Sobre as chaves de conta de armazenamento gerenciado do Azure Key Vault (Legado)
Importante
Recomendamos usar a integração do Armazenamento do Azure com o Microsoft Entra ID, o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. A integração do Microsoft Entra está disponível para blobs e filas do Azure e fornece acesso baseado em token OAuth2 ao Armazenamento do Azure (assim como o Azure Key Vault). O Microsoft Entra ID permite que você autentique seu aplicativo cliente usando uma identidade de aplicativo ou usuário, em vez de credenciais de conta de armazenamento. Você pode usar uma identidade gerenciada do Microsoft Entra ao executar no Azure. As identidades gerenciadas eliminam a necessidade de autenticação de cliente e armazenamento de credenciais em ou com seu aplicativo. Use a solução abaixo somente quando a autenticação do Microsoft Entra não for possível.
Uma conta de armazenamento do Azure usa credenciais que compreendem um nome de conta e uma chave. A chave é gerada automaticamente e serve como uma senha, em vez de uma chave criptográfica. O Cofre de Chaves gerencia chaves de conta de armazenamento regenerando-as periodicamente na conta de armazenamento e fornece tokens de assinatura de acesso compartilhado para acesso delegado a recursos em sua conta de armazenamento.
Você pode usar o recurso de chave de conta de armazenamento gerenciado do Cofre da Chave para listar (sincronizar) chaves com uma conta de armazenamento do Azure e regenerar (girar) as chaves periodicamente. Você pode gerenciar chaves para contas de armazenamento e contas de armazenamento Classic.
Gerenciamento de chaves de conta do Armazenamento do Azure
O Cofre de Chaves pode gerenciar chaves de conta de armazenamento do Azure:
- Internamente, o Cofre da Chave pode listar (sincronizar) chaves com uma conta de armazenamento do Azure.
- O Key Vault regenera (gira) as chaves periodicamente.
- Os valores-chave nunca são retornados em resposta ao chamador.
- O Key Vault gerencia chaves de contas de armazenamento e contas de armazenamento clássicas.
Para obter mais informações, consulte:
- Chaves de acesso à conta de armazenamento
- Gerenciamento de chaves de conta de armazenamento no Azure Key Vault
Controle de acesso à conta de armazenamento
As permissões a seguir podem ser usadas ao autorizar um usuário ou entidade de aplicativo a executar operações em uma conta de armazenamento gerenciado:
Permissões para contas de armazenamento gerenciado e operações de definição de SaS
- get: Obtém informações sobre uma conta de armazenamento
- list: Listar contas de armazenamento gerenciadas por um Cofre de Chaves
- update: Atualizar uma conta de armazenamento
- excluir: excluir uma conta de armazenamento
- recuperar: Recuperar uma conta de armazenamento excluída
- backup: fazer backup de uma conta de armazenamento
- restaurar: restaure uma conta de armazenamento de backup para um Cofre de Chaves
- set: Criar ou atualizar uma conta de armazenamento
- regeneratekey: regenerar um valor de chave especificado para uma conta de armazenamento
- getsas: Obter informações sobre uma definição SAS para uma conta de armazenamento
- listsas: Listar definições SAS de armazenamento para uma conta de armazenamento
- deletesas: excluir uma definição de SAS de uma conta de armazenamento
- setsas: Criar ou atualizar uma nova definição/atributos SAS para uma conta de armazenamento
Permissões para operações privilegiadas
- limpar: limpar (excluir permanentemente) uma conta de armazenamento gerenciado
Para obter mais informações, consulte as operações da conta de armazenamento na referência da API REST do Cofre de Chaves. Para obter informações sobre como estabelecer permissões, consulte Vaults - Criar ou atualizar e Vaults - Atualizar política de acesso.