Atribuir uma função do Azure para acesso aos dados de blobs

O Microsoft Entra autoriza direitos de acesso a recursos protegidos por meio do controle de acesso baseado em função do Azure (Azure RBAC). O Armazenamento do Azure define um conjunto de funções internas do Azure que englobam conjuntos comuns de permissões usadas para acessar dados de blob.

Quando uma função do Azure é atribuída a uma entidade de segurança do Microsoft Entra, o Azure concede acesso a esses recursos para essa entidade de segurança. Uma entidade de segurança do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure.

Para saber mais sobre como usar a ID do Microsoft Entra para autorizar o acesso a dados de blob, consulte Autorizar o acesso a blobs usando a ID do Microsoft Entra.

Nota

Este artigo mostra como atribuir uma função do Azure para acesso a dados de blob em uma conta de armazenamento. Para saber mais sobre como atribuir funções para operações de gerenciamento no Armazenamento do Azure, consulte Usar o provedor de recursos do Armazenamento do Azure para acessar recursos de gerenciamento.

Atribuir uma função do Azure

Você pode usar o portal do Azure, PowerShell, CLI do Azure ou um modelo do Azure Resource Manager para atribuir uma função para acesso a dados.

Portal do Azure

Para acessar dados de blob no portal do Azure com credenciais do Microsoft Entra, um usuário deve ter as seguintes atribuições de função:

• Uma função de acesso a dados, como Storage Blob Data Reader ou Storage Blob Data Contributor
• A função Leitor do Azure Resource Manager, no mínimo

Para saber como atribuir essas funções a um usuário, siga as instruções fornecidas em Atribuir funções do Azure usando o portal do Azure.

A função Leitor é uma função do Gerenciador de Recursos do Azure que permite que os usuários exibam recursos da conta de armazenamento, mas não os modifiquem. Ele não fornece permissões de leitura para dados no Armazenamento do Azure, mas apenas para recursos de gerenciamento de contas. A função Leitor é necessária para que os usuários possam navegar até contêineres de blob no portal do Azure.

Por exemplo, se você atribuir a função de Colaborador de Dados de Blob de Armazenamento ao usuário Mary no nível de um contêiner chamado contêiner de amostra, Mary receberá acesso de leitura, gravação e exclusão a todos os blobs nesse contêiner. No entanto, se Mary quiser exibir um blob no portal do Azure, a função de Colaborador de Dados do Blob de Armazenamento por si só não fornecerá permissões suficientes para navegar pelo portal até o blob para exibi-lo. As permissões adicionais são necessárias para navegar pelo portal e visualizar os outros recursos que estão visíveis lá.

Um usuário deve receber a função de Leitor para usar o portal do Azure com credenciais do Microsoft Entra. No entanto, se um usuário receber uma função com permissões Microsoft.Storage/storageAccounts/listKeys/action , o usuário poderá usar o portal com as chaves da conta de armazenamento, por meio da autorização de Chave Compartilhada. Para usar as chaves da conta de armazenamento, o acesso à Chave Compartilhada deve ser permitido para a conta de armazenamento. Para obter mais informações sobre como permitir ou não o acesso à Chave Compartilhada, consulte Impedir autorização de Chave Compartilhada para uma conta de Armazenamento do Azure.

Você também pode atribuir uma função do Azure Resource Manager que forneça permissões adicionais além da função Leitor . A atribuição do mínimo possível de permissões é recomendada como uma prática recomendada de segurança. Para obter mais informações, veja Melhores práticas do RBAC do Azure.

Nota

Antes de atribuir a si mesmo uma função para acesso a dados, você poderá acessar dados em sua conta de armazenamento por meio do portal do Azure porque o portal do Azure também pode usar a chave da conta para acesso a dados. Para obter mais informações, consulte Escolher como autorizar o acesso a dados de blob no portal do Azure.

PowerShell

Para atribuir uma função do Azure a uma entidade de segurança com o PowerShell, chame o comando New-AzRoleAssignment . Para executar o comando, você deve ter uma função que inclua permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou superior.

O formato do comando pode diferir com base no escopo da atribuição, mas os -ObjectId parâmetros e -RoleDefinitionName são necessários. Passar um valor para o -Scope parâmetro, embora não seja necessário, é altamente recomendado para manter o princípio do menor privilégio. Ao limitar funções e escopos, você limita os recursos que estão em risco se a entidade de segurança for comprometida.

O -ObjectId parâmetro é a ID do objeto Microsoft Entra do usuário, grupo ou entidade de serviço à qual a função está sendo atribuída. Para recuperar o identificador, você pode usar Get-AzADUser para filtrar usuários do Microsoft Entra, conforme mostrado no exemplo a seguir.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

A primeira resposta retorna a entidade de segurança e a segunda retorna a ID do objeto da entidade de segurança.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

O -RoleDefinitionName valor do parâmetro é o nome da função RBAC que precisa ser atribuída à entidade de segurança. Para acessar dados de blob no portal do Azure com credenciais do Microsoft Entra, um usuário deve ter as seguintes atribuições de função:

• Uma função de acesso a dados, como Colaborador de Dados de Blob de Armazenamento ou Leitor de Dados de Blob de Armazenamento
• A função Leitor do Azure Resource Manager

Para atribuir uma função com escopo a um contêiner de blob ou a uma conta de armazenamento, você deve especificar uma cadeia de caracteres contendo o escopo do recurso para o -Scope parâmetro. Esta ação está em conformidade com o princípio do menor privilégio, um conceito de segurança da informação em que um usuário recebe o nível mínimo de acesso necessário para desempenhar suas funções de trabalho. Esta prática reduz o risco potencial de danos acidentais ou intencionais que privilégios desnecessários podem causar.

O escopo para um contêiner está no formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

O escopo de uma conta de armazenamento está na forma:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Para atribuir uma função com escopo a uma conta de armazenamento, especifique uma cadeia de caracteres que contenha o escopo do contêiner para o --scope parâmetro.

O exemplo a seguir atribui a função de Colaborador de Dados de Blob de Armazenamento a um usuário. A atribuição de função tem como escopo o nível do contêiner. Certifique-se de substituir os valores de exemplo e os valores de espaço reservado entre colchetes (<>) por seus próprios valores:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

O exemplo a seguir atribui a função Storage Blob Data Reader a um usuário especificando a ID do objeto. A atribuição de função tem como escopo o nível da conta de armazenamento. Certifique-se de substituir os valores de exemplo e os valores de espaço reservado entre colchetes (<>) por seus próprios valores:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

A saída deve ser semelhante ao seguinte:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Para obter informações sobre como atribuir funções com o PowerShell no escopo da assinatura ou do grupo de recursos, consulte Atribuir funções do Azure usando o Azure PowerShell.

CLI do Azure

Para atribuir uma função do Azure a uma entidade de segurança com a CLI do Azure, use o comando az role assignment create . O formato do comando pode variar com base no escopo da atribuição. Para executar o comando, você deve ter uma função que inclua permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou superior.

Para atribuir uma função com escopo a um contêiner, especifique uma cadeia de caracteres contendo o escopo do contêiner para o --scope parâmetro. O escopo para um contêiner está no formato:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

O exemplo a seguir atribui a função de Colaborador de Dados de Blob de Armazenamento a um usuário. A atribuição de função tem como escopo o nível do contêiner. Certifique-se de substituir os valores de exemplo e os valores de espaço reservado entre colchetes (<>) por seus próprios valores:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

O exemplo a seguir atribui a função Storage Blob Data Reader a um usuário especificando a ID do objeto. Para saber mais sobre os --assignee-object-id parâmetros e --assignee-principal-type , consulte az role assignment. Neste exemplo, a atribuição de função tem como escopo o nível da conta de armazenamento. Certifique-se de substituir os valores de exemplo e os valores de espaço reservado entre colchetes (<>) por seus próprios valores:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Para obter informações sobre como atribuir funções com a CLI do Azure no escopo da assinatura, grupo de recursos ou conta de armazenamento, consulte Atribuir funções do Azure usando a CLI do Azure.

Modelo

Para saber como usar um modelo do Azure Resource Manager para atribuir uma função do Azure, consulte Atribuir funções do Azure usando modelos do Azure Resource Manager.

Lembre-se dos seguintes pontos sobre as atribuições de função do Azure no Armazenamento do Azure:

• Quando cria uma conta de Armazenamento do Azure, não lhe são atribuídas automaticamente permissões para aceder a dados através do Microsoft Entra ID. Você deve atribuir explicitamente a si mesmo uma função do Azure para o Armazenamento do Azure. Você pode atribuí-lo no nível de sua assinatura, grupo de recursos, conta de armazenamento ou contêiner.
• Quando você atribui funções ou remove atribuições de função, pode levar até 10 minutos para que as alterações entrem em vigor.
• Se a conta de armazenamento estiver bloqueada com um bloqueio somente leitura do Azure Resource Manager, o bloqueio impedirá a atribuição de funções do Azure com escopo para a conta de armazenamento ou um contêiner.
• Se você definir as permissões de permissão apropriadas para acessar dados via ID do Microsoft Entra e não conseguir acessar os dados, por exemplo, você está recebendo um erro "AuthorizationPermissionMismatch". Certifique-se de dar tempo suficiente para que as alterações de permissões feitas na ID do Microsoft Entra sejam replicadas e certifique-se de que você não tem nenhuma atribuição de negação que bloqueie seu acesso, consulte Entender as atribuições de negação do Azure.

Nota

Você pode criar funções personalizadas do RBAC do Azure para acesso granular a dados de blob. Para obter mais informações, consulte Funções personalizadas do Azure.

Próximos passos

• O que é o controlo de acesso baseado em funções do Azure (Azure RBAC)?
• Práticas recomendadas para o RBAC do Azure