A Microsoft anunciou recentemente a disponibilidade geral (GA) do acesso por prefixo (prefix-scoped access) para User Delegation SAS no Azure Blob Storage em todas as regiões. Esta atualização não é apenas uma conveniência; ela representa uma mudança significativa na forma como engenheiros de nuvem e arquitetos podem desenhar modelos de permissão mais granulares em cenários de compartilhamento de dados.
Historicamente, o uso de SAS (Shared Access Signatures) para conceder acesso temporário a dados trazia um desafio operacional: a escolha entre autorizar o acesso a um container inteiro ou a um blob individual. Essa limitação forçava times de operações a escolherem entre o risco de excesso de privilégios ou o pesadelo administrativo de gerenciar tokens em larga escala. Com o suporte a prefixes, essa zona cinzenta é reduzida, permitindo que permissões sejam restritas a diretórios virtuais específicos dentro de um container.
Impacto Operacional e Estratégico
Para empresas que operam ambientes multi-tenant ou que estruturam seus data lakes por projetos, departamentos ou workspaces, essa funcionalidade é altamente recomendada. Imagine, por exemplo, um container centralizado de vendas da 'Contoso'. Antes, para isolar o acesso a relatórios de um time específico, ou você criava containers separados — aumentando a complexidade da infraestrutura — ou criava dezenas de tokens por arquivo individual. Agora, um único token prefix-scoped cobre hierarquias de pastas como contoso/sales/, garantindo que apenas os blobs sob esse caminho estejam acessíveis.
Do ponto de vista de SecOps, isso facilita a implementação do princípio de privilégio mínimo sem o overhead de gerenciar uma profusão de tokens individuais. Vale lembrar, contudo, que embora o SAS seja uma ferramenta poderosa, a recomendação da Nuvem Online permanece alinhada às melhores práticas da Microsoft: utilize Microsoft Entra ID com RBAC (Role-Based Access Control) ou ABAC (Attribute-Based Access Control) sempre que possível para uma gestão de identidade centralizada e robusta.
Pontos de Atenção Técnica
Para times de engenharia que pretendem adotar essa funcionalidade, há detalhes técnicos cruciais para a implementação correta no deployment:
- Compatibilidade: É necessário utilizar a versão de autorização 2020-02-10 ou posterior. Se você utiliza o .NET Blob SDK, certifique-se de estar na versão 12.35.0-beta.1 ou superior.
- Parâmetro
sdd: A criação de um SAS prefixado exige a definição do parâmetrosignedDirectoryDepth(sdd). Este valor indica quantos níveis de diretório, a partir da raiz do container, compõem o escopo do seu acesso. Um cálculo incorreto pode resultar em falhas de autorização de leitura (403 Forbidden). - Performance e Custo: Não há cobrança adicional pela utilização de prefix-scoped access. O modelo de precificação segue as diretrizes padrão de transações de Storage Account. Como o controle é feito em nível de API, o impacto na latency ou throughput é desprezível, tornando a migração do modelo antigo para este bastante segura.
Em um cenário de DevOps moderno, automatizar a geração desses tokens via pipeline (ou via code) para aplicações que consomem o storage permitirá um controle muito mais fino do fluxo de data da empresa.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
