Autorizar pedidos para o Armazenamento do Azure
Todos os pedidos feitos relativamente a um recurso seguro no serviço Blob, Ficheiro, Fila ou Tabela têm de ser autorizados. A autorização garante que os recursos na sua conta de armazenamento só estão acessíveis quando pretende que sejam e apenas para os utilizadores ou aplicações a quem concede acesso.
A tabela seguinte descreve as opções que o Armazenamento do Azure oferece para autorizar o acesso aos recursos:
| Artefacto do Azure | Chave Partilhada (chave da conta de armazenamento) | Assinatura de acesso partilhado (SAS) | Microsoft Entra ID | Active Directory Domain Services no local | Acesso de leitura público anónimo |
|---|---|---|---|---|---|
| Blobs do Azure | Suportado | Suportado | Suportado | Não suportado | Suportado |
| Ficheiros do Azure (SMB) | Suportado | Não suportado | Suportado com Microsoft Entra Domain Services ou Microsoft Entra Kerberos | Suportadas, as credenciais têm de ser sincronizadas com Microsoft Entra ID | Não suportado |
| Ficheiros do Azure (REST) | Suportado | Suportado | Suportado | Não suportado | Não suportado |
| Filas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
| Tabelas do Azure | Suportado | Suportado | Suportado | Não suportado | Não suportado |
Cada opção de autorização é descrita brevemente abaixo:
Microsoft Entra ID:Microsoft Entra é o serviço de gestão de identidades e acessos baseado na cloud da Microsoft. Microsoft Entra ID integração está disponível para os serviços Blob, Ficheiro, Fila e Tabela. Com Microsoft Entra ID, pode atribuir acesso detalhado a utilizadores, grupos ou aplicações através do controlo de acesso baseado em funções (RBAC). Para obter informações sobre Microsoft Entra ID integração com o Armazenamento do Azure, veja Autorizar com Microsoft Entra ID.
Microsoft Entra Domain Services autorização para Ficheiros do Azure. Ficheiros do Azure suporta a autorização baseada em identidade através do Server Message Block (SMB) através de Microsoft Entra Domain Services. Pode utilizar o RBAC para controlar detalhadamente o acesso de um cliente a recursos Ficheiros do Azure numa conta de armazenamento. Para obter mais informações sobre Ficheiros do Azure autenticação através de serviços de domínio, veja Ficheiros do Azure autorização baseada em identidade.
Autorização do Active Directory (AD) para Ficheiros do Azure. Ficheiros do Azure suporta autorização baseada em identidade através do SMB através do AD. O seu serviço de domínio do AD pode ser alojado em máquinas no local ou em VMs do Azure. O acesso SMB a Ficheiros é suportado com credenciais do AD de máquinas associadas a um domínio, no local ou no Azure. Pode utilizar o RBAC para controlo de acesso ao nível da partilha e DACLs NTFS para a imposição de permissões ao nível do diretório e do ficheiro. Para obter mais informações sobre Ficheiros do Azure autenticação através de serviços de domínio, veja Ficheiros do Azure autorização baseada em identidade.
Chave Partilhada: A autorização de Chave Partilhada depende das chaves de acesso da conta e de outros parâmetros para produzir uma cadeia de assinatura encriptada que é transmitida no pedido no cabeçalho Autorização . Para obter mais informações sobre a autorização da Chave Partilhada, veja Autorizar com Chave Partilhada.
Assinaturas de acesso partilhado: As assinaturas de acesso partilhado (SAS) delegam o acesso a um recurso específico na sua conta com permissões especificadas e num intervalo de tempo especificado. Para obter mais informações sobre SAS, veja Delegar acesso com uma assinatura de acesso partilhado.
Acesso anónimo a contentores e blobs: Opcionalmente, pode tornar os recursos de blobs públicos ao nível do contentor ou do blob. Um contentor ou blob público está acessível a qualquer utilizador para acesso de leitura anónimo. Os pedidos de leitura para contentores públicos e blobs não necessitam de autorização. Para obter mais informações, veja Ativar o acesso de leitura público para contentores e blobs no armazenamento de Blobs do Azure.
Dica
A autenticação e autorização do acesso a dados de blobs, ficheiros, filas e tabelas com Microsoft Entra ID proporciona segurança e facilidade de utilização superiores em outras opções de autorização. Por exemplo, ao utilizar Microsoft Entra ID, evita ter de armazenar a chave de acesso da conta com o seu código, como faz com a autorização de Chave Partilhada. Embora possa continuar a utilizar a autorização de Chave Partilhada com as suas aplicações de blobs e filas, a Microsoft recomenda mudar para Microsoft Entra ID sempre que possível.
Da mesma forma, pode continuar a utilizar assinaturas de acesso partilhado (SAS) para conceder acesso detalhado aos recursos na sua conta de armazenamento, mas Microsoft Entra ID oferece capacidades semelhantes sem a necessidade de gerir tokens de SAS ou de se preocupar com a revogação de uma SAS comprometida.
Para obter mais informações sobre Microsoft Entra ID integração no Armazenamento do Azure, veja Autorizar o acesso a blobs e filas do Azure com Microsoft Entra ID.