Autorisation de l’accès aux données dans le stockage Azure
Chaque fois que vous accédez aux données de votre compte de stockage, votre application cliente envoie une requête sur HTTP/HTTPS à Stockage Azure. Par défaut, chaque ressource de Stockage Azure est sécurisée, et chaque demande à une ressource sécurisée doit être autorisée. L’autorisation garantit que l’application cliente dispose des autorisations appropriées pour accéder à une ressource en particulier dans votre compte de stockage.
Présentation de l’autorisation pour les opérations de données
Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux données :
| Artefact Azure | Clé partagée (clé de compte de stockage) | Signature d’accès partagé (SAP) | Microsoft Entra ID | Active Directory Domain Services en local | accès en lecture anonyme | Utilisateurs locaux du service Stockage |
|---|---|---|---|---|---|---|
| Objets blob Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Pris en charge mais pas recommandé | Pris en charge, uniquement pour SFTP |
| Azure Files (SMB) | Pris en charge | Non prise en charge | Pris en charge, uniquement avec Microsoft Entra Domain Services pour cloud uniquement ou Microsoft Entra Kerberos pour les identités hybrides | Pris en charge, les informations d’identification doivent être synchronisées avec Microsoft Entra ID | Non pris en charge | Non pris en charge |
| Azure Files (REST) | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge | Non pris en charge |
| Files d'attente Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge | Non pris en charge |
| Tables Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge | Non pris en charge |
Chaque option d’autorisation est décrite brièvement ci-dessous :
Autorisation de clé partagée pour les objets blob, les fichiers, les files d’attente et les tables. Un client qui utilise une clé partagée transmet avec chaque demande un en-tête signé à l’aide de la clé d’accès au compte de stockage. Pour plus d’informations, consultez Autoriser avec une clé partagée.
Microsoft vous recommande d’interdire l’autorisation par clé partagée pour votre compte de stockage. Lorsque l’autorisation de clé partagée est interdite, les clients doivent utiliser Microsoft Entra ID ou une signature SAP de délégation utilisateur pour autoriser les demandes de données dans ce compte de stockage. Pour plus d’informations, consultez Empêcher l’autorisation avec clé partagée pour un compte de stockage Azure.
Signatures d’accès partagé pour les objets blob, les fichiers, les files d’attente et les tables. Les signatures d’accès partagé (SAP, Shared Access Signature) fournissent un accès délégué limité aux ressources d’un compte de stockage par le biais d’une URL signée. L’URL signée spécifie les autorisations accordées à la ressource et l’intervalle sur lequel la signature est valide. Une signature SAP de service ou de compte est signée avec la clé de compte, tandis que la signature SAP de délégation utilisateur est signée avec des informations d’identification Microsoft Entra et s’applique uniquement aux objets blob. Pour plus d’informations, consultez la page Utiliser des signatures d’accès partagé (SAP).
Intégration de Microsoft Entra pour autoriser les demandes aux ressources blob, file d’attente et table. Microsoft recommande d’utiliser des informations d'identification Microsoft Entra pour autoriser des requêtes sur des données lorsque cela est possible, afin d’optimiser la sécurité et la facilité d’utilisation. Pour plus d’informations sur l’intégration de Microsoft Entra, consultez les articles concernant les ressources de blob, de file d’attente ou de table.
Vous pouvez utiliser le contrôle d’accès en fonction du rôle (Azure RBAC) pour gérer les autorisations d’un principal de sécurité pour les ressources Blob, File d’attente et Table dans un compte de stockage. Vous pouvez également utiliser le contrôle d’accès basé sur les attributs (ABAC) Azure pour ajouter des conditions aux attributions de rôle Azure pour les ressources Blob.
Pour plus d’informations sur le contrôle RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?.
Pour plus d’informations sur ABAC et sur l’état de ses fonctionnalités, consultez :
Qu’est-ce que le contrôle d’accès en fonction des attributs Azure (Azure ABAC) ?
État des fonctionnalités de condition ABAC
État des fonctionnalités de condition ABAC dans Stockage Azure
Authentification de Microsoft Entra Domain Services pour Azure Files Azure Files prend en charge l’autorisation basée sur l’identité via SMB (Server Message Block) par l’intermédiaire Microsoft Entra Domain Services. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) Azure pour contrôler avec précision l’accès d’un client aux ressources Azure Files d’un compte de stockage. Pour plus d’informations concernant l’authentification Azure Files à l’aide de services de domaine, consultez la présentation.
Authentification Active Directory Domain Services en local (AD DS ou AD DS en local) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD DS. Votre environnement AD DS peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD DS des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser une combinaison du contrôle RBAC Azure pour le contrôle d’accès au niveau du partage et de listes DACL NTFS pour l’application d’autorisations de niveau répertoire/fichier. Pour plus d’informations concernant l’authentification Azure Files à l’aide de services de domaine, consultez la présentation.
L’accès en lecture anonyme pour les données blob est pris en charge mais pas recommandé. Quand l’accès anonyme est configuré, les clients peuvent lire les données blob sans autorisation. Nous vous recommandons de désactiver l’accès anonyme pour tous vos comptes de stockage. Pour plus d’informations, consultez Vue d’ensemble : correction de l’accès en lecture anonyme pour les données blob.
Les Utilisateurs locaux du service Stockage peuvent être utilisés pour accéder aux objets blob avec SFTP ou aux fichiers avec SMB. Les Utilisateurs locaux du service Stockage prennent en charge les autorisations au niveau du conteneur pour l’autorisation. Consultez Se connecter au service Stockage Blob Azure à l’aide du protocole SFTP (SSH File Transfer Protocol) pour plus d’informations sur la façon dont les Utilisateurs locaux du service Stockage peuvent être utilisés avec SFTP.
Protégez vos clés d’accès
Les clés d’accès au compte de stockage fournissent un accès complet à la configuration d’un compte de stockage, ainsi qu’aux données. Veillez toujours à protéger vos clés d’accès. Utilisez Azure Key Vault pour gérer et effectuer la rotation de vos clés en toute sécurité. L’accès à la clé partagée accorde à un utilisateur un accès complet à la configuration d’un compte de stockage et à ses données. L’accès aux clés partagées doit être soigneusement limité et surveillé. Utilisez des jetons SAP avec une étendue d’accès limitée dans les scénarios où l’autorisation basée sur Microsoft Entra ID ne peut pas être utilisée. Évitez le codage effectué de manière irréversible des clés d’accès ou de les enregistrer en texte brut dans un emplacement accessible à d’autres personnes. Effectuez une rotation de vos clés si vous pensez qu’elles ont pu être compromises.
Important
Microsoft recommande d’utiliser Microsoft Entra ID pour autoriser les requêtes concernant les données de blob, de file d’attente et de table si possible, plutôt que d’utiliser les clés de compte (autorisation par clé partagée). L’autorisation avec Microsoft Entra ID offre davantage de sécurité et de facilité d’utilisation sur l’autorisation de clé partagée. Pour plus d’informations sur l’utilisation de l’autorisation Microsoft Entra à partir de vos applications, consultez Comment authentifier des applications .NET auprès des services Azure. Pour les partages de fichiers SMB Azure, Microsoft recommande d’utiliser l’intégration Active Directory Domain Services (AD DS) local ou l’authentification Microsoft Entra Kerberos.
Pour empêcher les utilisateurs d’accéder aux données de votre compte de stockage avec une clé partagée, vous pouvez interdire l’autorisation de clé partagée pour le compte de stockage. L’accès granulaire aux données avec le moins de privilèges nécessaires est recommandé en tant que meilleure pratique de sécurité. L’autorisation basée sur Microsoft Entra ID doit être utilisée pour les scénarios qui prennent en charge OAuth. Kerberos ou SMTP doit être utilisé pour Azure Files sur SMB. Pour Azure Files sur REST, des jetons SAP peuvent être utilisés. L’accès à la clé partagée doit être désactivé s’il n’est pas nécessaire pour empêcher son utilisation par inadvertance. Pour plus d’informations, consultez Empêcher l’autorisation avec clé partagée pour un compte de stockage Azure.
Pour protéger un compte stockage Azure avec des stratégies d’accès conditionnel Microsoft Entra, vous devez interdire l’autorisation de clé partagée pour le compte de stockage.
Si vous avez désactivé l’accès à la clé partagée et que l’autorisation de clé partagée est signalée dans les journaux de diagnostic, cela signifie que l’accès approuvé est utilisé pour accéder au stockage. Pour plus d’informations, voir Accès approuvé pour les ressources inscrites dans votre abonnement.
Étapes suivantes
- Autorisez l’accès aux ressources de blob, de file d’attenteou de table avec Microsoft Entra ID.
- Autoriser avec une clé partagée
- Accorder un accès limité aux ressources du Stockage Azure à l’aide des signatures d’accès partagé (SAP)