Autorizar solicitações para o Armazenamento do Azure
Cada solicitação feita a um recurso protegido no serviço Blob, Arquivo, Fila ou Tabela precisa ser autorizada. A autorização garante que os recursos na conta de armazenamento fiquem acessíveis somente quando você quiser e somente para os usuários ou aplicativos aos quais você conceder acesso.
A tabela a seguir descreve as opções oferecidas pelo Armazenamento do Azure para autorizar o acesso a recursos:
| Artefato do Azure | Chave compartilhada (chave da conta de armazenamento) | Assinatura de acesso compartilhado (SAS) | Microsoft Entra ID | Active Directory Domain Services local | Sobre o acesso de leitura público anônimo |
|---|---|---|---|---|---|
| Blobs do Azure | Com suporte | Com suporte | Com suporte | Sem suporte | Com suporte |
| Arquivos do Azure (SMB) | Com suporte | Sem suporte | Com suporte com kerberos Microsoft Entra Domain Services ou Microsoft Entra | Com suporte, as credenciais devem ser sincronizadas com Microsoft Entra ID | Sem suporte |
| Arquivos do Azure (REST) | Com suporte | Com suporte | Com suporte | Sem suporte | Sem suporte |
| Filas do Azure | Com suporte | Com suporte | Com suporte | Sem suporte | Sem suporte |
| Tabelas do Azure | Com suporte | Com suporte | Com suporte | Sem suporte | Sem suporte |
Cada opção de autorização é descrita brevemente abaixo:
Microsoft Entra ID:Microsoft Entra é o serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft. Microsoft Entra ID integração está disponível para os serviços Blob, Arquivo, Fila e Tabela. Com Microsoft Entra ID, você pode atribuir acesso refinado a usuários, grupos ou aplicativos por meio do RBAC (controle de acesso baseado em função). Para obter informações sobre Microsoft Entra ID integração com o Armazenamento do Azure, consulte Autorizar com Microsoft Entra ID.
Microsoft Entra Domain Services autorização para Arquivos do Azure. Arquivos do Azure dá suporte à autorização baseada em identidade por SMB (Server Message Block) por meio de Microsoft Entra Domain Services. Você pode usar o RBAC para obter controle refinado sobre o acesso de um cliente a recursos Arquivos do Azure em uma conta de armazenamento. Para obter mais informações sobre Arquivos do Azure autenticação usando serviços de domínio, consulte Arquivos do Azure autorização baseada em identidade.
Autorização do AD (Active Directory) para Arquivos do Azure. Arquivos do Azure dá suporte à autorização baseada em identidade por SMB por meio do AD. O serviço de domínio do AD pode ser hospedado em computadores locais ou em VMs do Azure. O acesso SMB aos Arquivos tem suporte usando credenciais do AD de computadores ingressados no domínio, localmente ou no Azure. Você pode usar o RBAC para controle de acesso no nível de compartilhamento e DACLs NTFS para imposição de permissão no nível do diretório e do arquivo. Para obter mais informações sobre Arquivos do Azure autenticação usando serviços de domínio, consulte Arquivos do Azure autorização baseada em identidade.
Chave compartilhada: A autorização de chave compartilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada que é passada na solicitação no cabeçalho Autorização . Para obter mais informações sobre a autorização de chave compartilhada, consulte Autorizar com chave compartilhada.
Assinaturas de acesso compartilhado: As SAS (assinaturas de acesso compartilhado) delegam acesso a um recurso específico em sua conta com permissões especificadas e em um intervalo de tempo especificado. Para obter mais informações sobre SAS, consulte Delegar acesso com uma assinatura de acesso compartilhado.
Acesso anônimo a contêineres e blobs: Opcionalmente, você pode tornar os recursos de blob públicos no nível do contêiner ou do blob. Qualquer usuário pode ter acesso de leitura anônimo a um contêiner ou blob público. Solicitações de leitura para contêineres e blobs públicos não exigem autorização. Para obter mais informações, consulte Habilitar o acesso de leitura público para contêineres e blobs no Armazenamento de Blobs do Azure.
Dica
Autenticar e autorizar o acesso a dados de blob, arquivo, fila e tabela com Microsoft Entra ID fornece segurança superior e facilidade de uso em relação a outras opções de autorização. Por exemplo, usando Microsoft Entra ID, você evita ter que armazenar sua chave de acesso de conta com seu código, como faz com a autorização de Chave Compartilhada. Embora você possa continuar a usar a autorização de Chave Compartilhada com seus aplicativos de blob e fila, a Microsoft recomenda mudar para Microsoft Entra ID sempre que possível.
Da mesma forma, você pode continuar a usar SAS (assinaturas de acesso compartilhado) para conceder acesso refinado aos recursos em sua conta de armazenamento, mas Microsoft Entra ID oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar em revogar uma SAS comprometida.
Para obter mais informações sobre Microsoft Entra ID integração no Armazenamento do Azure, consulte Autorizar o acesso a blobs e filas do Azure usando Microsoft Entra ID.