Autorizar pedidos para o Armazenamento do Azure
Todos os pedidos feitos relativamente a um recurso protegido no serviço Blob, Ficheiro, Fila ou Tabela têm de ser autorizados. A autorização garante que os recursos na sua conta de armazenamento só estão acessíveis quando pretende que sejam e apenas para os utilizadores ou aplicações a quem concede acesso.
A tabela seguinte descreve as opções que o Armazenamento do Azure oferece para autorizar o acesso aos recursos:
| Artefacto do Azure | Chave Partilhada (chave da conta de armazenamento) | Assinatura de acesso partilhado (SAS) | Azure Active Directory (Azure AD) | Active Directory Domain Services no local | Acesso de leitura público anónimo |
|---|---|---|---|---|---|
| Blobs do Azure | Suportado | Suportado | Suportado | Não suportado | Suportado |
| Ficheiros do Azure (SMB) | Suportado | Não suportado | Suportado, apenas com o Azure AD Domain Services | Suportadas, as credenciais têm de ser sincronizadas com Azure AD | Não suportado |
| Ficheiros do Azure (REST) | Suportado | Suportado | Suportado | Não suportado | Não suportado |
| Filas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
| Tabelas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Cada opção de autorização é descrita brevemente abaixo:
Azure Active Directory (Azure AD):Azure AD é o serviço de gestão de identidades e acessos baseado na cloud da Microsoft. Azure AD integração está disponível para os serviços Blob, Ficheiro, Fila e Tabela. Com Azure AD, pode atribuir acesso detalhado a utilizadores, grupos ou aplicações através do controlo de acesso baseado em funções (RBAC). Para obter informações sobre Azure AD integração com o Armazenamento do Azure, veja Autorizar com o Azure Active Directory.
Autorização do Azure Active Directory Domain Services (Azure AD DS) para Ficheiros do Azure. Ficheiros do Azure suporta a autorização baseada em identidade através do Server Message Block (SMB) através do Azure AD DS. Pode utilizar o RBAC para um controlo detalhado sobre o acesso de um cliente a recursos de Ficheiros do Azure numa conta de armazenamento. Para obter mais informações sobre Ficheiros do Azure autenticação através de serviços de domínio, veja Ficheiros do Azure autorização baseada em identidade.
Autorização do Active Directory (AD) para Ficheiros do Azure. Ficheiros do Azure suporta autorização baseada em identidade através de SMB através do AD. O seu serviço de domínio do AD pode ser alojado em máquinas no local ou em VMs do Azure. O acesso SMB aos Ficheiros é suportado com credenciais do AD de máquinas associadas a um domínio, no local ou no Azure. Pode utilizar o RBAC para controlo de acesso ao nível da partilha e DACLs NTFS para imposição de permissões ao nível do diretório e do ficheiro. Para obter mais informações sobre Ficheiros do Azure autenticação através de serviços de domínio, veja Ficheiros do Azure autorização baseada em identidade.
Chave Partilhada: A autorização de Chave Partilhada baseia-se nas chaves de acesso da conta e noutros parâmetros para produzir uma cadeia de assinatura encriptada que é transmitida no pedido no cabeçalho Autorização . Para obter mais informações sobre a autorização da Chave Partilhada, veja Autorizar com a Chave Partilhada.
Assinaturas de acesso partilhado: As assinaturas de acesso partilhado (SAS) delegam o acesso a um determinado recurso na sua conta com permissões especificadas e num intervalo de tempo especificado. Para obter mais informações sobre a SAS, veja Delegar o acesso com uma assinatura de acesso partilhado.
Acesso anónimo a contentores e blobs: Opcionalmente, pode tornar os recursos de blobs públicos ao nível do contentor ou do blob. Um contentor público ou blob está acessível a qualquer utilizador para acesso de leitura anónimo. Os pedidos de leitura para contentores públicos e blobs não requerem autorização. Para obter mais informações, veja Ativar o acesso de leitura público para contentores e blobs no armazenamento de Blobs do Azure.
Dica
Autenticar e autorizar o acesso a dados de blobs, ficheiros, filas e tabelas com Azure AD proporciona uma segurança superior e facilidade de utilização em outras opções de autorização. Por exemplo, ao utilizar Azure AD, evita ter de armazenar a chave de acesso da conta com o seu código, como faz com a autorização de Chave Partilhada. Embora possa continuar a utilizar a autorização de Chave Partilhada com as suas aplicações de blobs e filas, a Microsoft recomenda mudar para Azure AD sempre que possível.
Da mesma forma, pode continuar a utilizar assinaturas de acesso partilhado (SAS) para conceder acesso detalhado aos recursos na sua conta de armazenamento, mas Azure AD oferece capacidades semelhantes sem a necessidade de gerir tokens de SAS ou preocupar-se com a revogação de uma SAS comprometida.
Para obter mais informações sobre Azure AD integração no Armazenamento do Azure, veja Autorizar o acesso a blobs e filas do Azure com o Azure Active Directory.