Escolha como autorizar o acesso a dados de blob no portal do Azure
Quando você acessa dados de blob usando o portal do Azure, o portal faz solicitações ao Armazenamento do Azure sob as cobertas. Um pedido ao Armazenamento do Microsoft Azure pode ser autorizado com a conta do Microsoft Entra ou com a chave de acesso da conta de armazenamento. O portal indica qual o método que está a utilizar e permite-lhe alternar entre os dois quando tem as permissões corretas.
Você também pode especificar como autorizar uma operação de carregamento de blob individual no portal do Azure. Por padrão, o portal usa qualquer método que você já esteja usando para autorizar uma operação de upload de blob, mas você tem a opção de alterar essa configuração quando carrega um blob.
Permissões necessárias para acessar dados de blob
Dependendo de como você deseja autorizar o acesso a dados de blob no portal do Azure, você precisa de permissões específicas. Na maioria dos casos, essas permissões são fornecidas por meio do controle de acesso baseado em função do Azure (Azure RBAC). Para obter mais informações sobre o RBAC do Azure, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC)?.
Use a chave de acesso da conta
Para acessar dados de blob com a chave de acesso da conta, você deve ter uma função do Azure atribuída a você que inclua a ação RBAC do Azure Microsoft.Storage/storageAccounts/listkeys/action. Essa função do Azure pode ser interna ou personalizada. As funções internas que oferecem suporte a Microsoft.Storage/storageAccounts/listkeys/action incluem o seguinte, na ordem das permissões menores para maiores:
- A função Acesso de Dados e de Leitor
- A função de Contribuidor de Conta de Armazenamento
- A função de Contribuidor do Azure Resource Manager
- A função de Proprietário do Azure Resource Manager
Quando você tenta acessar dados de blob no portal do Azure, o portal primeiro verifica se você recebeu uma função com Microsoft.Storage/storageAccounts/listkeys/action. Se você tiver recebido uma função com essa ação, o portal usará a chave de conta para acessar dados de blob. Se você não tiver recebido uma função com essa ação, o portal tentará acessar os dados usando sua conta do Microsoft Entra.
Importante
Quando uma conta de armazenamento é bloqueada com um bloqueio Somente Leitura do Azure Resource Manager, a operação Listar Chaves não é permitida para essa conta de armazenamento. List Keys é uma operação POST e todas as operações POST são impedidas quando um bloqueio ReadOnly é configurado para a conta. Por esse motivo, quando a conta é bloqueada com um bloqueio ReadOnly , os usuários devem usar as credenciais do Microsoft Entra para acessar dados de blob no portal. Para obter informações sobre como acessar dados de blob no portal com o Microsoft Entra ID, consulte Usar sua conta do Microsoft Entra.
Nota
As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, incluindo Microsoft.Storage /storageAccounts/listkeys/action, para que um usuário com uma dessas funções administrativas também possa acessar dados de blob com a chave de conta. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.
Utilize a sua conta Microsoft Entra
Para acessar dados de blob do portal do Azure usando sua conta do Microsoft Entra, ambas as instruções a seguir devem ser verdadeiras para você:
- Você recebe uma função interna ou personalizada que fornece acesso a dados de blob.
- Você recebe a função de Leitor do Azure Resource Manager, no mínimo, com escopo para o nível da conta de armazenamento ou superior. A função Leitor concede as permissões mais restritas, mas outra função do Azure Resource Manager que concede acesso aos recursos de gestão da conta de armazenamento também é aceitável.
A função Leitor do Azure Resource Manager permite que os usuários exibam recursos da conta de armazenamento, mas não os modifiquem. Ele não fornece permissões de leitura para dados no Armazenamento do Azure, mas apenas para recursos de gerenciamento de contas. A função Leitor é necessária para que os usuários possam navegar até contêineres de blob no portal do Azure.
Para obter informações sobre as funções internas que oferecem suporte ao acesso a dados de blob, consulte Autorizar acesso a blobs usando a ID do Microsoft Entra.
As funções personalizadas podem oferecer suporte a diferentes combinações das mesmas permissões fornecidas pelas funções internas. Para obter mais informações sobre como criar funções personalizadas do Azure, consulte Funções personalizadas do Azure e Compreender definições de função para recursos do Azure.
Navegue até blobs no portal do Azure
Para visualizar dados de blob no portal, navegue até Visão geral da sua conta de armazenamento e selecione nos links para Blobs. Como alternativa, você pode navegar até a seção Contêineres no menu.
Determinar o método de autenticação atual
Quando você navega para um contêiner, o portal do Azure indica se você está usando a chave de acesso da conta ou sua conta do Microsoft Entra para autenticar.
Autenticar com a chave de acesso da conta
Se você estiver autenticando usando a chave de acesso da conta, verá a Chave de Acesso especificada como o método de autenticação no portal:
Para mudar para usar a conta Microsoft Entra, selecione o link realçado na imagem. Se você tiver as permissões apropriadas por meio das funções do Azure atribuídas a você, poderá continuar. No entanto, se você não tiver as permissões corretas, você verá uma mensagem de erro como a seguinte:
Observe que nenhum blobs aparecerá na lista se sua conta do Microsoft Entra não tiver permissões para exibi-los. Selecione o link Alternar para a chave de acesso para usar a chave de acesso para autenticação novamente.
Autenticar com a sua conta Microsoft Entra
Se você estiver autenticando usando sua conta do Microsoft Entra, verá Conta de usuário do Microsoft Entra especificada como o método de autenticação no portal:
Para mudar para usar a chave de acesso da conta, selecione o link realçado na imagem. Se você tiver acesso à chave da conta, poderá continuar. No entanto, se você não tiver acesso à chave da conta, você verá uma mensagem de erro como a seguinte:
Observe que nenhum blobs aparecerá na lista se você não tiver acesso às chaves da conta. Selecione o link Mudar para a conta de usuário do Microsoft Entra para usar sua conta do Microsoft Entra para autenticação novamente.
Especificar como autorizar uma operação de carregamento de blob
Ao carregar um blob do portal do Azure, você pode especificar se deseja autenticar e autorizar essa operação com a chave de acesso da conta ou com suas credenciais do Microsoft Entra. Por padrão, o portal usa o método de autenticação atual, conforme mostrado em Determinar o método de autenticação atual.
Para especificar como autorizar uma operação de carregamento de blob, siga estes passos:
No portal do Azure, navegue até o contêiner onde você deseja carregar um blob.
Selecione o botão Carregar.
Expanda a seção Avançado para exibir as propriedades avançadas do blob.
No campo Tipo de autenticação, indique se deseja autorizar a operação de carregamento usando sua conta do Microsoft Entra ou com a chave de acesso da conta, conforme mostrado na imagem a seguir:
Padrão para autorização do Microsoft Entra no portal do Azure
Ao criar uma nova conta de armazenamento, você pode especificar que o portal do Azure assume como padrão a autorização com a ID do Microsoft Entra quando um usuário navega para dados de blob. Você também pode definir essa configuração para uma conta de armazenamento existente. Essa configuração especifica apenas o método de autorização padrão, portanto, lembre-se de que um usuário pode substituir essa configuração e optar por autorizar o acesso a dados com a chave da conta.
Para especificar que o portal deve usar a autorização do Microsoft Entra por padrão para acesso a dados quando você cria uma conta de armazenamento, execute estas etapas:
Crie uma nova conta de armazenamento, seguindo as instruções em Criar uma conta de armazenamento.
Na guia Avançado, na seção Segurança, marque a caixa ao lado de Padrão para autorização do Microsoft Entra no portal do Azure.
Selecione o botão Rever + criar para executar a validação e criar a conta.
Para atualizar essa configuração para uma conta de armazenamento existente, siga estas etapas:
Navegue até a visão geral da conta no portal do Azure.
Em Definições, selecione Configuração.
Defina Padrão para autorização do Microsoft Entra no portal do Azure como Habilitado.
A propriedade defaultToOAuthAuthentication de uma conta de armazenamento não é definida por padrão e não retorna um valor até que você o defina explicitamente.