Laboratório Técnico: Manage data by using Azure Storage Explorer and AzCopy
Questões
Questão 1 — Múltipla Escolha
Você precisa transferir 10 TB de dados de um contêiner Blob para outro contêiner em uma conta de armazenamento diferente, na mesma região. A operação deve ser automatizada, executada em segundo plano e concluída com o maior desempenho possível.
Qual abordagem atende melhor a esses requisitos?
A) Usar o Azure Storage Explorer com a operação de copiar e colar entre contêineres, pois ele gerencia transferências grandes automaticamente.
B) Usar azcopy copy com a flag --recursive, pois o AzCopy realiza transferências server-side sem rotear os dados pela máquina local.
C) Usar azcopy sync com a flag --delete-destination, pois essa opção é mais eficiente para volumes grandes do que o comando copy.
D) Usar o Azure Storage Explorer com a opção de upload em lote, pois ele utiliza múltiplas threads para maximizar a largura de banda.
Questão 2 — Cenário Técnico
Um administrador executa o seguinte comando:
azcopy copy 'https://origem.blob.core.windows.net/container1/relatorios' \
'https://destino.blob.core.windows.net/container2/relatorios' \
--recursive
O comando falha com erro de autorização. O administrador confirmou que as permissões de RBAC estão corretas em ambas as contas. Qual é a causa mais provável da falha?
A) O AzCopy não suporta cópia direta entre duas contas de armazenamento; o dado precisa passar pela máquina local.
B) A flag --recursive não é compatível com transferências entre contas distintas.
C) O AzCopy não está autenticado para acessar as contas; é necessário executar azcopy login ou fornecer tokens SAS nas URLs.
D) O contêiner de destino não existe e deve ser criado manualmente antes de executar o comando.
Questão 3 — Verdadeiro ou Falso
O comando azcopy sync replica o estado do diretório de origem para o destino verificando apenas os arquivos com data de modificação mais recente, e nunca remove arquivos no destino que não existam mais na origem, independentemente das flags utilizadas.
Questão 4 — Cenário Técnico
Uma equipe usa o Azure Storage Explorer conectado a uma assinatura via conta Microsoft Entra ID. Um analista reporta que consegue visualizar os contêineres, mas ao tentar fazer upload de um arquivo recebe o erro "This request is not authorized to perform this operation".
O administrador verifica que o analista tem o papel Storage Blob Data Reader atribuído na conta de armazenamento.
Qual é a correção adequada?
A) Reatribuir o papel Storage Blob Data Reader no nível do contêiner em vez da conta.
B) Atribuir o papel Storage Blob Data Contributor ou superior, pois o papel atual concede apenas leitura.
C) Gerar uma SAS key de nível de conta e configurá-la no Storage Explorer, pois o Entra ID não suporta upload via Storage Explorer.
D) Atribuir o papel Owner na assinatura, pois operações de escrita em Blob exigem permissões no nível da assinatura.
Questão 5 — Múltipla Escolha
Ao usar o Azure Storage Explorer, um administrador deseja se conectar a uma conta de armazenamento em um ambiente isolado onde o login com Microsoft Entra ID não está disponível. Qual método de conexão é mais adequado?
A) Conexão via chave de acesso da conta (account key), informando o nome da conta e a chave no assistente de conexão.
B) Conexão via OAuth 2.0 implícito, configurado manualmente nas opções avançadas do Storage Explorer.
C) Conexão via certificado X.509 associado ao tenant do Microsoft Entra ID da conta.
D) Conexão via endpoint público apenas com o nome da conta, sem necessidade de credenciais adicionais.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O azcopy copy com --recursive realiza transferências server-side entre contas de armazenamento do Azure, ou seja, os dados não passam pela máquina local. Isso é determinante para performance em grandes volumes como 10 TB.
O Storage Explorer (alternativas A e D) roteia os dados pela máquina do operador, tornando-o inadequado para automação em larga escala. A alternativa C confunde os comandos: azcopy sync serve para sincronização incremental, não para transferências iniciais de alto desempenho, e a flag --delete-destination remove arquivos no destino que não existem na origem, o que pode ser destrutivo sem intenção clara.
Gabarito — Questão 2
Resposta: C
O AzCopy exige autenticação explícita. Sem azcopy login (que usa o fluxo do Microsoft Entra ID) ou tokens SAS embutidos nas URLs, qualquer operação retorna erro de autorização, mesmo que as permissões de RBAC estejam configuradas corretamente no portal.
A alternativa A é falsa: o AzCopy suporta cópia direta entre contas via server-side copy. A alternativa B é falsa: --recursive é totalmente compatível com transferências entre contas. A alternativa D pode até ser verdadeira em alguns cenários, mas não é a causa do erro de autorização, que antecede qualquer verificação de destino.
Gabarito — Questão 3
Falso
O azcopy sync pode sim remover arquivos no destino quando a flag --delete-destination=true é utilizada. Sem essa flag, o comportamento padrão é não excluir arquivos extras no destino. A afirmação é falsa porque usa o termo "nunca remove... independentemente das flags", o que contradiz o comportamento real do comando. Esse é um ponto crítico de segurança: executar sync com --delete-destination=true em produção sem revisão pode causar perda de dados não intencional.
Gabarito — Questão 4
Resposta: B
O papel Storage Blob Data Reader concede apenas permissões de leitura (GET, LIST). Operações de escrita exigem no mínimo o papel Storage Blob Data Contributor, que inclui PUT, DELETE e CREATE.
A alternativa A não resolve o problema: o papel continua sendo somente leitura, independentemente do escopo. A alternativa C é incorreta: o Microsoft Entra ID é totalmente suportado para upload no Storage Explorer. A alternativa D representa uma prática de excesso de privilégio (over-provisioning) e não é a abordagem correta em um modelo de menor privilégio.
Gabarito — Questão 5
Resposta: A
A chave de acesso da conta é o método de autenticação no Storage Explorer que não depende do Microsoft Entra ID. Ela fornece acesso completo à conta e está disponível mesmo em ambientes isolados ou sem conectividade com o tenant.
A alternativa B é inválida: o Storage Explorer não expõe configuração manual de OAuth implícito. A alternativa C é incorreta: certificados X.509 não são um método de conexão disponível no Storage Explorer para contas de armazenamento. A alternativa D é falsa: o Storage Explorer exige sempre alguma forma de credencial; não existe acesso autenticado apenas pelo nome da conta sem credenciais adicionais.