Com a recente disponibilidade geral (GA) do User Delegation SAS para Azure Tables, Azure Files e Azure Queues, a Microsoft endereça uma das maiores dores das equipes de AppSec: a gestão granular de permissões em recursos de storage. Diferente dos métodos tradicionais de Service SAS ou Account SAS, que muitas vezes pecavam pela falta de rastreabilidade ou pelo excesso de privilégios, o User Delegation SAS introduz uma camada de identidade robusta.
Na prática, essa funcionalidade permite que o token SAS seja atrelado diretamente às credenciais do delegador (via Microsoft Entra ID). Isso significa que, se um token for comprometido, ele traz consigo o contexto de identidade do usuário que o gerou, facilitando políticas de auditoria e revogação. Para empresas brasileiras em setores regulados (como o financeiro ou de saúde), essa mudança reduz significativamente a nossa dependência estática de chaves de conta (Account Keys), que representam um risco crítico de movimentação lateral em casos de vazamento.
Essa evolução do UDK (User Delegation Key) simplifica o modelo de least privilege em pipelines de CI/CD e aplicações distribuídas. Antes, a gestão de acessos temporários para filas ou arquivos frequentemente forçava os engenheiros a escolher entre a complexidade do RBAC direto ou a fragilidade das chaves estáticas. Agora, o uso de tokens delegados permite um equilíbrio entre a agilidade operacional necessária para o DevOps e a segurança rigorosa exigida pelo compliance atual.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
