Attribuer un rôle Azure pour l’accès aux données d’objet blob

Microsoft Entra autorise les droits d’accès aux ressources sécurisées via le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Le stockage Azure définit un ensemble de rôles intégrés Azure qui englobent les ensembles communs d’autorisations permettant d’accéder aux données blob.

Lorsqu’un rôle Azure est attribué à un principal de sécurité Microsoft Entra, Azure octroie l’accès à ces ressources pour ce principal de sécurité. Un principal de sécurité Microsoft Entra peut être un utilisateur, un groupe, un principal de service d’application ou une identité managée pour les ressources Azure.

Pour en savoir plus sur l’utilisation de Microsoft Entra ID pour autoriser l’accès aux données blob, consultez Autoriser l’accès aux objets blob à l’aide de Microsoft Entra ID.

Note

Cet article explique comment attribuer un rôle Azure pour accéder aux données blob d’un compte de stockage. Pour en savoir plus sur l’attribution de rôles pour les opérations de gestion dans Stockage Azure, consultez Utiliser le fournisseur de ressources Stockage Azure pour accéder aux ressources de gestion.

Affecter un rôle Azure

Vous pouvez utiliser le portail Azure, PowerShell, Azure CLI ou un modèle Azure Resource Manager pour attribuer un rôle d’accès aux données.

Azure portal

Pour accéder aux données de blob dans le portail Azure avec des informations d’identification Microsoft Entra, un utilisateur doit disposer des attributions de rôle suivantes :

• Un rôle d’accès aux données, comme Lecteur des données Blob du stockage ou Contributeur aux données Blob du stockage
• Le rôle Lecteur d’Azure Resource Manager, au minimum

Pour savoir comment attribuer ces rôles à un utilisateur, suivez les instructions fournies dans Attribuer des rôles Azure à l’aide du portail Azure.

Le rôle Lecteur est un rôle d’Azure Resource Manager qui permet aux utilisateurs d’afficher les ressources de compte de stockage, mais pas de les modifier. Il ne fournit pas d’autorisations en lecture pour des données dans Stockage Azure, mais pour des ressources de gestion de compte uniquement. Le rôle Lecteur est nécessaire pour que les utilisateurs puissent accéder aux conteneurs d’objets blob du portail Azure.

Par exemple, si vous attribuez le rôle Contributeur aux données Blob du stockage à l’utilisatrice Mary au niveau d’un conteneur nommé exemple-container, puis Mary se voit attribuer un accès en lecture, écriture et suppression à tous les objets blob dans ce conteneur. Toutefois, si Mary souhaite afficher un objet blob dans le portail Azure, le role Contributeur aux données blob de stockage lui-même ne fournit pas d’autorisations suffisantes pour naviguer dans le portail vers l’objet blob afin de l’afficher. Les autres autorisations sont requises pour naviguer dans le portail et afficher les autres ressources qui y sont visibles.

Un utilisateur doit disposer du rôle Lecteur pour utiliser le portail Azure avec les informations d’identification Microsoft Entra. Toutefois, si un utilisateur est affecté à un rôle avec les autorisations Microsoft.Storage/storageAccounts/listKeys/action, l’utilisateur peut utiliser le portail avec les clés de compte de stockage, via l’autorisation de clé partagée. Pour utiliser les clés de compte de stockage, l’accès à la clé partagée doit être autorisé pour le compte de stockage. Pour plus d’informations sur l’autorisation ou l’interdiction de l’accès à la clé partagée, consultez Empêcher l’autorisation avec clé partagée pour un compte Stockage Azure.

Vous pouvez également attribuer un rôle Azure Resource Manager qui fournit des autorisations supplémentaires au-delà du rôle Lecteur. L’attribution d’autorisations minimales est recommandée en guise de meilleure pratique de sécurité. Pour plus d’informations, consultez Meilleures pratiques pour Azure RBAC.

Note

Avant de vous attribuer un rôle pour l’accès aux données, vous pouvez accéder aux données de votre compte de stockage via le portail Azure, car ce dernier peut également utiliser la clé de compte pour l’accès aux données. Pour plus d’informations, consultez Choisir comment autoriser l’accès à des données blobs dans le portail Azure.

PowerShell

Pour attribuer un rôle Azure à un principal de sécurité avec PowerShell, utilisez la commande New-AzRoleAssignment. Pour exécuter la commande, vous devez disposer d’un rôle qui comprend des autorisations Microsoft.Authorization/roleAssignments/write qui vous sont assignées au niveau de l’étendue correspondante ou ci-dessus.

Le format de la commande peut varier selon l’étendue de l’affectation, mais -ObjectId et -RoleDefinitionName sont des paramètres obligatoires. Bien que ce ne soit pas obligatoire, il est fortement recommandé de passer une valeur pour le paramètre -Scope pour appliquer le principe des privilèges minimum. En limitant les rôles et les étendues, vous limitez les ressources à risque en cas de compromission du principal de sécurité.

Le paramètre -ObjectId est l’ID d’objet Microsoft Entra de l’utilisateur, du groupe ou du principal de service auquel le rôle est affecté. Pour récupérer l’identificateur, vous pouvez utiliser la commande Get-AzADUser pour filtrer les utilisateurs Microsoft Entra, comme indiqué dans l’exemple suivant.

Azure PowerShell

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

La première réponse retourne le principal de sécurité et la seconde retourne l’ID d’objet du principal de sécurité.

Response

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

La valeur du paramètre -RoleDefinitionName est le nom du rôle RBAC qui doit être attribué au principal. Pour accéder aux données de blob dans le portail Azure avec des informations d’identification Microsoft Entra, un utilisateur doit disposer des attributions de rôle suivantes :

• Un rôle d’accès aux données, comme Contributeur aux données Blob du stockage ou Lecteur des données Blob du stockage
• Le rôle Lecteur d’Azure Resource Manager

Pour attribuer un rôle étendu à un conteneur d’objets blob ou à un compte de stockage, vous devez spécifier une chaîne contenant l’étendue de la ressource pour le paramètre -Scope. Cette action est conforme au principe du privilège minimum, un concept de sécurité des informations dans lequel un utilisateur dispose du niveau d’accès minimal nécessaire pour effectuer son travail. Cette pratique réduit le risque potentiel de dommages accidentels ou intentionnels que des privilèges non nécessaires peuvent induire.

L’étendue d’un conteneur a la forme :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

L’étendue d’un compte de stockage a la forme :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Pour attribuer un rôle limité à un compte de stockage, spécifiez une chaîne contenant l’étendue du conteneur pour le paramètre --scope.

L’exemple suivant attribue le rôle Contributeur aux données Blob du stockage à un utilisateur. L’attribution de rôle est délimitée au niveau du conteneur. Veillez à remplacer les valeurs de l’exemple et les valeurs d’espace réservé entre les crochets (<>) par vos propres valeurs :

PowerShell

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

L’exemple suivant attribue le rôle Lecteur des données Blob du stockage à un utilisateur en spécifiant l’ID d’objet. L’attribution de rôle est délimitée au niveau du compte de stockage. Veillez à remplacer les valeurs de l’exemple et les valeurs d’espace réservé entre les crochets (<>) par vos propres valeurs :

PowerShell

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Le résultat doit ressembler à ce qui suit :

Response

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Pour plus d’informations sur l’attribution de rôles avec PowerShell au niveau de l’étendue d’un abonnement ou d’un groupe de ressources, consultez Attribuer des rôles Azure en utilisant Azure PowerShell.

Azure CLI

Pour attribuer un rôle Azure à un principal de sécurité avec Azure CLI, utilisez la commande az role assignment create. Le format de la commande peut varier selon l’étendue de l’affectation. Pour exécuter la commande, vous devez disposer d’un rôle qui comprend des autorisations Microsoft.Authorization/roleAssignments/write qui vous sont assignées au niveau de l’étendue correspondante ou ci-dessus.

Pour affecter un rôle limité à un conteneur, spécifiez une chaîne contenant l’étendue du conteneur pour le paramètre --scope. L’étendue d’un conteneur a la forme :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

L’exemple suivant attribue le rôle Contributeur aux données Blob du stockage à un utilisateur. L’attribution de rôle est délimitée au niveau du conteneur. Veillez à remplacer les valeurs de l’exemple et les valeurs d’espace réservé entre les crochets (<>) par vos propres valeurs :

Azure CLI

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

L’exemple suivant attribue le rôle Lecteur des données Blob du stockage à un utilisateur en spécifiant l’ID d’objet. Pour en savoir plus sur les paramètres --assignee-object-id et --assignee-principal-type , consultez az role assignment. Dans cet exemple, l’attribution de rôle est limitée au niveau du compte de stockage. Veillez à remplacer les valeurs de l’exemple et les valeurs d’espace réservé entre les crochets (<>) par vos propres valeurs :

Azure CLI

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Pour plus d’informations sur l’attribution de rôles avec Azure CLI au niveau de l’étendue de l’abonnement, du groupe de ressources ou du compte de stockage, consultez Attribuer des rôles Azure à l’aide d’Azure CLI.

Modèle

Pour savoir comment utiliser un modèle d’Azure Resource Manager pour affecter un rôle Azure, consultez Affecter des rôles Azure à l’aide de modèles Azure Resource Manager.

Gardez à l’esprit les points suivants concernant les attributions de rôles Azure dans Stockage Azure :

• Lorsque vous créez un compte de stockage Azure, vous ne disposez pas automatiquement des autorisations d’accès aux données via Microsoft Entra ID. Vous devez vous attribuer explicitement un rôle Azure pour le Stockage Azure. Vous pouvez l’attribuer au niveau de votre abonnement, groupe de ressources, compte de stockage ou conteneur.
• Lorsque vous attribuez des rôles ou supprimez des attributions de rôle, un délai de 10 minutes maximum peut être nécessaire avant que les modifications soient prises en compte.
• Les rôles intégrés avec des actions de données peuvent être attribués au niveau de l’étendue du groupe d’administration. Toutefois, dans de rares cas, les autorisations d’action sur les données peuvent être effectives après un délai significatif (jusqu’à 12 heures) pour certains types de ressources. Les autorisations seront appliquées à terme. Pour les rôles intégrés avec actions sur les données, nous déconseillons d’ajouter ou de supprimer des attributions de rôle au niveau du groupe de gestion dans les cas où il est nécessaire d’activer ou de révoquer des autorisations en temps voulu, comme dans le cas de Microsoft Entra Privileged Identity Management (PIM).
• Si le compte de stockage est verrouillé à l’aide d’un verrou en lecture seule Azure Resource Manager, le verrou empêche l’attribution de rôles Azure étendus au compte de stockage ou à un conteneur.
• Si vous définissez les autorisations d’autorisation appropriées pour accéder aux données via Microsoft Entra ID et que vous ne parvenez pas à accéder aux données, par exemple, vous obtenez une erreur « AuthorizationPermissionMismatch ». Veillez à laisser suffisamment de temps aux modifications d’autorisations que vous avez apportées dans Microsoft Entra ID pour répliquer, et assurez-vous que vous n’avez pas d’affectations de refus qui bloquent votre accès, consultez Comprendre les affectations de refus Azure.

Note

Vous pouvez créer des rôles RBAC Azure personnalisés pour un accès granulaire aux données d’objets blob. Pour plus d’informations, consultez Rôles Azure personnalisés.

Étapes suivantes

• Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (RBAC Azure) ?
• Meilleures pratiques pour Azure RBAC