Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Les règles de pare-feu stockage Azure fournissent un contrôle granulaire sur l’accès réseau au point de terminaison public de votre compte de stockage. Par défaut, les comptes de stockage autorisent les connexions à partir de n’importe quel réseau, mais vous pouvez restreindre l’accès en configurant des règles réseau qui définissent les sources pouvant se connecter à votre compte de stockage.
Vous pouvez configurer quatre types de règles réseau :
- Règles de réseau virtuel : autoriser le trafic à partir de sous-réseaux spécifiques au sein de réseaux virtuels Azure
- Règles de réseau IP : autoriser le trafic à partir de plages d’adresses IP publiques spécifiques
- Règles d’instance de ressource : autoriser le trafic à partir d’instances de ressources Azure spécifiques qui ne peuvent pas être isolées via un réseau virtuel ou des règles IP
- Exceptions de service approuvé : autoriser le trafic provenant de services Azure spécifiques qui fonctionnent en dehors de votre limite réseau
Lorsque des règles réseau sont configurées, seul le trafic provenant de sources explicitement autorisées peut accéder à votre compte de stockage via son point de terminaison public. Tous les autres trafics sont refusés.
Remarque
Les clients qui effectuent des demandes à partir de sources autorisées doivent également répondre aux exigences d’autorisation du compte de stockage. Pour en savoir plus sur l’autorisation de compte, consultez Autoriser l’accès aux données dans Stockage Azure.
Règles de réseau virtuel
Vous pouvez activer le trafic à partir de sous-réseaux dans n’importe quel réseau virtuel Azure. Le réseau virtuel peut provenir de n’importe quel abonnement au sein de n’importe quel locataire Microsoft Entra dans n’importe quelle région Azure. Pour activer le trafic à partir d’un sous-réseau, ajoutez une règle de réseau virtuel. Vous pouvez ajouter jusqu’à 400 règles de réseau virtuel par compte de stockage.
Dans les paramètres de réseau virtuel du sous-réseau, vous devez également activer un point de terminaison de service de réseau virtuel. Ce point de terminaison est conçu pour fournir une connectivité sécurisée et directe à votre compte de stockage.
Lorsque vous créez des règles réseau à l’aide du portail Azure, ces points de terminaison de service sont créés automatiquement lorsque vous sélectionnez chaque sous-réseau cible. PowerShell et Azure CLI fournissent des commandes que vous pouvez utiliser pour les créer manuellement. Pour en savoir plus sur les points de terminaison de service, consultez points de terminaison de service de réseau virtuel.
Le tableau suivant décrit chaque type de point de terminaison de service que vous pouvez activer pour stockage Azure :
| Point de terminaison de service | Nom de la ressource | Descriptif |
|---|---|---|
| Point de terminaison de Stockage Azure | Microsoft.Storage | Fournit une connectivité aux comptes de stockage dans la même région que le réseau virtuel. |
| Point de terminaison service multirégion Azure Storage | Microsoft.Storage.Global | Fournit une connectivité aux comptes de stockage dans n’importe quelle région. |
Remarque
Vous ne pouvez associer qu’un de ces types de points de terminaison à un sous-réseau. Si l’un de ces points de terminaison est déjà associé au sous-réseau, vous devez supprimer ce point de terminaison avant d’ajouter l’autre.
Pour savoir comment configurer une règle de réseau virtuel et activer des points de terminaison de service, consultez Créer une règle de réseau virtuel pour stockage Azure.
Accès à partir d’une région jumelée
Les points de terminaison de service fonctionnent également entre les réseaux virtuels et les instances de service dans une région jumelée.
Il est possible qu’une configuration des points de terminaison de service entre des réseaux virtuels et des instances de service dans une région jumelée soit une partie importante de votre plan de récupération d’urgence. Les points de terminaison de service permettent la continuité pendant un basculement régional et fournissent l’accès aux instances de stockage géoredondant en lecture seule (RA-GRS). Les règles de réseau virtuel qui accordent l’accès à partir d’un réseau virtuel à un compte de stockage accordent également l’accès à n’importe quelle instance de RA-GRS.
Lors de la planification de la récupération d’urgence lors d’une panne régionale, créez les réseaux virtuels dans la région jumelée à l’avance. Activez les points de terminaison de service pour Azure Storage avec des règles réseau qui accordent l’accès à partir de ces réseaux virtuels alternatifs. Appliquez ensuite ces règles à vos comptes de stockage géoredondants.
Règles de réseau IP
Pour les clients et les services qui ne se trouvent pas dans un réseau virtuel, vous pouvez activer le trafic en créant des règles de réseau IP. Chaque règle de réseau IP active le trafic à partir d’une plage d’adresses IP publique spécifique. Par exemple, si un client à partir d’un réseau local doit accéder aux données de stockage, vous pouvez créer une règle qui inclut l’adresse IP publique de ce client. Chaque compte de stockage prend en charge jusqu’à 400 règles de réseau IP.
Pour savoir comment créer des règles de réseau IP, consultez Créer une règle de réseau IP pour stockage Azure.
Si vous activez un point de terminaison de service pour un sous-réseau, le trafic de ce sous-réseau n’utilise pas d’adresse IP publique pour communiquer avec un compte de stockage. Au lieu de cela, tout le trafic utilise une adresse IP privée comme adresse IP source. Par conséquent, les règles de réseau IP qui autorisent le trafic à partir de ces sous-réseaux n’ont plus d’effet.
Les jetons SAS qui accordent l’accès à une adresse IP spécifique servent à limiter l’accès du détenteur du jeton, mais ils n’accordent pas d’accès au-delà des règles de réseau configurées.
Important
Certaines restrictions s’appliquent aux plages d’adresses IP. Pour obtenir la liste des restrictions, consultez Restrictions relatives aux règles de réseau IP.
Accès à partir d’un réseau local
Vous pouvez activer le trafic à partir d’un réseau local à l’aide d’une règle de réseau IP. Tout d’abord, vous devez identifier les adresses IP accessibles sur Internet que votre réseau utilise. Contactez votre administrateur réseau afin d'obtenir de l'assistance.
Si vous utilisez Azure ExpressRoute localement, vous devez identifier les adresses IP NAT utilisées par le Peering Microsoft. Le fournisseur de services ou le client fournit les adresses IP NAT.
Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu pour les IP de ressources.
Règles d’instance de ressource Azure
Certaines ressources Azure ne peuvent pas être isolées par le biais d’un réseau virtuel ou d’une règle d’adresse IP. Vous pouvez activer le trafic à partir de ces ressources en créant une règle réseau d’instance de ressources. Les attributions de rôles Azure de l’instance de ressource déterminent les types d’opérations que l’instance de ressource peut effectuer sur les données du compte de stockage. Les instances de ressources doivent provenir du même locataire que votre compte de stockage, mais elles peuvent appartenir à n’importe quel abonnement au sein du locataire.
Pour savoir comment configurer une règle d’instance de ressource, consultez Créer une règle de réseau d’instance de ressource pour stockage Azure.
Exceptions pour les services Azure approuvés
Si vous devez activer le trafic à partir d’un service Azure en dehors de la limite réseau, vous pouvez ajouter une exception de sécurité réseau. Cela peut être utile lorsqu’un service Azure fonctionne à partir d’un réseau que vous ne pouvez pas inclure dans votre réseau virtuel ou vos règles de réseau IP. Par exemple, il est possible que certains services aient besoin de lire les journaux des ressources et les métriques dans votre compte. Vous pouvez autoriser l’accès en lecture pour les fichiers journaux, les tables de métriques ou les deux en créant une exception de règle réseau. Ces services se connectent à votre compte de stockage à l’aide d’une authentification forte.
Pour en savoir plus sur l’ajout d’une exception de sécurité réseau, consultez Gérer les exceptions de sécurité réseau.
Pour obtenir la liste complète des services Azure dont vous pouvez activer le trafic, consultez Services Azure approuvés.
Restrictions et considérations
Avant d’implémenter la sécurité réseau pour vos comptes de stockage, veillez à passer en revue toutes les restrictions et considérations. Pour obtenir une liste complète, consultez Restrictions et limitations pour le pare-feu stockage Azure et la configuration du réseau virtuel.