Gerenciar contêineres de blob usando o portal do Azure

  • Artigo

O Armazenamento de Blobs do Azure permite armazenar grandes quantidades de dados de objetos não estruturados. Você pode usar o Armazenamento de Blobs para coletar ou expor dados de mídia, conteúdo ou aplicativo aos usuários. Como todos os dados de blob são armazenados em contêineres, você deve criar um contêiner de armazenamento antes de começar a carregar dados. Para saber mais sobre o Armazenamento de Blobs, leia a Introdução ao Armazenamento de Blobs do Azure.

Neste artigo de instruções, você aprenderá a trabalhar com objetos de contêiner no portal do Azure.

Pré-requisitos

Para acessar o Armazenamento do Azure, você precisará de uma assinatura do Azure. Se ainda não tiver uma subscrição, crie uma conta gratuita antes de começar.

Todo o acesso ao Armazenamento do Azure ocorre por meio de uma conta de armazenamento. Para este artigo de instruções, crie uma conta de armazenamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. Para obter ajuda com a criação de uma conta de armazenamento, consulte Criar uma conta de armazenamento.

Criar um contentor

Um contentor organiza um conjunto de blobs, de forma semelhante a um diretório num sistema de ficheiros. Uma conta de armazenamento pode incluir um número ilimitado de contentores, e um contentor pode armazenar um número ilimitado de blobs.

Para criar um contêiner no portal do Azure, siga estas etapas:

  1. No painel de navegação do portal no lado esquerdo da tela, selecione Contas de armazenamento e escolha uma conta de armazenamento. Se o painel de navegação não estiver visível, selecione o botão de menu para alternar sua visibilidade.

    Screenshot of the Azure portal homepage showing the location of the Menu button in the browser.

  2. No painel de navegação da conta de armazenamento, role até a seção Armazenamento de dados e selecione Contêineres.

  3. No painel Contêineres, selecione o botão + Contêiner para abrir o painel Novo contêiner.

  4. No painel Novo contêiner, forneça um Nome para o novo contêiner. O nome do contentor tem estar em minúsculas, tem de começar com uma letra ou um número e só pode incluir letras, números e o caráter de travessão (-). O nome também deve ter entre 3 e 63 caracteres. Para obter mais informações sobre os nomes dos contentores e dos blobs, veja Nomenclatura e referência para contentores, blobs e metadados.

  5. Defina o nível de acesso anônimo para o contêiner. O nível recomendado é Privado (sem acesso anónimo). Para obter informações sobre como impedir o acesso anônimo a dados de blob, consulte Visão geral: corrigindo o acesso de leitura anônimo para dados de blob.

  6. Selecione Criar para criar o contentor.

    Screenshot showing how to create a container within the Azure portal.

Ler propriedades e metadados do contêiner

Um contêiner expõe as propriedades do sistema e os metadados definidos pelo usuário. As propriedades do sistema existem em cada recurso de Armazenamento de Blob. Algumas propriedades são somente leitura, enquanto outras podem ser lidas ou definidas.

Os metadados definidos pelo usuário consistem em um ou mais pares nome-valor que você especifica para um recurso de Armazenamento de Blob. Você pode usar metadados para armazenar valores adicionais com o recurso. Os valores de metadados são apenas para seus próprios fins e não afetam como o recurso se comporta.

Propriedades do contentor

Para exibir as propriedades de um contêiner no portal do Azure, siga estas etapas:

  1. Navegue até a lista de contêineres em sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner cujas propriedades você deseja exibir.

  3. Selecione o botão Mais (...) do contêiner e selecione Propriedades do contêiner para exibir o painel Propriedades do contêiner.

    Screenshot showing how to display container properties within the Azure portal.

Ler e gravar metadados de contêiner

Os usuários que têm um grande número de objetos em sua conta de armazenamento podem organizar seus dados logicamente dentro de contêineres usando metadados.

Para gerenciar os metadados de um contêiner no portal do Azure, siga estas etapas:

  1. Navegue até a lista de contêineres em sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner cujos metadados você deseja gerenciar.

  3. Selecione o botão Mais (...) do contêiner e, em seguida, selecione Editar metadados para exibir o painel Metadados do contêiner.

    Screenshot showing how to access container metadata within the Azure portal.

  4. O painel Metadados do contêiner exibirá os pares chave-valor de metadados existentes. Os dados existentes podem ser editados selecionando uma chave ou valor existente e substituindo os dados. Você pode adicionar metadados adicionais fornecendo dados nos campos vazios fornecidos. Por fim, selecione Salvar para confirmar seus dados.

    Screenshot showing how to update container metadata within the Azure portal.

Gerenciar o acesso de contêiner e blob

Gerenciar adequadamente o acesso a contêineres e seus blobs é fundamental para garantir que seus dados permaneçam seguros. As seções a seguir ilustram maneiras pelas quais você pode atender aos seus requisitos de acesso.

Gerenciar atribuições de função do RBAC do Azure para o contêiner

O Microsoft Entra ID oferece segurança ideal para recursos de armazenamento de Blob. O controle de acesso baseado em função do Azure (Azure RBAC) determina quais permissões uma entidade de segurança tem para um determinado recurso. Para conceder acesso a um contêiner, você atribuirá uma função RBAC no escopo do contêiner ou acima a um usuário, grupo, entidade de serviço ou identidade gerenciada. Você também pode optar por adicionar uma ou mais condições à atribuição de função.

Você pode ler sobre a atribuição de funções em Atribuir funções do Azure usando o portal do Azure.

Gerar uma assinatura de acesso compartilhado

Uma assinatura de acesso compartilhado (SAS) fornece acesso temporário, seguro e delegado a um cliente que normalmente não teria permissões. Uma SAS oferece controle granular sobre como um cliente pode acessar seus dados. Por exemplo, você pode especificar quais recursos estão disponíveis para o cliente. Você também pode limitar os tipos de operações que o cliente pode executar e especificar a duração.

O Azure dá suporte a três tipos de SAS. Um SAS de serviço fornece acesso a um recurso em apenas um dos serviços de armazenamento: o serviço Blob, Fila, Tabela ou Arquivo. Uma SAS de conta é semelhante a uma SAS de serviço, mas pode permitir o acesso a recursos em mais de um serviço de armazenamento. Uma SAS de delegação de usuário é uma SAS protegida com credenciais do Microsoft Entra e só pode ser usada com o serviço de Armazenamento de Blob.

Ao criar uma SAS, você pode definir limitações de acesso com base no nível de permissão, endereço IP ou intervalo, ou data e hora de início e expiração. Você pode ler mais em Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado.

Atenção

Qualquer cliente que possua uma SAS válida pode aceder aos dados na sua conta de armazenamento conforme permitido por essa SAS. É importante proteger um SAS contra uso mal-intencionado ou não intencional. Use discrição na distribuição de um SAS e tenha um plano para revogar um SAS comprometido.

Para gerar um token SAS usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue para a lista de contentores na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você gerará um token SAS.

  3. Selecione o botão Mais (...) do contêiner e selecione Gerar SAS para exibir o painel Gerar SAS.

    Screenshot showing how to access container shared access signature settings in the Azure portal.

  4. No painel Gerar SAS, selecione o valor da chave de conta para o campo Método de assinatura.

  5. No campo Método de assinatura , selecione Chave da conta. A escolha da chave da conta resultará na criação de um SAS de serviço.

  6. No campo Chave de assinatura, selecione a chave desejada a ser usada para assinar a SAS.

  7. No campo Política de acesso armazenado, selecione Nenhum.

  8. Marque o campo Permissões e marque as caixas de seleção correspondentes às permissões desejadas.

  9. Na seção Data/hora de início e expiração, especifique os valores desejados de data, hora e fuso horário de início e expiração.

  10. Opcionalmente, especifique um endereço IP ou um intervalo de endereços IP a partir do qual aceitar solicitações no campo Endereços IP permitidos. Se o endereço IP da solicitação não corresponder ao endereço IP ou intervalo de endereços especificado no token SAS, ele não será autorizado.

  11. Opcionalmente, especifique o protocolo permitido para solicitações feitas com a SAS no campo Protocolos permitidos . O valor padrão é HTTPS.

  12. Revise suas configurações para obter precisão e selecione Gerar token SAS e URL para exibir o token SAS de Blob e as cadeias de caracteres de consulta de URL de SAS de Blob.

    Screenshot showing how to generate a SAS for a container within the Azure portal.

  13. Copie e cole o token SAS do blob e os valores do url do blob SAS em um local seguro. Eles só serão exibidos uma vez e não poderão ser recuperados depois que a janela for fechada.

Nota

O token SAS retornado pelo portal não inclui o caractere delimitador ('?') para a cadeia de caracteres de consulta de URL. Se você estiver anexando o token SAS a uma URL de recurso, lembre-se de acrescentar o caractere delimitador à URL do recurso antes de anexar o token SAS.

Criar uma política de acesso armazenado ou imutabilidade

Uma política de acesso armazenado oferece controle adicional do lado do servidor sobre uma ou mais assinaturas de acesso compartilhado. Quando você associa uma SAS a uma política de acesso armazenado, a SAS herda as restrições definidas na política. Essas restrições adicionais permitem que você altere a hora de início, a hora de expiração ou as permissões de uma assinatura. Também pode revogá-lo depois de ter sido emitido.

As políticas de imutabilidade podem ser usadas para proteger seus dados contra substituições e exclusões. As políticas de imutabilidade permitem que os objetos sejam criados e lidos, mas impedem sua modificação ou exclusão por uma duração específica. O Armazenamento de Blobs suporta dois tipos de políticas de imutabilidade. Uma política de retenção baseada no tempo proíbe operações de gravação e exclusão por um período de tempo definido. Uma retenção legal também proíbe operações de gravação e exclusão, mas deve ser explicitamente liberada antes que essas operações possam ser retomadas.

Criar uma política de acesso armazenado

Configurar uma política de acesso armazenado é um processo de duas etapas: a política deve primeiro ser definida e, em seguida, aplicada ao contêiner depois. Para configurar uma política de acesso armazenado, siga estes passos:

  1. No portal do Azure, navegue para a lista de contentores na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você gerará um token SAS.

  3. Selecione o botão Mais (...) do contêiner e selecione Política de acesso para exibir o painel Política de acesso.

    Screenshot showing how to access container stored access policy settings in the Azure portal.

  4. No painel Política de acesso, selecione + Adicionar política na seção Políticas de acesso armazenado para exibir o painel Adicionar política. Quaisquer políticas existentes serão exibidas na seção apropriada.

    Screenshot showing how to add a stored access policy in the Azure portal.

  5. No painel Adicionar política, selecione a caixa Identificador e adicione um nome para a nova política.

  6. Marque o campo Permissões e marque as caixas de seleção correspondentes às permissões desejadas para sua nova política.

  7. Opcionalmente, forneça valores de data, hora e fuso horário para os campos Hora de início e Hora de expiração para definir o período de validade da política.

  8. Reveja as definições para verificar a precisão e, em seguida, selecione OK para atualizar o painel de políticas de acesso.

    Atenção

    Embora sua política agora seja exibida na tabela Política de acesso armazenado, ela ainda não é aplicada ao contêiner. Se você navegar para fora do painel de política do Access neste momento, a política não será salva ou aplicada e você perderá seu trabalho.

    Screenshot showing how to create a stored access policy within the Azure portal.

  9. No painel Política de acesso, selecione + Adicionar política para definir outra política ou selecione Salvar para aplicar a nova política ao contêiner. Depois de criar pelo menos uma política de acesso armazenado, você poderá associar outras assinaturas de acesso seguro (SAS) a ela.

    Screenshot showing how to apply a stored access policy within the Azure portal.

Criar uma política de imutabilidade

Leia mais sobre como configurar políticas de imutabilidade para contêineres. Para obter ajuda com a implementação de políticas de imutabilidade, siga as etapas descritas nos artigos Configurar uma política de retenção ou Configurar ou limpar uma retenção legal.

Gerir arrendamentos

Uma locação de contêiner é usada para estabelecer ou gerenciar um bloqueio para operações de exclusão. Quando uma concessão é adquirida no portal do Azure, o bloqueio só pode ser criado com uma duração infinita. Quando criado programaticamente, a duração do bloqueio pode variar de 15 a 60 segundos, ou pode ser infinita.

Há cinco modos de operação de concessão diferentes, embora apenas dois estejam disponíveis no portal do Azure:

Caso de utilização Disponível no portal do Azure
Modo de aquisição Solicite um novo arrendamento.
Modo de renovação Renovar um contrato de arrendamento existente.
Alterar modo Altere a ID de uma concessão existente.
Modo de lançamento Terminar o contrato de arrendamento em curso; permite que outros clientes adquiram um novo contrato de arrendamento
Modo de pausa Terminar o contrato de arrendamento em curso; impede que outros clientes adquiram um novo contrato de arrendamento durante o período de arrendamento em curso

Adquira um contrato de arrendamento

Para adquirir uma concessão usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue para a lista de contentores na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você adquirirá uma locação.

  3. Selecione o botão Mais (...) do contêiner e selecione Adquirir concessão para solicitar uma nova concessão e exibir os detalhes no painel Status da concessão.

    Screenshot showing how to access container lease settings in the Azure portal.

  4. Os valores das propriedades Container e Lease ID da concessão recém-solicitada são exibidos no painel Status da concessão. Copie e cole esses valores em um local seguro. Eles só serão exibidos uma vez e não poderão ser recuperados depois que o painel for fechado.

    Screenshot showing how to access container lease status pane within the Azure portal.

Quebrar um contrato de arrendamento

Para interromper uma concessão usando o portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue para a lista de contentores na sua conta de armazenamento.

  2. Marque a caixa de seleção ao lado do nome do contêiner para o qual você quebrará uma concessão.

  3. Selecione o botão Mais (...) do contêiner e selecione Interromper concessão para interromper a concessão.

    Screenshot showing how to break a container lease within the Azure portal.

  4. Depois que a concessão for quebrada, o valor do estado de Concessão do contêiner selecionado será atualizado e uma confirmação de status será exibida.

    Screenshot showing a container's broken lease within the Azure portal.

Eliminar contentores

Quando você exclui um contêiner no portal do Azure, todos os blobs dentro do contêiner também serão excluídos.

Aviso

Seguir as etapas abaixo pode excluir permanentemente os contêineres e quaisquer blobs dentro deles. A Microsoft recomenda habilitar a exclusão suave de contêiner para proteger contêineres e blobs contra exclusão acidental. Para obter mais informações, consulte Exclusão suave para contêineres.

Para excluir um contêiner no portal do Azure, siga estas etapas:

  1. No portal do Azure, navegue para a lista de contentores na sua conta de armazenamento.

  2. Selecione o contentor a eliminar.

  3. Selecione o botão Mais (... ) e selecione Eliminar.

    Screenshot showing how to delete a container within the Azure portal.

  4. Na caixa de diálogo Excluir contêiner(es), confirme se deseja excluir o contêiner.

Em alguns casos, é possível recuperar contêineres que foram excluídos. Se a opção de proteção de dados de exclusão suave estiver habilitada em sua conta de armazenamento, você poderá acessar contêineres excluídos dentro do período de retenção associado. Para saber mais sobre a exclusão suave, consulte o artigo Exclusão suave para contêineres .

Ver contentores eliminados suavemente

Quando a exclusão suave está habilitada, você pode exibir contêineres excluídos por software no portal do Azure. Os recipientes excluídos suavemente são visíveis durante o período de retenção especificado. Depois que o período de retenção expira, um contêiner excluído por software é excluído permanentemente e não fica mais visível.

Para exibir contêineres excluídos por software no portal do Azure, siga estas etapas:

  1. Navegue até sua conta de armazenamento no portal do Azure e exiba a lista de seus contêineres.

  2. Alterne a opção Mostrar contêineres excluídos para incluir contêineres excluídos na lista.

    Screenshot showing how to view soft-deleted containers within the Azure portal.

Restaurar um contêiner excluído suavemente

Você pode restaurar um contêiner excluído suavemente e seu conteúdo dentro do período de retenção. Para restaurar um contêiner excluído suavemente no portal do Azure, siga estas etapas:

  1. Navegue até sua conta de armazenamento no portal do Azure e exiba a lista de seus contêineres.

  2. Exiba o menu de contexto do contêiner que você deseja restaurar e escolha Undelete no menu.

    Screenshot showing how to restore a soft-deleted container in Azure portal.

Consulte também