Attribuer un rôle Azure pour l’accès aux données d’objet blob
Microsoft Entra autorise les droits d’accès aux ressources sécurisées via le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Le stockage Azure définit un ensemble de rôles intégrés Azure qui englobent les ensembles communs d’autorisations permettant d’accéder aux données blob.
Lorsqu’un rôle Azure est attribué à un principal de sécurité Microsoft Entra, Azure octroie l’accès à ces ressources pour ce principal de sécurité. Un principal de sécurité Microsoft Entra peut être un utilisateur, un groupe, un principal de service d’application ou une identité managée pour les ressources Azure.
Pour en savoir plus sur l’utilisation de Microsoft Entra ID pour autoriser l’accès aux données blob, consultez Autoriser l’accès aux objets blob à l’aide de Microsoft Entra ID.
Remarque
Cet article explique comment attribuer un rôle Azure pour accéder aux données blob d’un compte de stockage. Pour en savoir plus sur l’attribution de rôles pour les opérations de gestion dans Stockage Azure, consultez Utiliser le fournisseur de ressources Stockage Azure pour accéder aux ressources de gestion.
Affecter un rôle Azure
Vous pouvez utiliser le portail Azure, PowerShell, Azure CLI ou un modèle Azure Resource Manager pour attribuer un rôle d’accès aux données.
Pour accéder aux données de blob dans le portail Azure avec des informations d’identification Microsoft Entra, un utilisateur doit disposer des attributions de rôle suivantes :
- Un rôle d’accès aux données, comme Lecteur des données Blob du stockage ou Contributeur aux données Blob du stockage
- Le rôle Lecteur d’Azure Resource Manager, au minimum
Pour savoir comment attribuer ces rôles à un utilisateur, suivez les instructions fournies dans Attribuer des rôles Azure à l’aide du portail Azure.
Le rôle Lecteur est un rôle d’Azure Resource Manager qui permet aux utilisateurs d’afficher les ressources de compte de stockage, mais pas de les modifier. Il ne fournit pas d’autorisations en lecture pour des données dans Stockage Azure, mais pour des ressources de gestion de compte uniquement. Le rôle Lecteur est nécessaire pour que les utilisateurs puissent accéder aux conteneurs d’objets blob du portail Azure.
Par exemple, si vous attribuez le rôle Contributeur aux données Blob du stockage à l’utilisatrice Mary au niveau d’un conteneur nommé exemple-container, puis Mary se voit attribuer un accès en lecture, écriture et suppression à tous les objets blob dans ce conteneur. Toutefois, si Mary souhaite afficher un objet blob dans le portail Azure, le role Contributeur aux données blob de stockage lui-même ne fournit pas d’autorisations suffisantes pour naviguer dans le portail vers l’objet blob afin de l’afficher. Les autres autorisations sont requises pour naviguer dans le portail et afficher les autres ressources qui y sont visibles.
Un utilisateur doit disposer du rôle Lecteur pour utiliser le portail Azure avec les informations d’identification Microsoft Entra. Toutefois, si un utilisateur est affecté à un rôle avec les autorisations Microsoft.Storage/storageAccounts/listKeys/action, l’utilisateur peut utiliser le portail avec les clés de compte de stockage, via l’autorisation de clé partagée. Pour utiliser les clés de compte de stockage, l’accès à la clé partagée doit être autorisé pour le compte de stockage. Pour plus d’informations sur l’autorisation ou l’interdiction de l’accès à la clé partagée, consultez Empêcher l’autorisation avec clé partagée pour un compte Stockage Azure.
Vous pouvez également attribuer un rôle Azure Resource Manager qui fournit des autorisations supplémentaires au-delà du rôle Lecteur. L’attribution d’autorisations minimales est recommandée en guise de meilleure pratique de sécurité. Pour plus d’informations, consultez Meilleures pratiques pour Azure RBAC.
Notes
Avant de vous attribuer un rôle pour l’accès aux données, vous pouvez accéder aux données de votre compte de stockage via le portail Azure, car ce dernier peut également utiliser la clé de compte pour l’accès aux données. Pour plus d’informations, consultez Choisir comment autoriser l’accès à des données blobs dans le portail Azure.
Gardez à l’esprit les points suivants concernant les attributions de rôles Azure dans Stockage Azure :
- Lorsque vous créez un compte de stockage Azure, vous ne disposez pas automatiquement des autorisations d’accès aux données via Microsoft Entra ID. Vous devez vous attribuer explicitement un rôle Azure pour le Stockage Azure. Vous pouvez l’attribuer au niveau de votre abonnement, groupe de ressources, compte de stockage ou conteneur.
- Lorsque vous attribuez des rôles ou supprimez des attributions de rôle, un délai de 10 minutes maximum peut être nécessaire avant que les modifications soient prises en compte.
- Les rôles intégrés avec des actions de données peuvent être attribués au niveau de l’étendue du groupe d’administration. Toutefois, dans de rares cas, les autorisations d’action sur les données peuvent être effectives après un délai significatif (jusqu’à 12 heures) pour certains types de ressources. Les autorisations seront appliquées à terme. Pour les rôles intégrés avec actions sur les données, nous déconseillons d’ajouter ou de supprimer des attributions de rôle au niveau du groupe de gestion dans les cas où il est nécessaire d’activer ou de révoquer des autorisations en temps voulu, comme dans le cas de Microsoft Entra Privileged Identity Management (PIM).
- Si le compte de stockage est verrouillé à l’aide d’un verrou en lecture seule Azure Resource Manager, le verrou empêche l’attribution de rôles Azure étendus au compte de stockage ou à un conteneur.
- Si vous définissez les autorisations d’autorisation appropriées pour accéder aux données via Microsoft Entra ID et que vous ne parvenez pas à accéder aux données, par exemple, vous obtenez une erreur « AuthorizationPermissionMismatch ». Veillez à laisser suffisamment de temps aux modifications d’autorisations que vous avez apportées dans Microsoft Entra ID pour répliquer, et assurez-vous que vous n’avez pas d’affectations de refus qui bloquent votre accès, consultez Comprendre les affectations de refus Azure.
Remarque
Vous pouvez créer des rôles RBAC Azure personnalisés pour un accès granulaire aux données d’objets blob. Pour plus d’informations, consultez Rôles Azure personnalisés.