Autorizar o acesso aos dados em Azure Armazenamento

Sempre que acede aos dados na sua conta de armazenamento, o seu cliente faz um pedido em HTTP/HTTPS ao Azure Armazenamento. Cada pedido a um recurso seguro tem de ser autorizado, para que o serviço garanta que o cliente tem as permissões necessárias para aceder aos dados.

A tabela que se segue descreve as opções que a Azure Armazenamento oferece para autorizar o acesso aos recursos:

Artefacto azul Chave partilhada (chave da conta de armazenamento) Assinatura de acesso partilhado (SAS) Azure Active Directory (Azure AD) Serviços de Domínio de Diretório Ativo no local Público anónimo lê acesso
Blobs do Azure Suportado Suportado Suportado Não suportado Suportado
Ficheiros Azure (SMB) Suportado Não suportado Suportado, apenas com serviços de domínio AAD Suportadas, as credenciais devem ser sincronizadas com a Azure AD Não suportado
Ficheiros Azure (REST) Suportado Suportado Não suportado Não suportado Não suportado
Filas do Azure Suportado Suportado Suportado Não suportado Não suportado
Tabelas do Azure Suportado Suportado Suportado (pré-visualização) Não suportado Não suportado

Cada opção de autorização é brevemente descrita abaixo:

  • Azure Ative Directory integração (Azure AD) para bolhas, filas e mesas. A Azure fornece ao Azure um controlo de acesso baseado em funções (Azure RBAC) para controlo sobre o acesso de um cliente aos recursos numa conta de armazenamento. A Microsoft recomenda a utilização do Azure AD sempre que possível para uma melhor segurança e facilidade de utilização. Para obter mais informações sobre a integração da AD Azure, consulte Autorizar o acesso aos dados em Azure Armazenamento.

  • Azure Ative Directory autenticação de Serviços de Domínio (Azure AD DS) para Ficheiros Azure. O Azure Files suporta a autorização baseada na identidade sobre o Bloco de Mensagens do Servidor (SMB) através do Azure AD DS. Você pode usar O RBAC Azure para controlo fino sobre o acesso de um cliente aos recursos do Azure Files numa conta de armazenamento. Para obter mais informações sobre a autenticação dos Ficheiros Azure utilizando os serviços de domínio, consulte a visão geral.

  • No local, os Serviços de Domínio do Diretório Ativo (DS AD ou AD DS) no local para a autenticação de Ficheiros Azure. A Azure Files suporta a autorização baseada na identidade sobre o SMB através de DS AD. O seu ambiente AD DS pode ser hospedado em máquinas no local ou em VMs Azure. O acesso SMB a Ficheiros é suportado utilizando credenciais AD DS de máquinas de domínio, quer no local, quer no Azure. Você pode usar uma combinação de Azure RBAC para controlo de acesso ao nível de ações e NTFS DACLs para aplicação de permissão de nível de diretório/arquivo. Para obter mais informações sobre a autenticação dos Ficheiros Azure utilizando os serviços de domínio, consulte a visão geral.

  • Autorização de chave partilhada para bolhas, ficheiros, filas e mesas. Um cliente que usa a Chave Partilhada passa um cabeçalho com cada pedido assinado usando a chave de acesso à conta de armazenamento. Para mais informações, consulte Autorizar com chave partilhada.

  • Assinaturas de acesso partilhadas para bolhas, ficheiros, filas e mesas. As assinaturas de acesso partilhado (SAS) proporcionam acesso limitado e delegado aos recursos numa conta de armazenamento. A adição de restrições no intervalo de tempo para o qual a assinatura é válida ou nas permissões que concede proporciona flexibilidade na gestão do acesso. Para obter mais informações, consulte Usando assinaturas de acesso partilhado (SAS).

  • O público anónimo leu acesso a contentores e bolhas. A autorização não é necessária. Para obter mais informações, veja Manage anonymous read access to containers and blobs (Gerir o acesso de leitura anónima a contentores e blobs).

Passos seguintes