Ligar à sua conta de armazenamento do Azure
Você adicionou as bibliotecas de cliente necessárias ao seu aplicativo e está pronto para se conectar à sua conta de armazenamento do Azure.
Para trabalhar com dados numa conta de armazenamento, a aplicação precisará de dois fragmentos de dados:
- Chave de acesso
- Ponto final da API REST
Chaves de acesso de segurança
Cada conta de armazenamento tem duas chaves de acesso exclusivas que servem para proteger a conta de armazenamento. Se a aplicação tiver de estabelecer ligação a múltiplas contas de armazenamento, a mesma exigirá uma chave de acesso para cada conta de armazenamento.
Ponto final da API REST
Além das chaves de acesso para autenticação em contas de armazenamento, seu aplicativo precisa conhecer os pontos de extremidade do serviço de armazenamento para emitir as solicitações REST.
O ponto final REST é uma combinação do nome da sua conta de armazenamento, do tipo de dados e de um domínio conhecido. Por exemplo:
| Tipo de dados | Ponto final de exemplo |
|---|---|
| Blobs | https://[name].blob.core.windows.net/ |
| Filas | https://[name].queue.core.windows.net/ |
| Tabela | https://[name].table.core.windows.net/ |
| Files | https://[name].file.core.windows.net/ |
Se tiver um domínio personalizado associado ao Azure, também pode criar um URL de domínio personalizado para o ponto final.
Cadeias de ligação
A forma mais simples de processar chaves de acesso e URLs de ponto final nas aplicações é através da utilização de cadeias de ligação de conta de armazenamento. Uma cadeia de ligação proporciona todas as informações de conectividade necessárias numa cadeia de texto única.
As cadeias de ligação do Armazenamento do Azure têm um aspeto semelhante ao exemplo seguinte, mas com a chave de acesso e o nome de conta da sua conta de armazenamento específica:
DefaultEndpointsProtocol=https;AccountName={your-storage};
AccountKey={your-access-key};
EndpointSuffix=core.windows.net
Segurança
As chaves de acesso são essenciais para fornecer acesso à sua conta de armazenamento e, como resultado, você não deve fornecê-las a nenhum sistema ou pessoa que não queira ter acesso à sua conta de armazenamento. As chaves de acesso são o equivalente a um nome de utilizador e palavra-passe para aceder ao seu computador.
Normalmente, as informações de conectividade da conta de armazenamento são armazenadas em uma variável de ambiente, banco de dados ou arquivo de configuração.
Importante
Armazenar essas informações em um arquivo de configuração pode ser perigoso se você incluir esse arquivo no controle do código-fonte e armazená-lo em um repositório público. Esse é um erro comum e significa que qualquer pessoa pode navegar pelo código-fonte no repositório público e ver as informações de conexão da conta de armazenamento.
Cada conta de armazenamento tem duas chaves de acesso. Isso é para permitir que as chaves sejam giradas (regeneradas) periodicamente como parte das práticas recomendadas de segurança para manter sua conta de armazenamento segura. Você pode fazer isso no portal do Azure ou na ferramenta de linha de comando CLI/PowerShell do Azure.
Girar uma chave invalida o valor da chave original imediatamente e revoga o acesso a qualquer pessoa que tenha obtido a chave de forma inadequada. Com suporte para duas chaves, pode trocar as chaves sem causar tempo de inatividade nas aplicações que as utilizam. A sua aplicação pode utilizar a chave de acesso alternativa, enquanto a outra chave é gerada novamente. Se tiver múltiplas aplicações a utilizar esta conta de armazenamento, todas elas deverão utilizar a mesma chave para suportar esta técnica. Esta é a ideia básica:
- Atualize as cadeias de conexão no código do aplicativo para fazer referência à chave de acesso secundária da conta de armazenamento.
- Regenere a chave de acesso principal da sua conta de armazenamento usando o portal do Azure ou a ferramenta de linha de comando.
- Atualize as cadeias de ligação no código para fazer referência à nova chave de acesso primária.
- Regenere a chave de acesso secundária da mesma forma.
Gorjeta
É altamente recomendável que você alterne periodicamente suas chaves de acesso para garantir que elas permaneçam privadas, assim como alterar suas senhas. Se você estiver usando a chave em um aplicativo de servidor, poderá usar um Cofre de Chaves do Azure para armazenar a chave de acesso para você. Os Key Vaults incluem suporte para sincronizar diretamente com a Conta de Armazenamento e para a rotação automática das chaves periodicamente. A utilização de um cofre de chaves do Key Vault proporciona uma camada adicional de segurança para que a sua aplicação nunca tenha de trabalhar diretamente com uma chave de acesso.
Assinaturas de acesso partilhado (SAS)
As chaves de acesso são a abordagem mais fácil para autenticar o acesso a uma conta de armazenamento. No entanto, eles fornecem acesso total a qualquer coisa na conta de armazenamento, semelhante a uma senha de root em um computador.
As contas de armazenamento oferecem um mecanismo de autenticação separado chamado assinaturas de acesso partilhado, que suportam permissões limitadas e expiração para cenários em que precisa de conceder acesso limitado. Você deve usar essa abordagem quando estiver permitindo que outros usuários leiam e gravem dados em sua conta de armazenamento. Você encontrará links para nossa documentação sobre este tópico avançado no final do módulo.