Ce navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Translate
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(92.8, 51%, 18%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EAE%3C/text%3E%3C/svg%3E)
Hello
We are using a system-assigned managed identity attached to a virtual machine to access a storage account . However, any user with local access to the VM can leverage this managed identity to interact with the storage account by querying the Instance Metadata Service (IMDS).
Key Issue:
Is there an official Azure-recommended method to restrict the use of the managed identity to a specific workload (e.g., a system service or application) on the VM, preventing local users from exploiting it?
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(35.2, 53%, 13%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EPY%3C/text%3E%3C/svg%3E)
Bonjour Ayoub Ennajah,
Pour clarifier votre situation, vous disposez d’une machine virtuelle avec une identité managée qui y est liée, utilisée pour accéder à un compte de stockage. Étant donné que des utilisateurs locaux ont accès à la machine virtuelle, vous craignez qu’ils puissent exploiter cette identité managée. Souhaitez-vous restreindre l’accès au jeton de l’identité managée afin que seule une charge de travail spécifique puisse l’utiliser, empêchant ainsi les utilisateurs locaux de l’exploiter ?
Pourriez-vous confirmer cela afin que nous puissions vous assister de manière plus efficace ?
Merci.
Bonjour Ayoub Ennajah,
Pourriez-vous fournir les détails demandés afin que nous puissions vous aider plus en détail ?
Bonjour Ayoub Ennajah,
Utiliser Azure AD Conditional Access pour Managed Identity (aperçu)
L’accès conditionnel pour les identités de charge de travail (en aperçu) vous permet de définir des politiques d’accès basées sur l’identité, la ressource à laquelle on accède, et les conditions (comme l’adresse IP, la conformité de l’appareil, etc.).
Cependant, cela ne supporte pas encore un contrôle fin sur « qui sur la VM » peut accéder à l’identité — c’est plutôt adapté pour contrôler où et comment l’identité est utilisée, par exemple bloquer son usage hors de la région Azure ou depuis certaines adresses IP.
Utiliser une identité managée assignée par l’utilisateur et restreindre via Azure RBAC
Au lieu d’une identité attribuée au système directement liée à la VM, utilisez une identité managée assignée par l’utilisateur et appliquez RBAC uniquement aux applications ou scripts spécifiques qui demandent explicitement un jeton avec cette identité.
Bien que cela ne bloque pas les utilisateurs locaux d’accéder au point de terminaison IMDS, cela peut vous aider à mieux gérer l’utilisation dans des environnements complexes, tels que les App Services, workloads en conteneurs ou autres services de calcul managés.
https://learn.microsoft.com/fr-fr/entra/identity/managed-identities-azure-resources/overview
Utiliser un proxy pour contrôler l’accès à IMDS
Recommandation clé : Restreindre l’accès à http://169.254.169.254 en utilisant des règles de pare-feu ou une isolation par namespace réseau.
C’est la manière la plus directe pour contrôler quels processus ou utilisateurs peuvent accéder au point de terminaison de métadonnées.
Méthodes :
Utiliser iptables ou le pare-feu Windows pour bloquer l’accès à IMDS sauf pour des processus spécifiques.
Exécuter votre workload dans un conteneur ou un namespace isolé, et ne permettre l’accès qu’à partir de ce namespace.
Créer un proxy local qui médie l’accès à IMDS et applique une politique personnalisée (par exemple, autoriser uniquement certains processus selon PID/utilisateur).
Utiliser Azure Policy ou l’accès Just-in-Time (JIT) VM pour réduire l’exposition au risque
Vous pouvez :
Utiliser Azure Policy pour auditer et appliquer les usages approuvés des identités.
Activer l’accès JIT via Azure Defender pour restreindre les plages horaires de connexion des utilisateurs.
https://learn.microsoft.com/fr-fr/azure/defender-for-cloud/just-in-time-access-usage
Si les détails demandés sont fournis, nous pourrons vous assister de manière plus précise.
Si vous trouvez ces informations utiles, merci de cliquer sur « Upvote » pour nous le faire savoir. Pour toute autre question, n’hésitez pas à nous contacter, nous serons ravis de vous aider.
Merci.
Bonjour Ayoub Ennajah,
Je voulais simplement vérifier si vous aviez eu l'occasion de voir le commentaire en réponse à votre question. N'hésitez pas à me contacter si vous avez d'autres questions.
Si vous avez trouvé l'information utile, merci de cliquer sur "Vote positif " sur le post pour nous le faire savoir. Merci.
Bonjour Ayoub Ennajah,
Utiliser Azure AD Conditional Access pour Managed Identity (aperçu)
L’accès conditionnel pour les identités de charge de travail (en aperçu) vous permet de définir des politiques d’accès basées sur l’identité, la ressource à laquelle on accède, et les conditions (comme l’adresse IP, la conformité de l’appareil, etc.).
Cependant, cela ne supporte pas encore un contrôle fin sur « qui sur la VM » peut accéder à l’identité — c’est plutôt adapté pour contrôler où et comment l’identité est utilisée, par exemple bloquer son usage hors de la région Azure ou depuis certaines adresses IP.
Utiliser une identité managée assignée par l’utilisateur et restreindre via Azure RBAC
Au lieu d’une identité attribuée au système directement liée à la VM, utilisez une identité managée assignée par l’utilisateur et appliquez RBAC uniquement aux applications ou scripts spécifiques qui demandent explicitement un jeton avec cette identité.
Bien que cela ne bloque pas les utilisateurs locaux d’accéder au point de terminaison IMDS, cela peut vous aider à mieux gérer l’utilisation dans des environnements complexes, tels que les App Services, workloads en conteneurs ou autres services de calcul managés.
https://learn.microsoft.com/fr-fr/entra/identity/managed-identities-azure-resources/overview
Utiliser un proxy pour contrôler l’accès à IMDS
Recommandation clé : Restreindre l’accès à http://169.254.169.254 en utilisant des règles de pare-feu ou une isolation par namespace réseau.
C’est la manière la plus directe pour contrôler quels processus ou utilisateurs peuvent accéder au point de terminaison de métadonnées.
Méthodes :
Utiliser iptables ou le pare-feu Windows pour bloquer l’accès à IMDS sauf pour des processus spécifiques.
Exécuter votre workload dans un conteneur ou un namespace isolé, et ne permettre l’accès qu’à partir de ce namespace.
Créer un proxy local qui médie l’accès à IMDS et applique une politique personnalisée (par exemple, autoriser uniquement certains processus selon PID/utilisateur).
Utiliser Azure Policy ou l’accès Just-in-Time (JIT) VM pour réduire l’exposition au risque
Vous pouvez :
Utiliser Azure Policy pour auditer et appliquer les usages approuvés des identités.
Activer l’accès JIT via Azure Defender pour restreindre les plages horaires de connexion des utilisateurs.
https://learn.microsoft.com/fr-fr/azure/defender-for-cloud/just-in-time-access-usage
Si les détails demandés sont fournis, nous pourrons vous assister de manière plus précise.
Si vous trouvez ces informations utiles, merci de cliquer sur « Upvote » pour nous le faire savoir. Pour toute autre question, n’hésitez pas à nous contacter, nous serons ravis de vous aider.
Merci.