Autorizar pedidos para o Armazenamento do Azure
Todos os pedidos feitos relativamente a um recurso seguro no serviço Blob, Ficheiro, Fila ou Tabela têm de ser autorizados. A autorização garante que os recursos na sua conta de armazenamento só estão acessíveis quando pretende que sejam e apenas para os utilizadores ou aplicações a quem concede acesso.
Importante
Para uma segurança ideal, a Microsoft recomenda a utilização de Microsoft Entra ID com identidades geridas para autorizar pedidos contra dados de blobs, filas e tabelas, sempre que possível. A autorização com identidades Microsoft Entra ID e geridas proporciona segurança e facilidade de utilização superiores através da autorização de Chave Partilhada. Para saber mais, consulte Autorizar com Microsoft Entra ID. Para saber mais sobre identidades geridas, veja O que são identidades geridas para recursos do Azure.
Para recursos alojados fora do Azure, como aplicações no local, pode utilizar identidades geridas através do Azure Arc. Por exemplo, as aplicações em execução em servidores compatíveis com o Azure Arc podem utilizar identidades geridas para se ligarem aos serviços do Azure. Para saber mais, veja Authenticate against Azure resources with Azure Arc-enabled servers (Autenticar nos recursos do Azure com servidores preparados para o Azure Arc).
Para cenários em que são utilizadas assinaturas de acesso partilhado (SAS), a Microsoft recomenda a utilização de uma SAS de delegação de utilizador. Uma SAS de delegação de utilizador é protegida com credenciais Microsoft Entra em vez da chave de conta. Para saber mais sobre assinaturas de acesso partilhado, veja Create uma SAS de delegação de utilizador.
A tabela seguinte descreve as opções que o Armazenamento do Azure oferece para autorizar o acesso aos recursos:
Artefacto do Azure | Chave Partilhada (chave da conta de armazenamento) | Assinatura de acesso partilhado (SAS) | Microsoft Entra ID | Active Directory Domain Services no local | Acesso de leitura público anónimo |
---|---|---|---|---|---|
Blobs do Azure | Suportado | Suportado | Suportado | Não suportado | Suportado |
Ficheiros do Azure (SMB) | Suportado | Não suportado | Suportado com Microsoft Entra Domain Services ou Microsoft Entra Kerberos | Suportadas, as credenciais têm de ser sincronizadas com Microsoft Entra ID | Não suportado |
Ficheiros do Azure (REST) | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Filas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Tabelas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Cada opção de autorização é descrita brevemente abaixo:
Microsoft Entra ID:Microsoft Entra é o serviço de gestão de identidades e acessos baseado na cloud da Microsoft. Microsoft Entra ID integração está disponível para os serviços Blob, Ficheiro, Fila e Tabela. Com Microsoft Entra ID, pode atribuir acesso detalhado a utilizadores, grupos ou aplicações através do controlo de acesso baseado em funções (RBAC). Para obter informações sobre Microsoft Entra ID integração com o Armazenamento do Azure, veja Autorizar com Microsoft Entra ID.
Microsoft Entra Domain Services autorização para Ficheiros do Azure. Ficheiros do Azure suporta a autorização baseada em identidade através do Server Message Block (SMB) através de Microsoft Entra Domain Services. Pode utilizar o RBAC para controlar detalhadamente o acesso de um cliente a recursos Ficheiros do Azure numa conta de armazenamento. Para obter mais informações sobre Ficheiros do Azure autenticação através de serviços de domínio, veja Ficheiros do Azure autorização baseada em identidade.
Autorização do Active Directory (AD) para Ficheiros do Azure. Ficheiros do Azure suporta autorização baseada em identidade através do SMB através do AD. O seu serviço de domínio do AD pode ser alojado em máquinas no local ou em VMs do Azure. O acesso SMB a Ficheiros é suportado com credenciais do AD de máquinas associadas a um domínio, no local ou no Azure. Pode utilizar o RBAC para controlo de acesso ao nível da partilha e DACLs NTFS para a imposição de permissões ao nível do diretório e do ficheiro. Para obter mais informações sobre Ficheiros do Azure autenticação através de serviços de domínio, veja Ficheiros do Azure autorização baseada em identidade.
Chave Partilhada: A autorização de Chave Partilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de assinatura encriptada que é transmitida no pedido no cabeçalho Autorização . Para obter mais informações sobre a autorização da Chave Partilhada, veja Autorizar com Chave Partilhada.
Assinaturas de acesso partilhado: As assinaturas de acesso partilhado (SAS) delegam o acesso a um recurso específico na sua conta com permissões especificadas e num intervalo de tempo especificado. Para obter mais informações sobre SAS, veja Delegar acesso com uma assinatura de acesso partilhado.
Acesso anónimo a contentores e blobs: Opcionalmente, pode tornar os recursos de blobs públicos ao nível do contentor ou do blob. Um contentor ou blob público está acessível a qualquer utilizador para acesso de leitura anónimo. Os pedidos de leitura para contentores públicos e blobs não necessitam de autorização. Para obter mais informações, veja Ativar o acesso de leitura público para contentores e blobs no armazenamento de Blobs do Azure.
Dica
A autenticação e autorização do acesso a dados de blobs, ficheiros, filas e tabelas com Microsoft Entra ID proporciona segurança e facilidade de utilização superiores em outras opções de autorização. Por exemplo, ao utilizar Microsoft Entra ID, evita ter de armazenar a chave de acesso da conta com o seu código, como faz com a autorização de Chave Partilhada. Embora possa continuar a utilizar a autorização de Chave Partilhada com as suas aplicações de blobs e filas, a Microsoft recomenda mudar para Microsoft Entra ID sempre que possível.
Da mesma forma, pode continuar a utilizar assinaturas de acesso partilhado (SAS) para conceder acesso detalhado aos recursos na sua conta de armazenamento, mas Microsoft Entra ID oferece capacidades semelhantes sem a necessidade de gerir tokens de SAS ou de se preocupar com a revogação de uma SAS comprometida.
Para obter mais informações sobre Microsoft Entra ID integração no Armazenamento do Azure, veja Autorizar o acesso a blobs e filas do Azure com Microsoft Entra ID.