Atribuir uma função do Azure para acesso a dados de blob

O Microsoft Entra autoriza os direitos de acesso aos recursos protegidos por meio do RBAC do Azure (controle de acesso baseado em função). O Armazenamento do Microsoft Azure define um conjunto de funções internas do Azure que abrangem conjuntos comuns de permissões usados para acessar dados de blob.

Quando uma função do Azure é atribuída a uma entidade de segurança do Microsoft Entra, o Azure permite que essa entidade de segurança tenha acesso a esses recursos. Uma entidade de segurança do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure.

Para saber mais sobre como usar o Microsoft Entra ID para autorizar o acesso aos dados de blob, confira Autorizar o acesso a blobs usando o Microsoft Entra ID.

Observação

Este artigo mostra como atribuir uma função do Azure para acesso a dados de blob em uma conta de armazenamento. Para saber mais sobre como atribuir funções para operações de gerenciamento no Armazenamento do Microsoft Azure, confira Usar o provedor de recursos de Armazenamento do Microsoft Azure para acessar recursos de gerenciamento.

Atribuir uma função do Azure

Você pode usar o portal do Azure, o PowerShell, a CLI do Azure ou um modelo do Azure Resource Manager para atribuir uma função para acesso de dados.

Azure portal

Para acessar dados de blob no portal do Azure com as credenciais do Microsoft Entra, um usuário deve ter as seguintes atribuições de função:

• Uma função de acesso a dados, como Leitor de Dados do Blob de Armazenamento ou Colaborador de Dados do Blob de Armazenamento
• No mínimo, a função de Leitor do Azure Resource Manager

Para saber como atribuir essas funções a um usuário, siga as instruções fornecidas em Atribuir funções do Azure usando o portal do Azure.

A função de Leitor é uma função do Azure Resource Manager que permite aos usuários ver os recursos da conta de armazenamento, mas não os modificar. Ela não dá permissões de leitura para dados no Armazenamento do Microsoft Azure, mas apenas para recursos de gerenciamento de conta. A função Leitor é necessária para que os usuários possam navegar até os contêineres de blob no portal do Azure.

Por exemplo, se você atribuir a função de Colaborador de dados de blob de armazenamento à usuária Mary no nível de um contêiner denominado sample-container, Mary receberá acesso de leitura, gravação e exclusão em todos os BLOBs no contêiner. No entanto, se Mary quiser exibir um blob no portal do Azure, a função Colaborador de Dados do Blob de Armazenamento por si só não fornecerá permissões suficientes para navegar pelo portal até o blob para exibi-lo. As permissões adicionais são necessárias para navegar e exibir os outros recursos no portal.

Um usuário deve ter a função Leitor para usar o portal do Azure com as credenciais do Microsoft Entra. No entanto, se um usuário receber uma função com permissões Microsoft.Storage/storageAccounts/listKeys/action, o usuário poderá usar o portal com as chaves da conta de armazenamento, por meio da autorização de Chave Compartilhada. Para usar as chaves da conta de armazenamento, o acesso à chave compartilhada deve ser permitido para a conta de armazenamento. Para obter mais informações sobre como permitir ou não permitir o acesso à chave compartilhada, confira Impedir a autorização de chave compartilhada para uma conta de Armazenamento do Microsoft Azure.

Você também pode atribuir uma função do Azure Resource Manager que fornece permissões adicionais além da função Leitor. A atribuição do mínimo de permissões possíveis é recomendada como uma melhor prática de segurança. Para obter mais informações, veja Melhores práticas do RBAC do Azure.

Observação

eAntes de atribuir a si mesmo uma função para acesso a dados, você poderá acessar dados em sua conta de armazenamento por meio do portal do Azure porque o portal do Azure também pode usar a chave de conta para acesso a dados. Para obter mais informações, confira Escolher como autorizar o acesso a dados de blob no portal do Azure.

PowerShell

Para atribuir uma função do Azure a uma entidade de segurança com o PowerShell, chame o comando New-AzRoleAssignment. Para executar o comando, você deve ter uma função que inclua permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou superior.

O formato do comando pode ser diferente dependendo do escopo da atribuição, mas -ObjectId e -RoleDefinitionName são parâmetros obrigatórios. Embora não seja obrigatório, é altamente recomendável passar um valor para o parâmetro -Scope, a fim de manter o princípio de privilégios mínimos. Limitando as funções e o escopo, você limita os recursos que correrão riscos se a entidade de segurança for comprometida.

O parâmetro -ObjectId é a ID de objeto do Microsoft Entra do usuário, grupo ou entidade de serviço à qual a função está sendo atribuída. Para recuperar o identificador, você pode usar Get-AzADUser para filtrar usuários do Microsoft Entra, conforme mostrado no exemplo a seguir.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

A primeira resposta retorna a entidade de segurança e a segunda retorna a ID de objeto da entidade de segurança.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

O valor do parâmetro -RoleDefinitionName é o nome da função RBAC que precisa ser atribuída à entidade de segurança. Para acessar dados de blob no portal do Azure com as credenciais do Microsoft Entra, um usuário deve ter as seguintes atribuições de função:

• Uma função de acesso a dados, como Colaborador de dados do Blob de Armazenamento ou Leitor de dados do Blob de Armazenamento
• A função de Leitor do Azure Resource Manager

Para atribuir uma função com escopo a um contêiner de blobs ou uma conta de armazenamento, você deve especificar uma cadeia de caracteres que contenha o escopo do recurso para o parâmetro -Scope. Essa ação está em conformidade com o princípio de privilégios mínimos, um conceito de segurança de informações no qual um usuário recebe o nível mínimo de acesso necessário para executar suas funções de trabalho. Essa prática reduz o possível risco de danos acidentais ou intencionais que podem ser trazidos por privilégios desnecessários.

O escopo de um contêiner está no formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

O escopo de uma conta de armazenamento está no formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Para atribuir uma função com escopo a uma conta de armazenamento, especifique uma cadeia de caracteres que contenha o escopo do contêiner para o parâmetro --scope.

O exemplo a seguir atribui a função Colaborador de dados de blob de armazenamento a um usuário. A atribuição de função tem como escopo o nível do contêiner. Substitua os valores de exemplo e os valores de espaço reservado entre colchetes (<>) pelos seus próprios valores:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

O exemplo a seguir atribui a função de Leitor de dados do Blob Armazenamento a um usuário especificando a ID de objeto. A atribuição de função tem como escopo o nível da conta de armazenamento. Substitua os valores de exemplo e os valores de espaço reservado entre colchetes (<>) pelos seus próprios valores:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

A saída deve ser semelhante a esta:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Para obter informações sobre a atribuição de funções com o PowerShell no escopo de assinatura ou grupo de recursos, confira Atribuir funções do Azure usando o Azure PowerShell.

CLI do Azure

Para atribuir uma função do Azure a uma entidade de segurança com a CLI do Azure, use o comando az role assignment create. O formato do comando pode diferir a depender do escopo da atribuição. Para executar o comando, você deve ter uma função que inclua permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou superior.

Para atribuir uma função com escopo a um contêiner, especifique uma cadeia de caracteres que contenha o escopo do contêiner para o parâmetro --scope. O escopo de um contêiner está no formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

O exemplo a seguir atribui a função Colaborador de dados de blob de armazenamento a um usuário. A atribuição de função tem como escopo o nível do contêiner. Substitua os valores de exemplo e os valores de espaço reservado entre colchetes (<>) pelos seus próprios valores:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

O exemplo a seguir atribui a função de Leitor de dados do Blob Armazenamento a um usuário especificando a ID de objeto. Para saber mais sobre os parâmetros --assignee-object-id e --assignee-principal-type, consulte atribuição de função az. Neste exemplo, a atribuição de função tem como escopo o nível da conta de armazenamento. Substitua os valores de exemplo e os valores de espaço reservado entre colchetes (<>) pelos seus próprios valores:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Para obter informações sobre como atribuir funções com a CLI do Azure no escopo da assinatura, do grupo de recursos ou da conta de armazenamento, consulte Atribuir funções do Azure usando a CLI do Azure.

Modelo

Para saber como usar um modelo de Azure Resource Manager para atribuir uma função do Azure, confira Atribuir funções do Azure usando modelos do Azure Resource Manager.

Tenha em mente os seguintes pontos sobre as atribuições de função do Azure no Armazenamento do Microsoft Azure:

• Ao criar uma conta de Armazenamento do Azure, você não recebe permissões automaticamente para acessar dados por meio da ID do Microsoft Entra. Você deve atribuir explicitamente a si mesmo uma função do Azure para o Armazenamento do Microsoft Azure. Você pode atribuí-la no nível de assinatura, de grupo de recursos, da conta de armazenamento ou do contêiner.
• Quando você atribui funções ou remove atribuições de função, pode levar até 10 minutos para que as alterações entrem em vigor.
• Se a conta de armazenamento estiver com o bloqueio de somente leitura do Azure Resource Manager, isso impedirá a atribuição de funções do Azure que estejam no escopo da conta de armazenamento ou de um contêiner.
• Se você definir as permissões de permissão apropriadas para acessar dados por meio da ID do Microsoft Entra e não conseguir acessar os dados, por exemplo, você está recebendo um erro "AuthorizationPermissionMismatch". Certifique-se de permitir tempo suficiente para que as alterações de permissões feitas na ID do Microsoft Entra sejam replicadas e certifique-se de não ter nenhuma atribuição de negação que bloqueie seu acesso, consulte Noções básicas sobre atribuições de negação do Azure.

Observação

Você pode criar funções do Azure RBAC personalizadas para acesso granular aos dados de blob. Para obter mais informações, confira Funções personalizadas do Azure.

Próximas etapas

• O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?
• Práticas Recomendadas para RBAC do Azure