Manage Azure Storage - Lab AZ-104

📋 Visão Geral

Neste lab, você vai criar e configurar storage accounts, proteger blob storage e configurar Azure Files.

Criar e configurar uma Storage Account com redundância GRS e lifecycle management
Configurar Blob Storage seguro com soft delete, SAS tokens e access policies
Configurar Azure Files com file shares e restrições de rede via service endpoints

💡 Conceito-chave: O Azure Storage oferece armazenamento durável, altamente disponível e massivamente escalável. Ele suporta Blobs (objetos), Files (compartilhamentos SMB/NFS), Queues (mensagens) e Tables (NoSQL). A segurança é garantida por criptografia em repouso, SAS tokens, firewalls e service endpoints.

✅ Pré-requisitos

Uma subscrição Azure ativa
Permissões de Contributor ou superior

🏗️ Task 1: Criar e Configurar uma Storage Account

Nesta tarefa, você criará uma Storage Account com redundância geográfica e configurará regras de lifecycle management.

1

No Portal Azure, pesquise Storage accounts e clique em + Create.

2

Configure a Storage Account com as seguintes settings:

Configuração	Valor
Resource group	`az104-rg7`
Storage account name	`storageaz104[random]` (nome único global)
Region	East US
Performance	Standard
Redundancy	Geo-redundant storage (GRS)

3

Clique em Review + create e depois em Create. Aguarde o deploy.

Configurar Acesso de Rede

4

Após o deploy, navegue até a Storage Account. Vá para Networking e altere o Public network access de Disabled para Enabled from all networks.

5

Clique em Save para aplicar as alterações.

Configurar Lifecycle Management

6

Na Storage Account, vá para Data management → Lifecycle management e clique em + Add a rule.

7

Configure a regra de lifecycle:

Configuração	Valor
Rule name	`Movetocool`
Rule scope	Limit blobs with filters
Blob type	Block blobs
Blob subtype	Base blobs
Condition	Last modified more than 30 days ago
Action	Move to cool storage

8

Na aba Filter set, defina o Blob prefix se desejar limitar a regra a um container específico. Clique em Add para salvar a regra.

💡 Nota: As regras de lifecycle management permitem automatizar a transição de blobs entre tiers (Hot → Cool → Cold → Archive) e deletar blobs automaticamente após um período definido, otimizando custos de armazenamento.

🔒 Task 2: Configurar Blob Storage Seguro

Nesta tarefa, você criará um blob container com acesso privado, configurará soft delete e gerará um SAS token para acesso seguro.

Criar Blob Container

1

Na Storage Account, vá para Data storage → Containers e clique em + Container.

2

Crie o container com as seguintes configurações:

Configuração	Valor
Name	`data`
Public access level	Private (no anonymous access)

Upload de Arquivo

3

Abra o container data e clique em Upload. Selecione um arquivo local e faça o upload.

4

Clique no blob enviado e copie a URL. Tente acessar via browser — o acesso será negado pois o container é privado.

Configurar Soft Delete

5

Na Storage Account, vá para Data protection.

6

Marque Enable soft delete for blobs e configure a retenção para 180 dias. Clique em Save.

Gerar SAS Token

7

Volte ao container data, clique no blob, e selecione Generate SAS. Configure o SAS token:

Configuração	Valor
Signing key	Key 1
Permissions	Read
Start date	Data de ontem
Expiry date	Data de amanhã

8

Clique em Generate SAS token and URL e copie a Blob SAS URL.

9

Acesse a URL gerada no browser para confirmar o acesso ao blob:

# Padrão de URL com SAS Token
https://<storage-account>.blob.core.windows.net/data/<blob-name>?sp=r&st=...&se=...&sv=...&sr=b&sig=...

# sp=r → permissão de Read
# st=  → start time
# se=  → expiry time
# sr=b → resource type (blob)
# sig= → assinatura criptográfica

✅ Resultado esperado: A URL com SAS token permite acesso ao blob mesmo com o container configurado como privado. Sem o token, o acesso é negado (403 Forbidden).

💡 Nota: Para cenários de produção, considere utilizar Stored Access Policies para gerenciar SAS tokens de forma centralizada e Immutable Storage (WORM - Write Once, Read Many) para compliance e proteção contra alterações/exclusões de dados.

📁 Task 3: Configurar Azure Files e Rede

Nesta tarefa, você criará um File Share e configurará restrições de rede usando service endpoints.

Criar File Share

1

Na Storage Account, vá para Data storage → File shares e clique em + File share.

2

Configure o file share:

Configuração	Valor
Name	`share1`
Tier	Transaction optimized

3

Clique em Create e depois abra o file share share1. Clique em Upload e envie um arquivo de teste.

Configurar Restrições de Rede

4

Na Storage Account, vá para Networking → Firewalls and virtual networks.

5

Altere o Public network access para Enabled from selected virtual networks and IP addresses.

6

Na seção Virtual networks, clique em + Add existing virtual network. Selecione a VNet e o subnet desejados. O service endpoint para Microsoft.Storage será habilitado automaticamente no subnet.

7

Clique em Add e depois em Save.

Testar Acesso Restrito

8

Tente acessar o file share pelo Portal — se sua máquina local não estiver na VNet permitida, o acesso ao conteúdo será negado.

9

Para acessar de fora, adicione seu IP à lista de exceções em Firewall ou use uma VM dentro da VNet configurada.

✅ Resultado esperado: O acesso à Storage Account é restrito apenas a redes virtuais e IPs autorizados. Requisições de outras origens recebem erro 403.

💡 Nota: O Azure File Sync permite sincronizar file shares com servidores Windows on-premises, criando um cache local de alta performance. O Azure Files suporta os protocolos SMB (Server Message Block) e NFS (Network File System), oferecendo compatibilidade com Windows e Linux respectivamente.

🧹 Limpeza

Remova os recursos criados para evitar custos desnecessários:

1

Delete o resource group az104-rg7 e todos os recursos associados.

az group delete --name az104-rg7 --yes --no-wait

⚠️ Importante: Sempre remova os recursos após completar o lab para evitar cobranças inesperadas na sua subscrição Azure.

🎉 Parabéns! Você criou e configurou com sucesso uma Storage Account com lifecycle management, protegeu blob storage com soft delete e SAS tokens, e configurou Azure Files com restrições de rede via service endpoints.

Lab 07: Gerenciar Azure Storage