autorizar solicitações para o Azure Armazenamento

Todas as solicitações feitas em um recurso protegido no BLOB, arquivo, fila ou serviço de tabela devem ser autorizadas. A autorização garante que os recursos em sua conta de armazenamento sejam acessíveis somente quando você quiser que eles sejam, e somente aos usuários ou aplicativos aos quais você concede acesso.

A tabela a seguir descreve as opções oferecidas pelo Armazenamento do Azure para autorizar o acesso a recursos:

Artefato do Azure Chave compartilhada (chave da conta de armazenamento) Assinatura de acesso compartilhado (SAS) Active Directory do Azure (Azure AD) Active Directory Domain Services local Sobre o acesso de leitura público anônimo
Blobs do Azure Com suporte Com suporte Com suporte Sem suporte Com suporte
Arquivos do Azure (SMB) Com suporte Sem suporte Com suporte, somente com Azure AD DS Com suporte, as credenciais devem ser sincronizadas com o Azure AD Sem suporte
Arquivos do Azure (REST) Com suporte Com suporte Sem suporte Sem suporte Sem suporte
Filas do Azure Com suporte Com suporte Com suporte Sem suporte Sem suporte
Tabelas do Azure Com suporte Com suporte Com suporte Sem suporte Sem suporte

Cada opção de autorização é descrita brevemente abaixo:

  • Azure Active Directory (AD do azure): o azure ad é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. A integração do Azure AD está disponível para os serviços BLOB, fila e tabela. Com o Azure AD, você pode atribuir acesso refinado a usuários, grupos ou aplicativos por meio de RBAC (controle de acesso baseado em função). para obter informações sobre a integração do azure AD com o azure Armazenamento, consulte autorizar com Azure Active Directory.

  • autorização dos serviços de domínio do Azure Active Directory (AD DS do azure) para arquivos do azure. O Arquivos do Azure oferece suporte à autorização baseada em identidade com o protocolo SMB por meio do Azure AD DS. Você pode usar o RBAC para um controle refinado sobre o acesso de um cliente aos recursos de arquivos do Azure em uma conta de armazenamento. Para obter mais informações sobre a autenticação de arquivos do Azure usando os serviços de domínio, consulte autorização baseada em identidade de arquivos do Azure.

  • Autorização do Active Directory (AD) para arquivos do Azure. Os arquivos do Azure oferecem suporte à autorização baseada em identidade sobre SMB por meio do AD. O serviço de domínio do AD pode ser hospedado em computadores locais ou em VMs do Azure. O acesso de SMB a arquivos tem suporte usando as credenciais do AD de computadores ingressados no domínio, no local ou no Azure. Você pode usar o RBAC para controle de acesso de nível de compartilhamento e DACLs NTFS para imposição de permissão de nível de diretório e arquivo. Para obter mais informações sobre a autenticação de arquivos do Azure usando os serviços de domínio, consulte autorização baseada em identidade de arquivos do Azure.

  • Chave compartilhada: A autorização de chave compartilhada depende de suas chaves de acesso de conta e outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada que é passada na solicitação no cabeçalho de autorização . Para obter mais informações sobre a autorização de chave compartilhada, consulte autorizar com a chave compartilhada.

  • Assinaturas de acesso compartilhado: As assinaturas de acesso compartilhado (SAS) delegam o acesso a um recurso específico em sua conta com permissões especificadas e em um intervalo de tempo especificado. Para obter mais informações sobre SAS, consulte delegar acesso com uma assinatura de acesso compartilhado.

  • Acesso anônimo a contêineres e blobs: Opcionalmente, você pode tornar os recursos de blob públicos no nível de contêiner ou BLOB. Um contêiner público ou blob pode ser acessado por qualquer usuário para acesso de leitura anônimo. Solicitações de leitura para contêineres públicos e BLOBs não exigem autorização. Para obter mais informações, consulte habilitar o acesso de leitura público para contêineres e blobs no armazenamento de BLOBs do Azure.

Dica

Autenticar e autorizar o acesso a dados de BLOB, fila e tabela com o Azure AD fornece segurança superior e facilidade de uso sobre outras opções de autorização. Por exemplo, usando o Azure AD, você evita ter que armazenar a chave de acesso da conta com seu código, como você faz com a autorização de chave compartilhada. Embora você possa continuar a usar a autorização de chave compartilhada com seus aplicativos de BLOB e fila, a Microsoft recomenda migrar para o Azure AD sempre que possível.

Da mesma forma, você pode continuar a usar assinaturas de acesso compartilhado (SAS) para conceder acesso refinado para recursos em sua conta de armazenamento, mas o AD do Azure oferece recursos semelhantes sem a necessidade de gerenciar tokens SAS ou se preocupar sobre revogar uma SAS comprometida.

para obter mais informações sobre a integração do azure AD no azure Armazenamento, consulte autorizar o acesso a blobs e filas do azure usando Azure Active Directory.