Aplicar um bloqueio do Azure Resource Manager a uma conta de armazenamento
A Microsoft recomenda bloquear todas as suas contas de armazenamento com um bloqueio do Azure Resource Manager para evitar a exclusão acidental ou mal-intencionada da conta de armazenamento. Há dois tipos de bloqueios de recursos do Azure Resource Manager:
- Um bloqueio CannotDelete impede que os usuários excluam uma conta de armazenamento, mas permite ler e modificar sua configuração.
- Um bloqueio ReadOnly impede que os usuários excluam uma conta de armazenamento ou modifiquem sua configuração, mas permite a leitura da configuração.
Para obter mais informações sobre bloqueios do Azure Resource Manager, consulte Bloquear recursos para evitar alterações.
Atenção
O bloqueio de uma conta de armazenamento não protege os contêineres ou blobs dessa conta de serem excluídos ou substituídos. Para obter mais informações sobre como proteger dados de blob, consulte Visão geral da proteção de dados.
Configurar um bloqueio do Azure Resource Manager
Para configurar um bloqueio em uma conta de armazenamento com o portal do Azure, siga estas etapas:
Navegue para a sua conta de armazenamento no portal do Azure.
Na seção Configurações, selecione Bloqueios.
Selecione Adicionar.
Forneça um nome para o bloqueio de recursos e especifique o tipo de bloqueio. Adicione uma nota sobre o bloqueio, se desejar.
Autorizando operações de dados quando um bloqueio ReadOnly está em vigor
Quando um bloqueio Somente Leitura é aplicado a uma conta de armazenamento, a operação Listar Chaves é bloqueada para essa conta de armazenamento. A operação Listar Chaves é uma operação HTTPS POST e todas as operações POST são impedidas quando um bloqueio Somente Leitura é configurado para a conta. A operação Listar Chaves retorna as chaves de acesso da conta, que podem ser usadas para ler e gravar em quaisquer dados na conta de armazenamento.
Se um cliente estiver na posse das chaves de acesso da conta no momento em que o bloqueio é aplicado à conta de armazenamento, esse cliente pode continuar a usar as chaves para aceder aos dados. No entanto, os clientes que não têm acesso às chaves precisarão usar as credenciais do Microsoft Entra para acessar dados de blob ou fila na conta de armazenamento.
Os usuários do portal do Azure podem ser afetados quando um bloqueio ReadOnly é aplicado, se eles tiverem acessado anteriormente dados de blob ou fila no portal com as chaves de acesso da conta. Depois que o bloqueio for aplicado, os usuários do portal precisarão usar as credenciais do Microsoft Entra para acessar dados de blob ou fila no portal. Para fazer isso, um usuário deve ter pelo menos duas funções RBAC atribuídas a ele: a função Leitor do Azure Resource Manager no mínimo e uma das funções de acesso a dados do Armazenamento do Azure. Para obter mais informações, consulte um dos seguintes artigos:
- Escolha como autorizar o acesso a dados de blob no portal do Azure
- Escolha como autorizar o acesso aos dados da fila no portal do Azure
Os dados nos Arquivos do Azure ou no serviço Tabela podem se tornar inacessíveis para clientes que os acessaram anteriormente com as chaves de conta. Como prática recomendada, se você precisar aplicar um bloqueio Somente Leitura a uma conta de armazenamento, mova suas cargas de trabalho do serviço Arquivos e Tabela do Azure para uma conta de armazenamento que não esteja bloqueada com um bloqueio Somente Leitura.