Partilhar via


Escolher como autorizar o acesso a dados de ficheiros no portal do Azure

Quando você acessa dados de arquivo usando o portal do Azure, o portal faz solicitações aos Arquivos do Azure nos bastidores. Estes pedidos podem ser autorizados com a conta do Microsoft Entra ou com a chave de acesso da conta de armazenamento. O portal indica qual o método que está a utilizar e permite-lhe alternar entre os dois quando tem as permissões corretas.

Importante

Acessar um compartilhamento de arquivos usando chaves de conta de armazenamento acarreta riscos de segurança inerentes, portanto, autentique-se com o Microsoft Entra quando possível. Para obter informações sobre como proteger e gerenciar suas chaves, consulte Gerenciar chaves de acesso da conta de armazenamento.

Você também pode especificar como autorizar uma operação de compartilhamento de arquivos individual no portal do Azure. Por padrão, o portal usa qualquer método que você já esteja usando para autorizar todos os compartilhamentos de arquivos, mas você tem a opção de alterar essa configuração para compartilhamentos de arquivos individuais.

Permissões necessárias para acessar dados de arquivo

Dependendo de como você deseja autorizar o acesso aos dados de arquivo no portal do Azure, você precisará de permissões específicas. Na maioria dos casos, essas permissões são fornecidas por meio do controle de acesso baseado em função do Azure (Azure RBAC).

Utilize a sua conta Microsoft Entra

Para aceder a dados de ficheiros do portal do Azure com a sua conta do Microsoft Entra, deve cumprir as instruções seguintes:

  • Você recebe uma função interna ou personalizada que fornece acesso aos dados do arquivo.
  • Foi-lhe atribuída a função Leitor do Azure Resource Manager, no mínimo, ao nível da conta de armazenamento ou superior. A função Leitor concede as permissões mais restritas, mas outra função do Azure Resource Manager que concede acesso aos recursos de gestão da conta de armazenamento também é aceitável.

A função Leitor do Azure Resource Manager permite que os usuários exibam recursos da conta de armazenamento, mas não os modifiquem. Ele não fornece permissões de leitura para dados no Armazenamento do Azure, mas apenas para recursos de gerenciamento de contas. A função Leitor é necessária para que os usuários possam navegar até compartilhamentos de arquivos no portal do Azure.

Há duas novas funções internas que têm as permissões necessárias para acessar dados de arquivo com OAuth:

Para obter informações sobre as funções internas que dão suporte ao acesso a dados de arquivo, consulte Acessar compartilhamentos de arquivos do Azure usando a ID do Microsoft Entra com o Azure Files OAuth sobre REST.

Nota

A função de Colaborador Privilegiado de Dados do Arquivo de Armazenamento tem permissões para ler, gravar, excluir e modificar permissões ACLs/NTFS em arquivos/diretórios em compartilhamentos de arquivos do Azure. Não há suporte para modificar permissões de ACLs/NTFS por meio do portal do Azure.

As funções personalizadas podem oferecer suporte a diferentes combinações das mesmas permissões fornecidas pelas funções internas. Para obter mais informações sobre como criar funções personalizadas do Azure, consulte Funções personalizadas do Azure e Compreender definições de função para recursos do Azure.

Usar a chave de acesso da conta de armazenamento

Para aceder a dados de ficheiros com a chave de acesso da conta de armazenamento, tem de ter uma função do Azure atribuída a si que inclua a ação do RBAC do Azure Microsoft.Storage/storageAccounts/listkeys/action. Esta função do Azure pode ser uma função incorporada ou personalizada. As funções incorporadas que suportam Microsoft.Storage/storageAccounts/listkeys/action incluem as seguintes, listadas em ordem de permissões menores para maiores:

Quando tenta aceder a dados de ficheiros no portal do Azure, o portal verifica primeiro se lhe foi atribuída uma função com Microsoft.Storage/storageAccounts/listkeys/action. Se você recebeu uma função com essa ação, o portal usa a chave da conta de armazenamento para acessar dados de arquivo. Se você não tiver recebido uma função com essa ação, o portal tentará acessar os dados usando sua conta do Microsoft Entra.

Importante

Quando uma conta de armazenamento é bloqueada com um bloqueio Somente Leitura do Azure Resource Manager, a operação Listar Chaves não é permitida para essa conta de armazenamento. List Keys é uma operação POST e todas as operações POST são impedidas quando um bloqueio ReadOnly é configurado para a conta. Por esse motivo, quando a conta é bloqueada com um bloqueio ReadOnly , os usuários devem usar as credenciais do Microsoft Entra para acessar dados de arquivo no portal. Para obter informações sobre como acessar dados de arquivo no portal do Azure com o Microsoft Entra ID, consulte Usar sua conta do Microsoft Entra.

Nota

As funções clássicas de administrador de subscrição Administrador de Serviços e Coadministrador incluem o equivalente à função de Proprietário do Azure Resource Manager. A função Proprietário inclui todas as ações, incluindo Microsoft.Storage /storageAccounts/listkeys/action, para que um usuário com uma dessas funções administrativas também possa acessar dados de arquivo com a chave da conta de armazenamento. Para obter mais informações, consulte Funções do Azure, Funções do Microsoft Entra e funções clássicas de administrador de assinatura.

Especificar como autorizar operações em um compartilhamento de arquivos específico

Você pode alterar o método de autenticação para compartilhamentos de arquivos individuais. Por padrão, o portal usa o método de autenticação atual. Para determinar o método de autenticação atual, siga estas etapas.

  1. Navegue para a sua conta de armazenamento no portal do Azure.
  2. No menu de serviço, em Armazenamento de dados, selecione Compartilhamentos de arquivos.
  3. Selecione um compartilhamento de arquivos.
  4. Selecione Procurar.
  5. O método de Autenticação indica se você está usando a chave de acesso da conta de armazenamento ou sua conta do Microsoft Entra para autenticar e autorizar operações de compartilhamento de arquivos. Se você estiver autenticando usando a chave de acesso da conta de armazenamento, verá a Chave de Acesso especificada como o método de autenticação, como na imagem a seguir. Se você estiver autenticando usando sua conta do Microsoft Entra, verá a conta de usuário do Microsoft Entra especificada.

Captura de ecrã a mostrar o método de autenticação definido como chave de acesso.

Autenticar com a sua conta Microsoft Entra

Para mudar para usar sua conta do Microsoft Entra, selecione o link destacado na imagem que diz Mudar para a conta de usuário do Microsoft Entra. Se você tiver as permissões apropriadas por meio das funções do Azure atribuídas a você, poderá continuar. No entanto, se você não tiver as permissões necessárias, verá uma mensagem de erro informando que não tem permissões para listar os dados usando sua conta de usuário com o Microsoft Entra ID.

Duas permissões RBAC adicionais são necessárias para usar sua conta do Microsoft Entra:

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Nenhum compartilhamento de arquivos aparecerá na lista se sua conta do Microsoft Entra não tiver permissões para exibi-los.

Autenticar com a chave de acesso da conta de armazenamento

Para mudar para usar a chave de acesso da conta, selecione o link que diz Mudar para a chave de acesso. Se você tiver acesso à chave da conta de armazenamento, poderá continuar. No entanto, se você não tiver acesso à chave da conta, verá uma mensagem de erro informando que não tem permissões para usar a chave de acesso para listar dados.

Nenhum compartilhamento de arquivos aparecerá na lista se você não tiver acesso à chave de acesso da conta de armazenamento.

Padrão para autorização do Microsoft Entra no portal do Azure

Ao criar uma nova conta de armazenamento, você pode especificar que o portal do Azure assumirá como padrão a autorização com a ID do Microsoft Entra quando um usuário navegar para dados de arquivo. Você também pode definir essa configuração para uma conta de armazenamento existente. Essa configuração especifica apenas o método de autorização padrão. Lembre-se de que um usuário pode substituir essa configuração e optar por autorizar o acesso aos dados com a chave da conta de armazenamento.

Para especificar que o portal usará a autorização do Microsoft Entra por padrão para acesso a dados quando você cria uma conta de armazenamento, siga estas etapas:

  1. Crie uma nova conta de armazenamento, seguindo as instruções em Criar uma conta de armazenamento.

  2. Na guia Avançado, na seção Segurança, marque a caixa ao lado de Padrão para autorização do Microsoft Entra no portal do Azure.

    Captura de tela mostrando como configurar a autorização padrão do Microsoft Entra no portal do Azure para nova conta.

  3. Selecione Rever + criar para executar a validação e criar a conta de armazenamento.

Para atualizar essa configuração para uma conta de armazenamento existente, siga estas etapas:

  1. Navegue até a visão geral da conta de armazenamento no portal do Azure.
  2. Em Definições, selecione Configuração.
  3. Defina Padrão para autorização do Microsoft Entra no portal do Azure como Habilitado.

Consulte também