Sobre chaves de conta de armazenamento gerenciadas do Azure Key Vault (herdado)
Importante
É recomendável usar a integração do Armazenamento do Microsoft Azure ao Microsoft Entra ID, o serviço de gerenciamento de identidades e acesso baseado em nuvem da Microsoft. A integração do Microsoft Entra está disponível para blobs e filas do Azure e fornece acesso baseado em token do OAuth2 ao Armazenamento do Microsoft Azure (assim como o Azure Key Vault). O Microsoft Entra ID permite autentificar o aplicativo cliente usando uma identidade de aplicativo ou de usuário, em vez das credenciais da conta de armazenamento. Use uma identidade gerenciada do Microsoft Entra ao executar no Azure. As identidades gerenciadas eliminam a necessidade de autenticação de cliente e do armazenamento de credenciais no ou com o seu aplicativo. Use a solução abaixo somente quando não for possível utilizar a autenticação do Microsoft Entra.
Uma conta de armazenamento do Azure usa credenciais compostas por um nome de conta e uma chave. A chave é gerada automaticamente e serve como uma senha, em vez de como uma chave de criptografia. O Key Vault gerencia as chaves de conta de armazenamento regenerando-as periodicamente na conta de armazenamento e fornece tokens de Assinatura de Acesso Compartilhado para acesso delegado aos recursos na sua conta de armazenamento.
Use o recurso de chave de conta de armazenamento gerenciada do Key Vault para listar (sincronizar) as chaves com uma conta de armazenamento do Azure e regenerar (girar) as chaves periodicamente. Gerencie as chaves de contas de armazenamento e contas de armazenamento Clássicas.
Gerenciamento da conta de armazenamento do Azure
O Key Vault pode gerenciar chaves de conta de armazenamento do Azure:
- Internamente, o Key Vault pode listar (sincronizar) chaves com uma conta de armazenamento do Azure.
- O Key Vault gera novamente (gira) as chaves periodicamente.
- Os valores de chave nunca são retornados em resposta ao chamador.
- O Key Vault gerencia chaves tanto de contas de armazenamento quanto de contas de armazenamento clássicas.
Para obter mais informações, consulte:
- Chaves de acesso da conta de armazenamento
- Gerenciamento de chaves de conta de armazenamento no Azure Key Vault
Controle de acesso da conta de armazenamento
As seguintes permissões podem ser usadas ao autorizar um usuário ou entidade de segurança de aplicativo para executar operações em uma conta de armazenamento gerenciada:
Permissões para operações de definição de SaS e conta de armazenamento gerenciada
- obter: Obtém informações sobre uma conta de armazenamento
- lista: Lista contas de armazenamento gerenciadas por um Key Vault
- atualizar: Atualizar uma conta de armazenamento
- excluir: Excluir uma conta de armazenamento
- recuperar: Recuperar uma conta de armazenamento excluída
- backup: Faz backup de uma conta de armazenamento
- restaurar: Restaurar um backup de conta de armazenamento em um Key Vault
- set: Criar ou atualizar uma conta de armazenamento
- regeneratekey: Regenerar um valor de chave especificado para uma conta de armazenamento
- getsas: Obtém informações sobre uma definição de SAS para uma conta de armazenamento
- listsas: Listar as definições de SAS de armazenamento para uma conta de armazenamento
- deletesas: Exclui uma definição de SAS de uma conta de armazenamento
- setsas: Cria ou atualiza uma nova definição de SAS/atributos para uma conta de armazenamento
Permissões para operações com privilégio
- limpar: Limpa (exclui permanentemente) uma conta de armazenamento gerenciada
Para obter mais informações, confira Operações de conta de armazenamento na referência de API REST do Key Vault. Para obter informações sobre como estabelecer permissões, confira Cofres – criar ou atualizar e Cofres – atualizar política de acesso.