Aplicar um bloqueio do Azure Resource Manager a uma conta de armazenamento

A Microsoft recomenda bloquear todas as suas contas de armazenamento com um bloqueio do Azure Resource Manager para impedir a exclusão acidental ou mal-intencionada da conta de armazenamento. Há dois tipos de bloqueios de recurso do Azure Resource Manager:

  • Um bloqueio CannotDelete impede que os usuários excluam uma conta de armazenamento, mas permite ler e modificar sua configuração.
  • Um bloqueio ReadOnly impede que os usuários excluam uma conta de armazenamento ou modifiquem sua configuração, mas permite a leitura da configuração.

Para obter mais informações sobre os bloqueios do Azure Resource Manager, veja Bloquear recursos para evitar alterações.

Cuidado

O bloqueio de uma conta de armazenamento não impede que os contêineres ou Blobs dentro dessa conta sejam excluídos ou substituídos. Para obter mais informações sobre como proteger dados de Blob, consulte Visão geral de proteção de dados.

Configurar um bloqueio do Azure Resource Manager

Para configurar um bloqueio em uma conta de armazenamento com o portal do Azure, siga estas etapas:

  1. Navegue até sua conta de armazenamento no portal do Azure.

  2. Na seção Configurações, selecione Bloqueios.

  3. Selecione Adicionar.

  4. Forneça um nome para o bloqueio de recurso e especifique o tipo de bloqueio. Adicione uma observação sobre o bloqueio, se desejado.

    Screenshot showing how to lock a storage account with a CannotDelete lock

Autorizando operações de dados quando um bloqueio ReadOnly está em vigor

Quando um bloqueio ReadOnly é aplicado a uma conta de armazenamento, a operação List Keys é bloqueada para essa conta de armazenamento. A operação List Keys é uma operação POST HTTPS, e todas as operações POST são impedidas quando um bloqueio ReadOnly é configurado na conta. A operação List Keys retorna as chaves de acesso da conta, que podem ser usadas para ler e gravar em todos os dados na conta de armazenamento.

Se um cliente estiver em posse das chaves de acesso da conta no momento em que o bloqueio for aplicado à conta de armazenamento, esse cliente poderá continuar usando as chaves para acessar os dados. No entanto, os clientes que não têm acesso às chaves precisarão usar as credenciais do Microsoft Entra para acessar dados de blob ou de fila na conta de armazenamento.

Os usuários do portal do Azure podem ser afetados quando um bloqueio ReadOnly é aplicado, se eles tiverem acessado anteriormente dados de blob ou de fila no portal com as chaves de acesso da conta. Depois que o bloqueio for aplicado, os usuários do portal precisarão usar as credenciais do Microsoft Entra para acessar dados de blob ou de fila no portal. Para fazer isso, um usuário deve ter pelo menos duas funções de RBAC atribuídas a eles: a função Leitor do Azure Resource Manager, no mínimo, e uma das funções de acesso a dados do Armazenamento do Azure. Para obter mais informações, consulte um dos seguintes artigos:

Os dados nos Arquivos do Azure ou no Serviço de tabela podem ficar inacessíveis para clientes que acessaram anteriormente com as chaves de conta. Como prática recomendada, se você precisar aplicar um bloqueio ReadOnly a uma conta de armazenamento, mova os Arquivos do Azure e as cargas de trabalho do Serviço de tabela para uma conta de armazenamento que não esteja bloqueada com um bloqueio ReadOnly.

Próximas etapas