Autoriser les demandes dans le Stockage Azure
Chaque demande effectuée sur une ressource sécurisée dans le service Blob, Fichier, File d’attente ou Table doit être autorisée. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement lorsque vous le souhaitez, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès.
Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :
| Artefact Azure | Clé partagée (clé de compte de stockage) | Signature d’accès partagé (SAP) | Microsoft Entra ID | Active Directory Domain Services en local | Accès en lecture public anonyme |
|---|---|---|---|---|---|
| Objets blob Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Pris en charge |
| Azure Files (SMB) | Pris en charge | Non pris en charge | Pris en charge avec Microsoft Entra Domain Services ou Microsoft Entra Kerberos | Pris en charge, les informations d’identification doivent être synchronisées avec Microsoft Entra ID | Non pris en charge |
| Azure Files (REST) | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non prise en charge |
| Files d'attente Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge |
| Tables Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge |
Chaque option d’autorisation est décrite brièvement ci-dessous :
Microsoft Entra ID :Microsoft Entra est le service de gestion des identités et des accès basé sur le cloud de Microsoft. Microsoft Entra ID intégration est disponible pour les services Blob, File, File d’attente et Table. Avec Microsoft Entra ID, vous pouvez attribuer un accès affiné aux utilisateurs, groupes ou applications via le contrôle d’accès en fonction du rôle (RBAC). Pour plus d’informations sur l’intégration Microsoft Entra ID à Stockage Azure, consultez Autoriser avec Microsoft Entra ID.
autorisation Microsoft Entra Domain Services pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB (Server Message Block) via Microsoft Entra Domain Services. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès d’un client aux ressources Azure Files dans un compte de stockage. Pour plus d’informations sur l’authentification Azure Files à l’aide de services de domaine, consultez Azure Files’autorisation basée sur l’identité.
Autorisation Active Directory (AD) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD. Votre service de domaine AD peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser RBAC pour le contrôle d’accès au niveau du partage et des DLL NTFS pour l’application des autorisations au niveau du répertoire et du fichier. Pour plus d’informations sur l’authentification Azure Files à l’aide de services de domaine, consultez Azure Files’autorisation basée sur l’identité.
Clé partagée : L’autorisation de clé partagée s’appuie sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature chiffrée qui est transmise à la demande dans l’en-tête d’autorisation . Pour plus d’informations sur l’autorisation de clé partagée, consultez Autoriser avec une clé partagée.
Signatures d’accès partagé : Les signatures d’accès partagé (SAP) délèguent l’accès à une ressource particulière dans votre compte avec des autorisations spécifiées et sur un intervalle de temps spécifié. Pour plus d’informations sur la signature d’accès partagé, consultez Déléguer l’accès avec une signature d’accès partagé.
Accès anonyme aux conteneurs et objets blob : Vous pouvez éventuellement rendre publiques les ressources d’objets blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent pas d’autorisation. Pour plus d’informations, consultez Activer l’accès en lecture public pour les conteneurs et les objets blob dans le Stockage Blob Azure.
Conseil
L’authentification et l’autorisation de l’accès aux données d’objet blob, de fichier, de file d’attente et de table avec Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures à d’autres options d’autorisation. Par exemple, en utilisant Microsoft Entra ID, vous évitez d’avoir à stocker votre clé d’accès de compte avec votre code, comme vous le faites avec l’autorisation de clé partagée. Bien que vous puissiez continuer à utiliser l’autorisation de clé partagée avec vos applications d’objet blob et de file d’attente, Microsoft recommande de passer à Microsoft Entra ID si possible.
De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAP) pour accorder un accès affiné aux ressources de votre compte de stockage, mais Microsoft Entra ID offre des fonctionnalités similaires sans avoir à gérer les jetons SAP ni à vous soucier de révoquer une SAP compromise.
Pour plus d’informations sur l’intégration Microsoft Entra ID dans Stockage Azure, consultez Autoriser l’accès aux objets blob et files d’attente Azure à l’aide de Microsoft Entra ID.