Autorizar solicitações para o Armazenamento do Azure

Cada solicitação feita a um recurso protegido no serviço Blob, Arquivo, Fila ou Tabela precisa ser autorizada. A autorização garante que os recursos na conta de armazenamento fiquem acessíveis somente quando você quiser e somente para os usuários ou aplicativos aos quais você conceder acesso.

A tabela a seguir descreve as opções oferecidas pelo Armazenamento do Azure para autorizar o acesso a recursos:

Artefato do Azure Chave compartilhada (chave da conta de armazenamento) Assinatura de acesso compartilhado (SAS) Active Directory do Azure (Azure AD) Active Directory Domain Services local Sobre o acesso de leitura público anônimo
Blobs do Azure Com suporte Com suporte Com suporte Sem suporte Com suporte
Arquivos do Azure (SMB) Com suporte Sem suporte Com suporte, somente com Azure AD DS Com suporte, as credenciais devem ser sincronizadas com o Azure AD Sem suporte
Arquivos do Azure (REST) Com suporte Com suporte Sem suporte Sem suporte Sem suporte
Filas do Azure Com suporte Com suporte Com suporte Sem suporte Sem suporte
Tabelas do Azure Com suporte Com suporte Com suporte Sem suporte Sem suporte

Cada opção de autorização é descrita brevemente abaixo:

  • Azure Active Directory (Azure AD):Azure AD é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Azure AD integração está disponível para os serviços Blob, Fila e Tabela. Com o Azure AD, você pode atribuir acesso refinado a usuários, grupos ou aplicativos por meio do RBAC (controle de acesso baseado em função). Para obter informações sobre Azure AD integração com o Armazenamento do Azure, consulte Autorizar com o Azure Active Directory.

  • Autorização do Azure AD DS (Azure Active Directory Domain Services) para Arquivos do Azure. O Arquivos do Azure oferece suporte à autorização baseada em identidade com o protocolo SMB por meio do Azure AD DS. Você pode usar o RBAC para obter controle refinado sobre o acesso de um cliente a recursos Arquivos do Azure em uma conta de armazenamento. Para obter mais informações sobre Arquivos do Azure autenticação usando serviços de domínio, consulte Arquivos do Azure autorização baseada em identidade.

  • Autorização do AD (Active Directory) para Arquivos do Azure. Arquivos do Azure dá suporte à autorização baseada em identidade por SMB por meio do AD. O serviço de domínio do AD pode ser hospedado em computadores locais ou em VMs do Azure. O acesso SMB aos Arquivos tem suporte usando credenciais do AD de computadores ingressados no domínio, localmente ou no Azure. Você pode usar o RBAC para controle de acesso no nível de compartilhamento e DACLs NTFS para imposição de permissão no nível do diretório e do arquivo. Para obter mais informações sobre Arquivos do Azure autenticação usando serviços de domínio, consulte Arquivos do Azure autorização baseada em identidade.

  • Chave compartilhada: A autorização de chave compartilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada que é passada na solicitação no cabeçalho Autorização . Para obter mais informações sobre a autorização de chave compartilhada, consulte Autorizar com chave compartilhada.

  • Assinaturas de acesso compartilhado: As SAS (assinaturas de acesso compartilhado) delegam acesso a um recurso específico em sua conta com permissões especificadas e em um intervalo de tempo especificado. Para obter mais informações sobre SAS, consulte Delegar acesso com uma assinatura de acesso compartilhado.

  • Acesso anônimo a contêineres e blobs: Opcionalmente, você pode tornar os recursos de blob públicos no nível do contêiner ou do blob. Qualquer usuário pode ter acesso de leitura anônimo a um contêiner ou blob público. Solicitações de leitura para contêineres e blobs públicos não exigem autorização. Para obter mais informações, consulte Habilitar o acesso de leitura público para contêineres e blobs no Armazenamento de Blobs do Azure.

Dica

Autenticar e autorizar o acesso a dados de blob, fila e tabela com Azure AD fornece segurança superior e facilidade de uso em relação a outras opções de autorização. Por exemplo, usando o Azure AD, você evita ter que armazenar sua chave de acesso de conta com o seu código, como você faz com a autorização de Chave Compartilhada. Embora você possa continuar a usar a autorização de Chave Compartilhada com seus aplicativos de blob e de fila, a Microsoft recomenda mudar para o Azure AD sempre que possível.

Da mesma forma, você pode continuar a usar assinaturas de acesso compartilhado (SAS) para conceder acesso refinado para recursos em sua conta de armazenamento, mas o AD do Azure oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar sobre revogar uma SAS comprometida.

Para obter mais informações sobre Azure AD integração no Armazenamento do Azure, consulte Autorizar o acesso a blobs e filas do Azure usando o Azure Active Directory.