Définir la règle d’accès au réseau public par défaut pour un compte de stockage Azure

Par défaut, les comptes de stockage acceptent les connexions des clients sur n’importe quel réseau. Vous pouvez limiter l’accès aux réseaux sélectionnés ou empêcher le trafic de tous les réseaux et autoriser l’accès uniquement via un point de terminaison privé.

Définir la règle d’accès au réseau public par défaut

portail

1. Accédez au compte de stockage que vous voulez sécuriser.

2. Dans le menu du service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau.

3. Sélectionnez Gérer, puis choisissez l’accès réseau activé via le point de terminaison public du compte de stockage :

   • Pour autoriser le trafic à partir de tous les réseaux, sélectionnez Activer, puis Activez à partir de tous les réseaux.

   • Pour autoriser le trafic uniquement à partir de réseaux virtuels spécifiques, de plages d’adresses IP ou de ressources Azure spécifiques, sélectionnez Activer, puis Activez parmi les réseaux sélectionnés. Vous êtes invité à ajouter des réseaux virtuels, des plages d’adresses IP ou des instances de ressources.

   • Pour bloquer le trafic de tous les réseaux, sélectionnez Désactiver.

   • Pour sécuriser le trafic à l’aide d’un périmètre de sécurité réseau, sélectionnez Sécurisé par périmètre.

4. Sélectionnez Enregistrer pour appliquer vos modifications.

PowerShell

1. Installez Azure PowerShell et connectez-vous.

2. Choisissez le type d’accès réseau public que vous souhaitez autoriser :

   • Pour autoriser le trafic provenant de tous les réseaux, utilisez la commande Update-AzStorageAccountNetworkRuleSet et définissez le paramètre -DefaultAction sur Allow :

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Allow
     

   • Pour autoriser le trafic provenant uniquement de réseaux virtuels spécifiques, utilisez la commande Update-AzStorageAccountNetworkRuleSet et définissez le paramètre -DefaultAction sur Deny :

     Update-AzStorageAccountNetworkRuleSet -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -DefaultAction Deny
     

     Important

     Les règles réseau n’ont aucun effet, sauf si vous définissez le paramètre -DefaultAction à Deny. Cependant, la modification de ce paramètre peut affecter la capacité de votre application à se connecter au Stockage Azure. Veillez à accorder l’accès à tous les réseaux autorisés ou à configurer l’accès via un point de terminaison privé avant de modifier ce paramètre.

   • Pour bloquer le trafic provenant de tous les réseaux, utilisez la commande Set-AzStorageAccount et définissez le paramètre -PublicNetworkAccess sur Disabled. Le trafic est autorisé uniquement via un point de terminaison privé. Vous devez créer ce point de terminaison privé.

     Set-AzStorageAccount -ResourceGroupName "myresourcegroup" -Name "mystorageaccount" -PublicNetworkAccess Disabled
     

Azure CLI

Remarque

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

1. Installez Azure CLI et connectez-vous.

2. Choisissez le type d’accès réseau public que vous souhaitez autoriser :

   • Pour autoriser le trafic provenant de tous les réseaux, utilisez la commande az storage account update et définissez le paramètre --default-action sur Allow :

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow
     

   • Pour autoriser le trafic provenant uniquement de réseaux virtuels spécifiques, utilisez la commande az storage account update et définissez le paramètre --default-action sur Deny :

     az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
     

     Important

     Les règles réseau n’ont aucun effet, sauf si vous définissez le paramètre --default-action à Deny. Cependant, la modification de ce paramètre peut affecter la capacité de votre application à se connecter au Stockage Azure. Veillez à accorder l’accès à tous les réseaux autorisés ou à configurer l’accès via un point de terminaison privé avant de modifier ce paramètre.

   • Pour bloquer le trafic provenant de tous les réseaux, utilisez la commande az storage account update et définissez le paramètre --public-network-access sur Disabled. Le trafic est autorisé uniquement via un point de terminaison privé. Vous devez créer ce point de terminaison privé.

     az storage account update --name MyStorageAccount --resource-group MyResourceGroup --public-network-access Disabled
     

Remarque

Les paramètres de pare-feu qui restreignent l’accès aux services de stockage restent en vigueur pendant une minute après l’enregistrement des paramètres qui autorisent l’accès.

Étapes suivantes

• Pare-feu stockage Azure et règles de réseau virtuel
• Points de terminaison privés