Gerenciar contêineres de blob usando o portal do Azure

  • Artigo

O Armazenamento de Blobs do Azure permite armazenar grandes quantidades de dados de objeto não estruturados. Você pode usar o Armazenamento de Blobs para coletar ou expor dados de mídia, conteúdo ou aplicativo aos usuários. Como todos os dados de blob são armazenados em contêineres, você precisa criar um contêiner de armazenamento antes de começar a carregar dados. Para saber mais sobre o Armazenamento de Blobs, confira Introdução ao Armazenamento de Blobs do Azure.

Neste artigo de instruções, você aprende a trabalhar com objetos de contêiner no portal do Azure.

Pré-requisitos

Para acessar o Armazenamento do Azure, você precisará de uma assinatura do Azure. Se você ainda não tiver uma assinatura, crie uma conta gratuita antes de começar.

Todo o acesso ao Armazenamento do Azure ocorre por meio de uma conta de armazenamento. Para este artigo de instruções, crie uma conta de armazenamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Para obter ajuda sobre como criar uma conta de armazenamento, confira Criar uma conta de armazenamento.

Criar um contêiner

Um contêiner organiza um conjunto de blobs, semelhantes a um diretório em um sistema de arquivos. Uma conta de armazenamento pode incluir um número ilimitado de contêineres e um contêiner pode armazenar um número ilimitado de blobs.

Para criar um contêiner no portal do Azure, siga estas etapas:

  1. No painel de navegação do portal no lado esquerdo da tela, selecione Contas de armazenamento e escolha uma conta de armazenamento. Se o painel de navegação não estiver visível, selecione o botão de menu para alternar entre sua visibilidade.

    Screenshot of the Azure portal homepage showing the location of the Menu button in the browser.

  2. No painel de navegação da conta de armazenamento, role a página até a seção Armazenamento de dados e selecione Contêineres.

  3. No painel Contêineres, selecione o botão + Contêiner para abrir o painel Novo contêiner.

  4. No painel Novo Contêiner, dê um Nome ao novo contêiner. O nome do contêiner deve estar com letras minúsculas, começar com uma letra ou número e pode incluir apenas letras, números e o caractere traço (-). O nome também precisa ter entre 3 e 63 caracteres. Para obter mais informações sobre nomes de contêiner e de blobs, confira Nomeando e referenciando contêineres, blobs e metadados.

  5. Defina o Nível de acesso anônimo para o contêiner. O nível recomendado é Privado (sem acesso anônimo). Para obter informações sobre como impedir o acesso público anônimo aos dados de blob, consulte Visão geral: Correção do acesso anônimo de leitura pública para dados de blob.

  6. Selecione Criar para criar o contêiner.

    Screenshot showing how to create a container within the Azure portal.

Ler metadados e propriedades do contêiner

Um contêiner expõe as propriedades do sistema e os metadados definidos pelo usuário. Existem propriedades do sistema em cada recurso de Armazenamento de Blobs. Algumas propriedades são somente leitura, enquanto outras podem ser lidas ou definidas.

Os metadados definidos pelo usuário consistem em um ou mais pares nome/valor que você especifica para um recurso de Armazenamento de Blobs. É possível usar os metadados para armazenar valores adicionais com o recurso. Os valores de metadados são apenas para serem usados para os objetivos que você desejar e não afetam o comportamento do recurso.

Propriedades do contêiner

Para exibir as propriedades de um contêiner no portal do Azure, siga estas etapas:

  1. Navegue até a lista de contêineres dentro da sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner cujas propriedades você deseja exibir.

  3. Selecione o botão Mais do contêiner (...) e depois Propriedades do contêiner para exibir o painel Propriedades do contêiner.

    Screenshot showing how to display container properties within the Azure portal.

Ler e gravar metadados de contêiner

Os usuários com um grande número de objetos em sua conta de armazenamento podem organizar seus dados logicamente dentro de contêineres usando metadados.

Para gerenciar os metadados de um contêiner no portal do Azure, siga estas etapas:

  1. Navegue até a lista de contêineres na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner cujos metadados você deseja gerenciar.

  3. Selecione o botão Mais do contêiner (...) e, em seguida, selecione Editar metadados para exibir o painel Metadados do contêiner.

    Screenshot showing how to access container metadata within the Azure portal.

  4. O painel Metadados do contêiner exibirá pares chave-valor dos metadados existentes. Os dados existentes podem ser editados por meio da seleção de uma chave ou valor existentes e da substituição dos dados. Você pode incluir metadados adicionais e fornecer dados nos campos vazios fornecidos. Por fim, selecione Salvar para confirmar seus dados.

    Screenshot showing how to update container metadata within the Azure portal.

Gerenciar o acesso a contêiner e blob

O gerenciamento correto do acesso a contêineres e seus blobs é fundamental para garantir que os dados permaneçam seguros. As seções a seguir mostram como você pode atender aos seus requisitos de acesso.

Gerenciar atribuições de função RBAC do Azure para o contêiner

O Microsoft Entra ID oferece a segurança ideal para recursos de Armazenamento de Blobs. O RBAC (controle de acesso baseado em função) do Azure determina quais permissões uma entidade de segurança tem para um determinado recurso. Para conceder acesso a um contêiner, você atribuirá uma função RBAC no escopo do contêiner ou superior para um usuário, grupo, entidade de serviço ou identidade gerenciada. Você também pode optar por adicionar uma ou mais condições à atribuição de função.

Você pode ler sobre a atribuição de funções em Atribuir funções do Azure usando o portal do Azure.

Gerar uma Assinatura de Acesso Compartilhado

Uma SAS (assinatura de acesso compartilhado) fornece acesso temporário, seguro e delegado a um cliente que, normalmente, não teria permissões. Com uma SAS, você tem controle granular sobre como um cliente pode acessar seus dados. Por exemplo, você pode especificar quais recursos estão disponíveis para o cliente. Você também pode limitar os tipos de operações que o cliente pode executar e especificar a duração.

O Azure dá suporte a três tipos de SAS. Uma SAS de serviço delega acesso a um recurso em apenas um dos serviços de armazenamento: Blob, Fila, Tabela ou Arquivo. Uma SAS de conta é semelhante a uma SAS de serviço, mas pode permitir o acesso a recursos em mais de um serviço de armazenamento. Uma SAS de delegação de usuário é uma SAS protegida com credenciais do Microsoft Entra e só pode ser usada com o serviço de Armazenamento de Blobs.

Ao criar uma SAS, você pode definir limitações de acesso com base no nível de permissão, endereço IP ou intervalo ou data e hora de início e expiração. Há mais informações em Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado.

Cuidado

Qualquer cliente que possua um SAS válido pode acessar os dados em sua conta de armazenamento conforme permitido por esse SAS. É importante proteger um SAS contra uso malicioso ou não intencional. Use discrição ao distribuir um SAS e tenha um plano em vigor para revogar um SAS comprometido.

Para gerar um token SAS usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até a lista de contêineres na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você gerará um token SAS.

  3. Selecione o botão Mais do contêiner (...) e depois Gerar SAS para exibir o painel Gerar SAS.

    Screenshot showing how to access container shared access signature settings in the Azure portal.

  4. No painel Gerar SAS, selecione o valor da Chave de conta para o campo Método de assinatura.

  5. No campo Método de assinatura, selecione Chave de conta. Ao escolher a chave da conta, será criada uma SAS de serviço.

  6. No campo Chave de assinatura, selecione a chave desejada a ser usada para assinar a SAS.

  7. No campo Política de acesso armazenado, selecione Nenhum.

  8. Selecione o campo Permissões e marque as caixas de seleção correspondentes às permissões desejadas.

  9. Na seção Data/hora de início e expiração, especifique os valores desejados de Início e Expiração para data, hora e fuso horário.

  10. Como opção, especifique um endereço IP ou um intervalo de endereços IP dos quais aceitar solicitações no campo Endereços IP permitidos. Se o endereço IP da solicitação não for igual ao endereço IP ou intervalo de endereços especificados no token SAS, ele não será autorizado.

  11. Como opção, especifique o protocolo permitido para solicitações feitas com a SAS no campo Protocolos permitidos. O valor padrão é HTTPS.

  12. Analise as configurações para obter precisão, depois selecione Gerar token SAS e URL para exibir o Token SAS do blob e as cadeias de caracteres de consulta da URL da SAS do blob.

    Screenshot showing how to generate a SAS for a container within the Azure portal.

  13. Copie e cole o token SAS do blob e os valores da URL do SAS do blob em um local seguro. Eles são exibidos apenas uma vez e não poderão ser recuperados depois que a janela for fechada.

Observação

O token SAS retornado pelo portal não inclui o caractere delimitador ('?') para a cadeia de caracteres de consulta da URL. Se estiver acrescentando o token SAS a uma URL de recurso, lembre-se de acrescentar o caractere delimitador à URL do recurso antes de acrescentar o token SAS.

Criar uma política de acesso ou imutabilidade armazenada

Uma política de acesso armazenado proporciona controle adicional do lado do servidor sobre uma ou mais assinaturas de acesso compartilhado. Ao associar uma SAS a uma política de acesso armazenado, a SAS herda as restrições definidas na política. Essas restrições extras permitem alterar a hora de início, a hora de expiração ou as permissões de uma assinatura. Você também pode revogá-la depois que ela for emitida.

As políticas de imutabilidade podem ser usadas para proteger seus dados contra substituições e exclusões. As políticas de imutabilidade permitem que objetos sejam criados e lidos, mas impedem sua modificação ou exclusão por uma duração específica. O Armazenamento de Blobs dá suporte a dois tipos de políticas de imutabilidade. Uma política de retenção baseada em tempo proíbe operações de gravação e exclusão durante um período definido. Uma retenção legal também proíbe operações de gravação e exclusão, mas deve ser explicitamente limpa antes da retomada dessas operações.

Criar uma política de acesso armazenada

Configurar uma política de acesso armazenado é um processo de duas etapas: primeiro, a política deve ser definida; posteriormente, ela deve ser aplicada ao contêiner. Para configurar uma política de acesso armazenado, siga estas etapas:

  1. No portal do Azure, navegue até a lista de contêineres na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você gerará um token SAS.

  3. Selecione o botão Mais do contêiner (...) e depois selecione Política de acesso para exibir o painel Política de acesso.

    Screenshot showing how to access container stored access policy settings in the Azure portal.

  4. No painel Política de acesso, selecione + Adicionar política na seção Políticas de acesso armazenado para exibir o painel Adicionar política. Todas as políticas existentes serão exibidas na seção apropriada.

    Screenshot showing how to add a stored access policy in the Azure portal.

  5. No painel Adicionar política, selecione a caixa Identificador e adicione um nome para sua nova política.

  6. Selecione o campo Permissões e marque as caixas de seleção correspondentes às permissões desejadas para sua nova política.

  7. Como opção, forneça valores de data, hora e fuso horário para os campos Hora de início e Hora de expiração para definir o período de validade da política.

  8. Analise as configurações para quanto à precisão e selecione OK para atualizar o painel Política do acesso.

    Cuidado

    Embora sua política agora esteja sendo exibida na tabela de Política de acesso armazenado, ela ainda não é aplicada ao contêiner. Se você navegar para longe do painel Política de acesso neste momento, a política não será salva ou aplicada, e você perderá seu trabalho.

    Screenshot showing how to create a stored access policy within the Azure portal.

  9. No painel Política de acesso, selecione + Adicionar política para definir outra política ou selecione Salvar para aplicar sua nova política ao contêiner. Depois de criar pelo menos uma política de acesso armazenado, você poderá associar outras SAS (assinaturas de acesso seguro) a ela.

    Screenshot showing how to apply a stored access policy within the Azure portal.

Criar uma política de imutabilidade

Leia mais sobre como Configurar as políticas de imutabilidade para os contêineres. Para obter ajuda com a implementação de políticas de imutabilidade, siga as etapas descritas em Configurar uma política de retenção ou Configurar ou limpar um artigo de retenção legal.

Gerenciar concessões

Uma concessão de contêiner é usada para estabelecer ou gerenciar um bloqueio a operações de exclusão. Quando uma concessão é adquirida no portal do Azure, o bloqueio só poderá ser criado com uma duração infinita. Quando criada programaticamente, a duração do bloqueio pode variar de 15 a 60 segundos ou pode ser infinita.

Existem cinco modos de operação de concessão diferentes, embora apenas dois estejam disponíveis no portal do Azure:

Caso de uso Disponível no portal do Azure
Modo de aquisição Solicite uma nova concessão.
Modo de renovação Renove uma concessão existente.
Alterar o modo Altere a ID de uma concessão existente.
Modo de versão Encerre a concessão atual; permite que outros clientes adquiram uma nova concessão
Modo de interrupção Encerre a concessão atual; impede que outros clientes adquiram uma nova concessão durante o período de concessão atual

Adquirir uma concessão

Para adquirir uma concessão usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até a lista de contêineres na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você obterá uma concessão.

  3. Selecione o botão Mais do contêiner (...) e depois Adquirir concessão para solicitar uma nova concessão e exibir os detalhes no painel de Status da concessão.

    Screenshot showing how to access container lease settings in the Azure portal.

  4. Os valores de propriedade Contêiner e ID da concessão da concessão recém-solicitada são exibidos no painel Status da concessão. Copie e cole esses valores em uma localização segura. Eles são exibidos apenas uma vez e não poderão ser recuperados depois que o painel for fechado.

    Screenshot showing how to access container lease status pane within the Azure portal.

Interromper uma concessão

Para interromper uma concessão usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até a lista de contêineres na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você interromperá uma concessão.

  3. Selecione o botão Mais do contêiner (...) e depois Interromper concessão para interromper a concessão.

    Screenshot showing how to break a container lease within the Azure portal.

  4. Depois que a concessão for interrompida, o valor do Estado de concessão do contêiner selecionado será atualizado, e uma confirmação de status será exibida.

    Screenshot showing a container's broken lease within the Azure portal.

Excluir contêineres

Ao excluir um contêiner no portal do Azure, todos os blobs dentro do contêiner também serão excluídos.

Aviso

Ao seguir as etapas abaixo, os contêineres e blobs dentro deles poderão ser excluídos permanentemente. A Microsoft recomenda habiltar a exclusão temporária do contêiner para proteger contêineres e blobs contra exclusão acidental. Para obter mais informações, consulte Exclusão temporária para contêineres.

Para excluir um contêiner no portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue até a lista de contêineres na sua conta de armazenamento.

  2. Selecione o contêiner a ser excluído.

  3. Selecione o botão Mais ( ... ) e selecione Excluir.

    Screenshot showing how to delete a container within the Azure portal.

  4. Na caixa de diálogo Excluir contêineres, confirme se deseja excluir o contêiner.

Em alguns casos, é possível recuperar contêineres que foram excluídos. Se a opção de proteção de dados de exclusão temporária estiver habilitada em sua conta de armazenamento, você poderá acessar contêineres excluídos dentro do período de retenção associado. Para saber mais sobre a exclusão temporária, confira o artigo Exclusão temporária para contêineres.

Exibir contêineres excluídos de forma reversível

Quando a exclusão temporária estiver habilitada, você poderá exibir contêineres excluídos temporariamente no portal do Azure. Os contêineres excluídos de forma reversível ficam visíveis durante o período de retenção especificado. Depois que o período de retenção expirar, um contêiner excluído de forma reversível será excluído permanentemente e não ficará mais visível.

Para exibir contêineres excluídos temporariamente no portal do Azure, siga estas etapas:

  1. Navegue até sua conta de armazenamento no portal do Azure e exiba a lista de seus contêineres.

  2. Alterne a opção Mostrar contêineres excluídos para incluir contêineres excluídos na lista.

    Screenshot showing how to view soft-deleted containers within the Azure portal.

Restaurar um contêiner excluído de forma reversível

Você pode restaurar um contêiner excluído e seu conteúdo dentro do período de retenção. Para restaurar um contêiner excluído temporariamente no portal do Azure, siga estas etapas:

  1. Navegue até sua conta de armazenamento no portal do Azure e exiba a lista de seus contêineres.

  2. Exiba o menu de contexto do contêiner que você deseja restaurar, e escolha Restaurar no menu.

    Screenshot showing how to restore a soft-deleted container in Azure portal.

Confira também