Autorizar solicitações para o Armazenamento do Azure
Cada solicitação feita a um recurso protegido no serviço Blob, Arquivo, Fila ou Tabela precisa ser autorizada. A autorização garante que os recursos na conta de armazenamento fiquem acessíveis somente quando você quiser e somente para os usuários ou aplicativos aos quais você conceder acesso.
Importante
Para obter a segurança ideal, a Microsoft recomenda usar Microsoft Entra ID com identidades gerenciadas para autorizar solicitações contra dados de blob, fila e tabela, sempre que possível. A autorização com Microsoft Entra ID e identidades gerenciadas fornece segurança superior e facilidade de uso em relação à autorização de Chave Compartilhada. Para saber mais, confira Autorizar com Microsoft Entra ID. Para saber mais sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure.
Para recursos hospedados fora do Azure, como aplicativos locais, você pode usar identidades gerenciadas por meio do Azure Arc. Por exemplo, aplicativos em execução em servidores habilitados para Azure Arc podem usar identidades gerenciadas para se conectar aos serviços do Azure. Para saber mais, confira Autenticar em recursos do Azure com servidores habilitados para Azure Arc.
Para cenários em que as SAS (assinaturas de acesso compartilhado) são usadas, a Microsoft recomenda usar uma SAS de delegação de usuário. Uma SAS de delegação de usuário é protegida com Microsoft Entra credenciais em vez da chave da conta. Para saber mais sobre assinaturas de acesso compartilhado, consulte Create uma SAS de delegação de usuário.
A tabela a seguir descreve as opções oferecidas pelo Armazenamento do Azure para autorizar o acesso a recursos:
| Artefato do Azure | Chave compartilhada (chave da conta de armazenamento) | Assinatura de acesso compartilhado (SAS) | Microsoft Entra ID | Active Directory Domain Services local | Sobre o acesso de leitura público anônimo |
|---|---|---|---|---|---|
| Blobs do Azure | Com suporte | Com suporte | Com suporte | Sem suporte | Com suporte |
| Arquivos do Azure (SMB) | Com suporte | Sem suporte | Com suporte com kerberos Microsoft Entra Domain Services ou Microsoft Entra | Com suporte, as credenciais devem ser sincronizadas com Microsoft Entra ID | Sem suporte |
| Arquivos do Azure (REST) | Com suporte | Com suporte | Com suporte | Sem suporte | Sem suporte |
| Filas do Azure | Com suporte | Com suporte | Com suporte | Sem suporte | Sem suporte |
| Tabelas do Azure | Com suporte | Com suporte | Com suporte | Sem suporte | Sem suporte |
Cada opção de autorização é descrita brevemente abaixo:
Microsoft Entra ID:Microsoft Entra é o serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft. Microsoft Entra ID integração está disponível para os serviços blob, arquivo, fila e tabela. Com Microsoft Entra ID, você pode atribuir acesso refinado a usuários, grupos ou aplicativos por meio do RBAC (controle de acesso baseado em função). Para obter informações sobre Microsoft Entra ID integração com o Armazenamento do Azure, consulte Autorizar com Microsoft Entra ID.
Microsoft Entra Domain Services autorização para Arquivos do Azure. Arquivos do Azure dá suporte à autorização baseada em identidade por meio do SMB (Server Message Block) por meio de Microsoft Entra Domain Services. Você pode usar o RBAC para obter controle refinado sobre o acesso de um cliente a recursos Arquivos do Azure em uma conta de armazenamento. Para obter mais informações sobre Arquivos do Azure autenticação usando serviços de domínio, consulte Arquivos do Azure autorização baseada em identidade.
Autorização do Active Directory (AD) para Arquivos do Azure. Arquivos do Azure dá suporte à autorização baseada em identidade no SMB por meio do AD. O serviço de domínio do AD pode ser hospedado em computadores locais ou em VMs do Azure. Há suporte para o acesso SMB a Arquivos usando credenciais do AD de computadores ingressados no domínio, localmente ou no Azure. Você pode usar o RBAC para controle de acesso no nível de compartilhamento e DACLs do NTFS para imposição de permissões de diretório e nível de arquivo. Para obter mais informações sobre Arquivos do Azure autenticação usando serviços de domínio, consulte Arquivos do Azure autorização baseada em identidade.
Chave Compartilhada: A autorização de Chave Compartilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada que é passada na solicitação no cabeçalho autorização . Para obter mais informações sobre a autorização da Chave Compartilhada, consulte Autorizar com chave compartilhada.
Assinaturas de acesso compartilhado: As SAS (assinaturas de acesso compartilhado) delegam acesso a um recurso específico em sua conta com permissões especificadas e em um intervalo de tempo especificado. Para obter mais informações sobre SAS, consulte Delegar acesso com uma assinatura de acesso compartilhado.
Acesso anônimo a contêineres e blobs: Opcionalmente, você pode tornar os recursos de blob públicos no nível do contêiner ou do blob. Qualquer usuário pode ter acesso de leitura anônimo a um contêiner ou blob público. Solicitações de leitura para contêineres e blobs públicos não exigem autorização. Para obter mais informações, consulte Habilitar o acesso de leitura público para contêineres e blobs no Armazenamento de Blobs do Azure.
Dica
Autenticar e autorizar o acesso a dados de blob, arquivo, fila e tabela com Microsoft Entra ID fornece segurança superior e facilidade de uso em relação a outras opções de autorização. Por exemplo, usando Microsoft Entra ID, você evita ter que armazenar a chave de acesso da conta com seu código, como faz com a autorização de Chave Compartilhada. Embora você possa continuar a usar a autorização de Chave Compartilhada com seus aplicativos de blob e fila, a Microsoft recomenda mudar para Microsoft Entra ID sempre que possível.
Da mesma forma, você pode continuar a usar SAS (assinaturas de acesso compartilhado) para conceder acesso refinado aos recursos em sua conta de armazenamento, mas Microsoft Entra ID oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar em revogar uma SAS comprometida.
Para obter mais informações sobre Microsoft Entra ID integração no Armazenamento do Azure, consulte Autorizar o acesso a blobs e filas do Azure usando Microsoft Entra ID.