Desabilitar a autenticação de chave de acesso para uma instância de Configuração de Aplicativo do Azure
Cada solicitação para um recurso de Configuração de Aplicativo do Azure deve ser autenticada. Por padrão, as solicitações podem ser autenticadas com credenciais do Microsoft Entra ou usando uma chave de acesso. Desses dois tipos de esquemas de autenticação, o Microsoft Entra ID oferece segurança superior e facilidade de uso sobre chaves de acesso, e é recomendado pela Microsoft. Para exigir que os clientes usem a ID do Microsoft Entra para autenticar solicitações, você pode desabilitar o uso de chaves de acesso para um recurso de Configuração de Aplicativo do Azure.
Quando você desabilita a autenticação de chave de acesso para um recurso de Configuração de Aplicativo do Azure, todas as chaves de acesso existentes para esse recurso são excluídas. Quaisquer solicitações subsequentes ao recurso usando as chaves de acesso existentes anteriormente serão rejeitadas. Somente as solicitações autenticadas usando o Microsoft Entra ID terão êxito. Para obter mais informações sobre como usar a ID do Microsoft Entra, consulte Autorizar o acesso à Configuração do Aplicativo do Azure usando a ID do Microsoft Entra.
Desativar a autenticação da chave de acesso
A desativação da autenticação de chave de acesso excluirá todas as chaves de acesso. Se algum aplicativo em execução estiver usando chaves de acesso para autenticação, eles começarão a falhar quando a autenticação de chave de acesso estiver desabilitada. Habilitar a autenticação de chave de acesso novamente gerará um novo conjunto de chaves de acesso e todos os aplicativos que tentarem usar as chaves de acesso antigas ainda falharão.
Aviso
Se algum cliente estiver acessando dados em seu recurso de Configuração de Aplicativo do Azure com chaves de acesso, a Microsoft recomenda que você migre esses clientes para a ID do Microsoft Entra antes de desabilitar a autenticação de chave de acesso.
Para não permitir a autenticação de chave de acesso para um recurso de Configuração de Aplicativo do Azure no portal do Azure, siga estas etapas:
Navegue até o recurso de Configuração do Aplicativo do Azure no portal do Azure.
Localize a configuração Configurações de acesso em Configurações.
Defina a alternância Ativar teclas de acesso como Desativado.
Verifique se a autenticação da chave de acesso está desativada
Para verificar se a autenticação de chave de acesso não é mais permitida, uma solicitação pode ser feita para listar as chaves de acesso para o recurso de Configuração de Aplicativo do Azure. Se a autenticação de chave de acesso estiver desabilitada, não haverá chaves de acesso e a operação de lista retornará uma lista vazia.
Para verificar se a autenticação de chave de acesso está desabilitada para um recurso de Configuração de Aplicativo do Azure no portal do Azure, siga estas etapas:
Navegue até o recurso de Configuração do Aplicativo do Azure no portal do Azure.
Localize a configuração Configurações de acesso em Configurações.
Verifique se não há chaves de acesso exibidas e Ativar chaves de acesso é alternado para Desativado.
Permissões para permitir ou não a autenticação da chave de acesso
Para modificar o estado da autenticação de chave de acesso para um recurso de Configuração de Aplicativo do Azure, um usuário deve ter permissões para criar e gerenciar recursos de Configuração de Aplicativo do Azure. As funções de controle de acesso baseado em função do Azure (Azure RBAC) que fornecem essas permissões incluem a ação Microsoft.AppConfiguration/configurationStores/write ou Microsoft.AppConfiguration/configurationStores/* . As funções incorporadas com esta ação incluem:
- A função de Proprietário do Azure Resource Manager
- A função de Contribuidor do Azure Resource Manager
Essas funções não fornecem acesso a dados em um recurso de Configuração de Aplicativo do Azure por meio da ID do Microsoft Entra. No entanto, eles incluem a permissão de ação Microsoft.AppConfiguration/configurationStores/listKeys/action , que concede acesso às chaves de acesso do recurso. Com essa permissão, um usuário pode usar as chaves de acesso para acessar todos os dados no recurso.
As atribuições de função devem ter escopo para o nível do recurso de Configuração do Aplicativo do Azure ou superior para permitir que um usuário permita ou não a autenticação de chave de acesso para o recurso. Para obter mais informações sobre o escopo da função, consulte Entender o escopo do RBAC do Azure.
Tenha cuidado para restringir a atribuição dessas funções apenas aos usuários que exigem a capacidade de criar um recurso de Configuração de Aplicativo ou atualizar suas propriedades. Use o princípio do menor privilégio para garantir que os usuários tenham o menor número de permissões de que precisam para realizar suas tarefas. Para obter mais informações sobre como gerenciar o acesso com o RBAC do Azure, consulte Práticas recomendadas para o RBAC do Azure.
Nota
As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, portanto, um usuário com uma dessas funções administrativas também pode criar e gerenciar recursos de Configuração do Aplicativo. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.
Nota
Quando a autenticação de chave de acesso estiver desabilitada e o modo de autenticação ARM da App Configuration Store for local, a capacidade de ler/gravar valores de chave em um modelo ARM também será desabilitada. Isso ocorre porque o acesso ao recurso Microsoft.AppConfiguration/configurationStores/keyValues usado em modelos ARM requer autenticação de chave de acesso com modo de autenticação ARM local. Recomenda-se o uso do modo de autenticação ARM de passagem. Para obter mais informações, consulte Visão geral da implantação.