Entra para Arquivos do Azure. O Azure Files dá suporte à autorização baseada em identidade sobre o Server Message Block (SMB) por meio dos Serviços de Domínio Microsoft Entra. Você pode usar o RBAC para controle refinado sobre o acesso de um cliente aos recursos do Azure Files em uma conta de armazenamento.
- Autorização do Ative Directory (AD) para Arquivos do Azure. O Azure Files dá suporte à autorização baseada em identidade sobre SMB por meio do AD. Seu serviço de domínio do AD pode ser hospedado em máquinas locais ou em VMs do Azure. O acesso SMB a Arquivos é suportado usando credenciais do AD de máquinas ingressadas no domínio, no local ou no Azure. Você pode usar RBAC para controle de acesso em nível de compartilhamento e DACLs NTFS para imposição de permissão em nível de diretório e arquivo.
- Chave compartilhada: a autorização de chave compartilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada que é passada na solicitação no cabeçalho Autorização .
- Assinaturas de acesso compartilhado: as assinaturas de acesso compartilhado (SAS) delegam acesso a um recurso específico em sua conta com permissões especificadas e em um intervalo de tempo especificado.
- Acesso anônimo a contêineres e blobs: opcionalmente, você pode tornar os recursos de blob públicos no nível de contêiner ou blob. Um contêiner ou blob público é acessível a qualquer usuário para acesso de leitura anônimo. As solicitações de leitura para contêineres públicos e blobs não exigem autorização.
Autenticar e autorizar o acesso a dados de blob, arquivo, fila e tabela com o Microsoft Entra ID oferece segurança superior e facilidade de uso em relação a outras opções de autorização. Por exemplo, ao usar o Microsoft Entra ID, você evita ter que armazenar a chave de acesso da sua conta com seu código, como faz com a autorização de Chave Compartilhada. Embora você possa continuar a usar a autorização de Chave Compartilhada com seus aplicativos de blob e fila, a Microsoft recomenda mudar para o ID do Microsoft Entra sempre que possível.
Da mesma forma, você pode continuar a usar assinaturas de acesso compartilhado (SAS) para conceder acesso refinado aos recursos em sua conta de armazenamento, mas o Microsoft Entra ID oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar em revogar um SAS comprometido.