Delegar acesso usando uma assinatura de acesso compartilhado
Importante
Para obter a segurança ideal, a Microsoft recomenda usar Microsoft Entra ID com identidades gerenciadas para autorizar solicitações contra dados de blob, fila e tabela, sempre que possível. A autorização com Microsoft Entra ID e identidades gerenciadas fornece segurança superior e facilidade de uso em relação à autorização de Chave Compartilhada. Para saber mais, confira Autorizar com Microsoft Entra ID. Para saber mais sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure.
Para recursos hospedados fora do Azure, como aplicativos locais, você pode usar identidades gerenciadas por meio do Azure Arc. Por exemplo, aplicativos em execução em servidores habilitados para Azure Arc podem usar identidades gerenciadas para se conectar aos serviços do Azure. Para saber mais, confira Autenticar em recursos do Azure com servidores habilitados para Azure Arc.
Para cenários em que as SAS (assinaturas de acesso compartilhado) são usadas, a Microsoft recomenda usar uma SAS de delegação de usuário. Uma SAS de delegação de usuário é protegida com Microsoft Entra credenciais em vez da chave da conta. Para saber mais sobre assinaturas de acesso compartilhado, consulte Create uma SAS de delegação de usuário.
Uma SAS (Assinatura de Acesso Compartilhado) é um URI que concede direitos de acesso restrito a recursos do Armazenamento do Azure. Você pode fornecer uma assinatura de acesso compartilhado para clientes que não devem ser confiáveis com sua chave de conta de armazenamento, mas que precisam de acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de SAS para esses clientes, você pode conceder a eles acesso a um recurso por um período especificado, com um conjunto especificado de permissões.
Os parâmetros de consulta URI que compõem o token SAS incorporam todas as informações necessárias para conceder acesso controlado a um recurso de armazenamento. Um cliente que tem a SAS pode fazer uma solicitação no Armazenamento do Azure usando apenas o URI sas. As informações no token SAS são usadas para autorizar a solicitação.
Tipos de assinaturas de acesso compartilhado
O Armazenamento do Azure dá suporte aos seguintes tipos de assinaturas de acesso compartilhado:
Uma SAS de conta, introduzida com a versão 2015-04-05. Esse tipo de SAS delega acesso a recursos em um ou mais dos serviços de armazenamento. Todas as operações disponíveis através de um serviço SAS também estão disponíveis por meio de uma SAS de conta.
Com a SAS da conta, você pode delegar acesso a operações que se aplicam a um serviço, como
Get/Set Service PropertieseGet Service Stats. Você também pode delegar acesso a operações de leitura, gravação e exclusão em contêineres de blob, tabelas, filas e compartilhamentos de arquivos que não são permitidos com um SAS de serviço.Para obter mais informações, confira Criar uma SAS de conta.
Uma SAS de serviço. Esse tipo de SAS delega acesso a um recurso em apenas um dos serviços de armazenamento: Armazenamento de Blobs do Azure, Armazenamento de Filas do Azure, Armazenamento de Tabelas do Azure ou Arquivos do Azure. Para obter mais informações, consulte Create exemplos sas de serviço SAS e SAS de serviço.
Uma SAS de delegação de usuário, introduzida com a versão 2018-11-09. Esse tipo de SAS é protegido com credenciais de Microsoft Entra. Ele tem suporte apenas para o Armazenamento de Blobs e você pode usá-lo para conceder acesso a contêineres e blobs. Para obter mais informações, consulte Criar uma SAS de delegação de usuário.
Além disso, uma SAS de serviço pode fazer referência a uma política de acesso armazenado que fornece outro nível de controle sobre um conjunto de assinaturas. Esse controle inclui a capacidade de modificar ou revogar o acesso ao recurso, se necessário. Para obter mais informações, consulte Definir uma política de acesso armazenada.
Observação
Atualmente, não há suporte para políticas de acesso armazenadas para uma SAS de conta ou uma SAS de delegação de usuário.