L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Créer une règle de réseau virtuel pour stockage Azure
Vous pouvez refuser tout accès public à votre compte de stockage, puis configurer les paramètres réseau Azure pour accepter les demandes provenant de sous-réseaux de réseau virtuel spécifiques. Pour en savoir plus, consultez les sous-réseaux de réseau virtuel.
Pour appliquer une règle de réseau virtuel à un compte de stockage, l’utilisateur doit disposer des autorisations appropriées pour les sous-réseaux ajoutés.
Un contributeur de compte de stockage ou un utilisateur autorisé à l’opération du Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action peut appliquer une règle à l’aide d’un rôle Azure personnalisé.
Si vous souhaitez activer l’accès à partir d’un réseau virtuel dans un autre locataire Microsoft Entra, vous devez utiliser PowerShell ou Azure CLI. Le portail Azure ne montre pas les sous-réseaux qui se trouvent dans d’autres locataires Microsoft Entra.
Accédez au compte de stockage pour lequel vous voulez configurer des règles de réseau virtuel et d’accès.
Dans le menu du service, sous Sécurité + mise en réseau, sélectionnez Mise en réseau, puis sous Paramètres de ressource : Réseaux virtuels, adresses IP et exceptions, sélectionnez Affichage.
Sous Réseaux virtuels, sélectionnez Ajouter un réseau virtuel existant.
Le volet Ajouter des réseaux s’affiche.
Dans la liste déroulante Réseaux virtuels, sélectionnez un réseau virtuel.
Dans la liste déroulante Sous-réseaux, sélectionnez les sous-réseaux souhaités, puis sélectionnez Ajouter.
Si vous devez créer un réseau virtuel, sélectionnez Ajouter un nouveau réseau virtuel. Fournissez les informations nécessaires pour créer le nouveau réseau virtuel, puis sélectionnez Créer. Seuls les réseaux virtuels appartenant au même locataire Microsoft Entra apparaissent pour la sélection lors de la création de règles. Pour accorder l’accès à un sous-réseau dans un réseau virtuel appartenant à un autre locataire, utilisez PowerShell, Azure CLI ou l’API REST.
Pour supprimer une règle de réseau ou sous-réseau virtuel, sélectionnez les points de suspension (...) pour ouvrir le menu contextuel du réseau ou sous-réseau virtuel, puis sélectionnez Supprimer.
Sélectionnez Enregistrer pour appliquer vos modifications.
Important
Si vous supprimez un sous-réseau inclus dans une règle réseau, il est supprimé des règles réseau pour le compte de stockage. Si vous créez un sous-réseau portant le même nom, il n’a pas accès au compte de stockage. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du compte de stockage.
Pour autoriser le trafic provenant uniquement de réseaux virtuels spécifiques, utilisez la commande Update-AzStorageAccountNetworkRuleSet et définissez le paramètre -DefaultAction sur Deny :
Les règles réseau n’ont aucun effet, sauf si vous définissez le paramètre -DefaultAction à Deny. Cependant, la modification de ce paramètre peut affecter la capacité de votre application à se connecter au Stockage Azure. Veillez à accorder l’accès à tous les réseaux autorisés ou à configurer l’accès via un point de terminaison privé avant de modifier ce paramètre.
Pour ajouter une règle de réseau pour le sous-réseau d’un réseau virtuel appartenant à un autre tenant Microsoft Entra, utilisez un paramètre VirtualNetworkResourceId complet dans le formulaire /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.
Supprimez une règle de réseau pour un réseau virtuel et un sous-réseau :
Pour autoriser le trafic provenant uniquement de réseaux virtuels spécifiques, utilisez la commande az storage account update et définissez le paramètre --default-action sur Deny :
az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny
Important
Les règles réseau n’ont aucun effet, sauf si vous définissez le paramètre --default-action à Deny. Cependant, la modification de ce paramètre peut affecter la capacité de votre application à se connecter au Stockage Azure. Veillez à accorder l’accès à tous les réseaux autorisés ou à configurer l’accès via un point de terminaison privé avant de modifier ce paramètre.
Listez les règles de réseau virtuel :
az storage account network-rule list --resource-group "myresourcegroup" --account-name "mystorageaccount" --query virtualNetworkRules
Activez un point de terminaison de service pour Stockage Azure sur un réseau virtuel et un sous-réseau existants :
Ajoutez une règle de réseau pour un réseau virtuel et un sous-réseau :
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule add --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid
Pour ajouter une règle pour un sous-réseau de réseau virtuel appartenant à un autre tenant Microsoft Entra, utilisez un ID de sous-réseau complet au format /subscriptions/<subscription-ID>/resourceGroups/<resourceGroup-Name>/providers/Microsoft.Network/virtualNetworks/<vNet-name>/subnets/<subnet-name>. Vous pouvez utiliser le paramètre subscription pour récupérer l’ID de sous-réseau d’un réseau virtuel qui appartient à un autre tenant Microsoft Entra.
Supprimez une règle de réseau pour un réseau virtuel et un sous-réseau :
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az storage account network-rule remove --resource-group "myresourcegroup" --account-name "mystorageaccount" --subnet $subnetid