Autorizar o acesso a blobs usando o Azure Active Directory

No Armazenamento do Azure, é possível usar o Azure AD (Azure Active Directory) para autorizar solicitações de dados de blob. Com o Azure AD, você pode usar o RBAC do Azure (controle de acesso baseado em função do Azure) para conceder permissões a uma entidade de segurança, que pode ser um usuário, grupo ou entidade de serviço de aplicativo. A entidade de segurança é autenticada pelo Azure AD para retornar um token OAuth 2.0. Em seguida, o token pode ser usado para autorizar uma solicitação no serviço de Blob.

A autorização com o Azure AD fornece segurança superior e facilidade de uso em relação à autorização da chave compartilhada. A Microsoft recomenda usar a autorização do Azure AD com aplicativos de blob quando possível para garantir o acesso com os privilégios mínimos necessários.

A autorização com o Azure AD está disponível para todas as contas de armazenamento de blob e de uso geral em todas as regiões públicas e nuvens nacionais. Somente contas de armazenamento criadas com o Modelo de implantação do Azure Resource Manager são compatíveis com autorização do Azure AD.

O armazenamento de blob também é compatível com a criação de SAS (Assinatura de Acesso Compartilhado) que são assinadas com as credenciais do Azure AD. Para saber mais, confira Conceder acesso limitado a dados com assinaturas de acesso compartilhado.

Visão geral do Azure AD para blobs

Quando uma entidade de segurança (um usuário, grupo ou aplicativo) tenta acessar um recurso de blob, a solicitação deverá ser autorizada, a menos que seja um blob disponível para acesso anônimo. Com o Azure AD, o acesso a um recurso é um processo de duas etapas:

1. Primeiro, a identidade da entidade de segurança é autenticada e um token OAuth 2.0 é retornado.

   A etapa de autenticação requer que uma solicitação do aplicativo um token de acesso OAuth 2.0 no runtime. Se um aplicativo estiver em execução em uma entidade do Azure, como uma VM do Azure, um conjunto de dimensionamento de máquinas virtuais ou um aplicativo do Azure Functions, ele poderá usar uma identidade gerenciada para acessar dados de blobs.

2. Em seguida, o token é passado como parte de uma solicitação para o serviço de Blob e usado pelo serviço para autorizar o acesso ao recurso especificado.

   A etapa de autorização requer que uma ou mais funções RBAC do Azure sejam atribuídas à entidade de segurança que faça a solicitação. Para obter mais informações, confira Atribuir funções do Azure para direitos de acesso.

Usar uma conta Azure AD com o portal do Azure, o Azure PowerShell ou a CLI do Azure

Para saber mais sobre como acessar dados no portal do Azure com uma conta Azure AD, consulte Acesso a dados do portal do Azure. Para saber como chamar comandos do Azure PowerShell ou da CLI do Azure com uma conta Azure AD, confira Acesso a dados do PowerShell ou da CLI do Azure.

Usar o Azure AD para autorizar o acesso no código do aplicativo

Para autorizar o acesso ao Armazenamento do Microsoft Azure com o Azure AD, você pode usar uma das seguintes bibliotecas de cliente para adquirir um token OAuth 2.0:

• A biblioteca de clientes do Azure Identity é recomendada para a maioria dos cenários de desenvolvimento.
• A Biblioteca de Autenticação da Microsoft (MSAL) pode ser adequada para determinados cenários avançados.

Biblioteca de clientes da Identidade do Azure

A biblioteca de clientes de Identidade do Azure simplifica o processo de obtenção de um token de acesso do OAuth 2.0 para autorização com o Azure Active Directory (Azure AD) por meio do SDK do Azure. As versões mais recentes das bibliotecas de cliente do Armazenamento do Microsoft Azure para .NET, Java, Python, JavaScript e Go se integram com as bibliotecas de Identidade do Azure para cada uma dessas linguagens para fornecer um meio simples e seguro de aquisição de um token de acesso para autorização de solicitações do Armazenamento do Microsoft Azure.

Uma vantagem da biblioteca de cliente de Identidade do Azure é que ela permite que você use o mesmo código para adquirir o token de acesso se seu aplicativo está em execução no ambiente de desenvolvimento ou no Azure. A biblioteca de clientes da Identidade do Azure retorna um token de acesso para uma entidade de segurança. Quando seu código está em execução no Azure, a entidade de segurança pode ser uma identidade gerenciada para recursos do Azure, uma entidade de serviço, um usuário ou grupo. No ambiente de desenvolvimento, a biblioteca de clientes fornece um token de acesso para um usuário ou para uma entidade de serviço para fins de teste.

O token de acesso retornado pela biblioteca de clientes da Identidade do Azure é encapsulado em uma credencial de token. Você pode, então, usar a credencial de token para obter um objeto de cliente do serviço a ser usado na execução de operações autorizadas no Armazenamento do Azure. Uma maneira simples de obter o token de acesso e a credencial do token é usar a classe DefaultAzureCredential fornecida pela biblioteca de clientes da Identidade do Azure. DefaultAzureCredential tenta obter a credencial de token tentando sequencialmente vários tipos de credenciais diferentes. DefaultAzureCredential funciona no ambiente de desenvolvimento e no Azure.

A tabela a seguir aponta informações adicionais para autorizar o acesso a dados em vários cenários:

Idioma	.NET	Java	JavaScript	Python	Go
Visão geral da autenticação com o Azure AD	Como autenticar aplicativos .NET com os serviços do Azure	Autenticação do Azure com Java e Identidade do Azure	Autenticar aplicativos JavaScript para o Azure usando o SDK do Azure	Autenticar aplicativos Python para o Azure usando o SDK do Azure
Autenticação usando entidades de serviço de desenvolvedor	Autenticar aplicativos .NET para serviços do Azure durante o desenvolvimento local usando entidades de serviço	Autenticação do Azure com entidade de serviço	Autenticar aplicativos JS para serviços do Azure com entidade de serviço	Autenticar aplicativos Python para serviços do Azure durante o desenvolvimento local usando entidades de serviço	Autenticação do SDK do Azure para linguagem Go com uma entidade de serviço
Autenticar usando contas de desenvolvedor ou de usuário	Autenticar aplicativos .NET nos serviços do Azure durante o desenvolvimento local usando contas de desenvolvedor	Autenticação do Azure com credenciais de usuário	Autenticar aplicativos JS para serviços do Azure com contas de desenvolvedor	Autenticar aplicativos Python para serviços do Azure durante o desenvolvimento local usando contas de desenvolvedor	Autenticação do Azure com o SDK do Azure para Go
Autenticação de aplicativos hospedados no Azure	Autenticando aplicativos hospedados no Azure para recursos do Azure com o SDK do Azure para .NET	Autenticar aplicativos Java hospedados no Azure	Autenticar aplicativos JavaScript hospedados no Azure para recursos do Azure com o SDK do Azure para JavaScript	Autenticar aplicativos hospedados no Azure para recursos do Azure com o SDK do Azure para Python	Autenticação com o SDK do Azure para linguagem Go usando uma identidade gerenciada
Autenticação de aplicativos locais	Autenticar em recursos do Azure a partir de aplicativos .NET hospedados localmente		Autenticar aplicativos JavaScript locais para recursos do Azure	Autenticar recursos do Azure a partir de aplicativos Python hospedados localmente
Visão geral da biblioteca de clientes de identidade	Biblioteca de clientes da Identidade do Azure para .NET	Biblioteca de clientes da Identidade do Azure para Java	Biblioteca de clientes da Identidade do Azure para JavaScript	Biblioteca de clientes da Identidade do Azure para Python	Biblioteca de clientes da Identidade do Azure para Go

MSAL (Biblioteca de Autenticação da Microsoft)

Embora a Microsoft recomende usar a biblioteca de cliente do Azure Identity quando possível, a biblioteca MSAL pode ser apropriada para usar em determinados cenários avançados. Para obter mais informações, confira Saiba mais sobre a MSAL.

Ao usar a MSAL para adquirir um token OAuth para acesso ao Armazenamento do Microsoft Azure, você precisa fornecer uma ID de recurso do Azure AD. A ID do recurso do Azure AD indica o público-alvo para o qual um token emitido pode ser usado para fornecer acesso a um recurso do Azure. No caso do Armazenamento do Azure, a ID do recurso pode ser específica para uma conta de armazenamento ou pode ser aplicada a qualquer conta de armazenamento.

A seguinte tabela descreve os valores que você pode fornecer para a ID do recurso. A ID de recurso para o Armazenamento do Microsoft Azure é a mesma para todas as nuvens públicas e soberanas:

ID de Recurso	Descrição
https://<account>.blob.core.windows.net	O ponto de extremidade de serviço para uma determinada conta de armazenamento. Use esse valor para adquirir um token a fim de autorizar solicitações apenas para uma Conta de Armazenamento do Azure específica e para um serviço específico. Substitua o valor entre colchetes pelo nome da conta de armazenamento.
https://storage.azure.com/	Use para adquirir um token a fim de autorizar solicitações para qualquer Conta de Armazenamento do Azure.

Atribuir funções do Azure para direitos de acesso

O Azure AD (Azure Active Directory) autoriza os direitos de acesso aos recursos protegidos por meio do Azure RBAC. O Armazenamento do Azure define um conjunto de funções RBAC internas que abrangem conjuntos comuns de permissões usados para acessar dados de blob. Você também pode definir funções personalizadas para acesso a dados de blob. Para saber mais sobre a atribuição de funções do Azure para acesso ao blob, confira Atribuir uma função do Azure para acessar dados de blob.

Uma entidade de segurança do Azure AD pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure. As funções RBAC atribuídas a uma entidade de segurança determinam as permissões que a entidade terá para um recurso específico. Para saber mais sobre a atribuição de funções do Azure para acesso ao blob, confira Atribuir uma função do Azure para acessar dados de blob

Em alguns casos, talvez seja necessário habilitar o acesso refinado aos recursos de blob ou simplificar as permissões quando você tiver um grande número de atribuições de função para um recurso de armazenamento. Você pode usar o Azure RBAC (controle de acesso baseado em função) para configurar as condições nas atribuições de função. Você pode usar condições com uma função personalizada ou selecionar funções internas. Para obter mais informações sobre como configurar condições para recursos de armazenamento do Azure com o ABAC, confira Autorizar o acesso a blobs usando condições de atribuição de função do Azure (versão prévia). Para obter detalhes sobre as condições com suporte para operações de dados de blob, confira Ações e atributos para condições de atribuição de função do Azure no Armazenamento do Azure (versão prévia).

Observação

Quando cria uma conta do Armazenamento do Microsoft Azure, você não recebe permissões automaticamente para acessar dados por meio do Azure AD. Você deve atribuir explicitamente a si mesmo uma função do Azure para acessar o Armazenamento de Blobs. Você pode atribuí-la no nível de assinatura, de grupo de recursos, da conta de armazenamento ou do contêiner.

Escopo do recurso

Antes de atribuir uma função RBAC do Azure a uma entidade de segurança, determine o escopo do acesso que essa entidade de segurança deve ter. De acordo com as melhores práticas, sempre é melhor conceder o escopo mais estreito possível. As funções RBAC do Azure definidas em um escopo mais amplo são herdadas pelos recursos abaixo delas.

Você pode fazer o escopo do acesso aos recursos de blob do Azure nos seguintes níveis, começando com o escopo mais estreito:

• Um contêiner individual. Nesse escopo, uma atribuição de função se aplica a todos os blobs no contêiner, bem como às propriedades e aos metadados do contêiner.
• A conta de armazenamento Nesse escopo, uma atribuição de função se aplica a todos os contêineres e seus blobs.
• O grupo de recursos. Nesse escopo, uma atribuição de função se aplica a todos os contêineres em todas as contas de armazenamento do grupo de recursos.
• A assinatura. Nesse escopo, uma atribuição de função se aplica a todos os contêineres em todas as contas de armazenamento de todos os grupos de recursos da assinatura.
• Um grupo de gerenciamento. Nesse escopo, uma atribuição de função se aplica a todos os contêineres em todas as contas de armazenamento de todos os grupos de recursos em todas as assinaturas do grupo de gerenciamento.

Para obter mais informações sobre o escopo das atribuições de função RBAC do Azure, confira Entender o escopo do RBAC do Azure.

Funções internas do Azure para blobs

O RBAC do Azure fornece várias funções internas para autorizar o acesso aos dados de blob usando o Azure AD e o OAuth. Alguns exemplos de funções que fornecem permissões para recursos de dados no Armazenamento do Microsoft Azure incluem:

• Proprietário de dados de blob de armazenamento: Use para definir a propriedade e gerenciar o controle de acesso POSIX para o Azure Data Lake Storage Gen2. Para obter mais informações, consulte Controle de acesso no Azure Data Lake Storage Gen2.
• Colaborador de dados de blob de armazenamento: Use para conceder permissões de leitura/gravação/exclusão de recursos de armazenamento de Blob.
• Leitor de dados de blob de armazenamento: Use para conceder permissões somente leitura aos recursos de armazenamento de Blob.
• Delegador do blob de armazenamento: Obtenha uma chave de delegação de usuário para criar uma assinatura de acesso compartilhado que é assinada com as credenciais do Azure AD para um contêiner ou blob.

Para saber como atribuir uma função interna do Azure à uma entidade de segurança, consulte Atribuir uma função do Azure para acessar dados de blob. Para saber como listar as funções de RBAC do Azure e suas permissões, consulte Listar definições de função do Azure.

Para obter mais informações sobre como as funções internas são definidas para o Armazenamento do Microsoft Azure, consulte Compreender as definições de função. Para obter informações sobre como criar funções personalizadas do Azure, confira Funções personalizadas do Azure.

Somente as funções explicitamente definidas para acesso a dados permitem que uma entidade de segurança acesse dados de blob. Funções internas, como Proprietário, Colaborador e Colaborador de conta de armazenamento permitem que uma entidade de segurança gerencie uma conta de armazenamento, mas não fornecem acesso aos dados de blob nessa conta por meio do Azure AD. No entanto, se uma função incluir Microsoft.Storage/storageAccounts/listKeys/action, um usuário ao qual essa função é atribuída poderá acessar os dados da conta de armazenamento por meio da autorização de chave compartilhada com as chaves de acesso da conta. Para obter mais informações, confira Escolher como autorizar o acesso a dados de blob no portal do Azure.

Para obter informações detalhadas sobre as funções internas do Azure para o Armazenamento do Azure para os serviços de dados e o serviço de gerenciamento, consulte a seção Armazenamento em Funções internas do Azure para o RBAC do Azure. Além disso, para obter informações sobre os diferentes tipos de funções que fornecem permissões no Azure, consulte Funções de administrador de assinatura clássicas, funções do Azure e funções do Azure AD.

Importante

As atribuições de função do Azure podem levar até 30 minutos para serem propagadas.

Permissões de acesso para operações de dados

Para saber detalhes sobre as permissões necessárias para chamar operações de serviço Blob específicas, confira Permissões para chamar operações de dados.

Acessar dados com uma conta do Azure AD

O acesso a dados de blob por meio do portal do Azure, do PowerShell ou da CLI do Azure pode ser autorizado usando a conta do Azure AD do usuário ou as chaves de acesso da conta (autorização de Chave Compartilhada).

Cuidado

A autorização com Chave Compartilhada não é recomendada, pois pode ser menos segura. Para uma segurança ideal, desabilite a autorização por meio da Chave Compartilhada para sua conta de armazenamento, conforme descrito em Impedir autorização de Chave Compartilhada para uma conta do Armazenamento do Microsoft Azure.

O uso de chaves de acesso e cadeias de conexão deve ser limitado a aplicativos iniciais de prova de conceito ou protótipos de desenvolvimento que não acessem dados confidenciais ou de produção. Caso contrário, as classes de autenticação baseadas em token disponíveis no SDK do Azure devem ser sempre preferenciais ao autenticar recursos do Azure.

A Microsoft recomenda que os clientes usem o Azure AD ou uma assinatura de acesso compartilhado (SAS) para autorizar o acesso aos dados no Armazenamento do Microsoft Azure. Para obter mais informações, confira Autorizar operações para acesso a dados.

Acesso aos dados no portal do Azure

O portal do Azure pode usar sua conta do Azure AD ou as chaves de acesso da conta para acessar dados de blob em uma conta de armazenamento do Azure. O esquema de autorização que o portal do Azure usa depende das funções do Azure atribuídas a você.

Quando você tenta acessar dados de blob, o portal do Azure verifica primeiro se foi uma função do Azure atribuída a você com Microsoft.Storage/storageAccounts/listkeys/action. Se uma função com essa ação foi atribuída a você, o portal do Azure usará a chave de conta para acessar dados de blob por meio da autorização de Chave Compartilhada. Se uma função com essa ação não foi atribuída a você, o portal do Azure tentará acessar os dados usando a sua conta do Azure AD.

Para acessar dados de blob no portal do Azure usando sua conta do Azure AD, você precisa de permissões para acessá-los e também de permissões para navegar pelos recursos da conta de armazenamento no portal do Azure. As funções internas fornecidas pelo Armazenamento do Azure concedem acesso aos recursos de blob, mas não concedem permissões aos recursos da conta de armazenamento. Por esse motivo, o acesso ao portal também requer a atribuição de uma função do Azure Resource Manager, como a função Leitor no escopo do nível da conta de armazenamento ou superior. A função Leitor concede as permissões mais restritas, mas outra função do Azure Resource Manager que conceda acesso aos recursos de gerenciamento da conta de armazenamento também é aceitável. Para saber mais sobre como atribuir permissões a usuários para acesso a dados no portal do Azure com uma conta do Azure AD, confira Atribuir uma função do Azure para acesso a dados de blob.

O portal do Azure indica qual esquema de autorização está em uso quando você navega para um contêiner. Para saber mais sobre o acesso a dados no portal, confira Escolher como autorizar o acesso a dados de blob no portal do Azure.

Acesso a dados do PowerShell ou da CLI do Azure

A CLI do Azure e o PowerShell oferecem suporte para entrar com as credenciais do Azure AD. Depois de entrar, sua sessão é executada sob essas credenciais. Para saber mais, confira um dos seguintes artigos:

• Escolha como autorizar o acesso aos dados do blob com a CLI do Azure
• Executar comandos do PowerShell com as credenciais do Azure AD para acessar dados de blob

Suporte a recursos

O suporte para esse recurso pode ser afetado ao habilitar o Data Lake Storage Gen2, o protocolo NFS (Sistema de Arquivos de Rede) 3.0 ou o protocolo SFTP (Protocolo de Transferência de Arquivo SSH).

Se você tiver habilitado qualquer um desses recursos, consulte o Suporte a recursos de Armazenamento de Blobs nas contas de Armazenamento do Azure para avaliar o suporte para esse recurso.

A autorização de operações de dados de blobs com o Azure AD tem suporte apenas para as versões da API REST de 09 de setembro de 2017 e posteriores. Para obter mais informações, consulte Controle de versão para os Serviços de Armazenamento do Azure.

Próximas etapas

• Autorizar o acesso a dados no Armazenamento do Azure
• Atribuir uma função do Azure para acesso a dados de blob