Comment utiliser un compte de stockage sécurisé avec Azure Functions

Cet article explique comment connecter votre application de fonction à un compte de stockage sécurisé. Pour obtenir un didacticiel détaillé sur la création de votre application de fonction avec des restrictions d’accès entrant et sortant, reportez-vous au tutoriel Intégrer à un réseau virtuel. Pour en savoir plus sur Azure Functions et la mise en réseau, consultez Options de mise en réseau d’Azure Functions.

Restreindre votre compte de stockage à un réseau virtuel

Lorsque vous créez une application de fonction, vous créez un compte de stockage ou un lien vers un compte de stockage existant. Actuellement, seuls le modèle ARM et les déploiements Bicep prennent en charge la création d’applications de fonction avec un compte de stockage sécurisé existant.

Remarque

La sécurisation de votre compte de stockage est prise en charge pour l’ensemble des niveaux des plans Dédié (App Service) et Elastic Premium. Les plans Consommation ne prennent actuellement pas en charge les réseaux virtuels.

Pour obtenir la liste de toutes les restrictions sur les comptes de stockage, consultez Configuration requise pour les comptes de stockage.

Sécuriser le stockage pendant la création de l’application de fonction

Vous pouvez créer une application de fonction avec un nouveau compte de stockage sécurisé derrière un réseau virtuel accessible via des points de terminaison privés. Les liens suivants vous montrent comment créer ces ressources à l’aide du Portail Azure ou de modèles de déploiement :

Azure portal

Suivez le tutoriel suivant pour créer un compte de stockage sécurisé d’application de fonction : Utiliser des points de terminaison privés pour intégrer Azure Functions à un réseau virtuel.

Modèles de déploiement

Utilisez des fichiers Bicep ou des modèles Azure Resource Manager (ARM) pour créer des ressources d’application de fonction et de compte de stockage sécurisées. Lorsque vous créez un compte de stockage sécurisé dans un déploiement automatisé, vous devez définir la propriété de site vnetContentShareEnabled, créer le partage de fichiers dans le cadre de votre déploiement et définir le paramètres d’application WEBSITE_CONTENTSHARE sur le nom du partage de fichiers. Pour obtenir plus d’informations, et notamment des liens vers des exemples de déploiements, consultez Déploiements sécurisés.

Stockage sécurisé pour une application de fonction existante

Lorsque vous disposez d’une application de fonction existante, vous ne pouvez pas sécuriser directement le compte de stockage utilisé par l’application. Vous devez remplacer le compte de stockage existant par un nouveau compte de stockage sécurisé.

1. Activer l’intégration de réseau virtuel

En tant que prérequis, vous devez activer l’intégration de réseau virtuel pour votre application de fonction.

1. Choisissez une application de fonction avec un compte de stockage n’ayant pas de points de terminaison de service ou de points de terminaison privés activés.

2. Activez l’intégration du réseau virtuel pour votre application de fonction.

2. Créer un compte de stockage sécurisé

Configurez un compte de stockage sécurisé pour votre application de fonction :

1. Créer un deuxième compte de stockage. Il s’agit du compte de stockage sécurisé que votre application de fonction utilisera à la place. Vous pouvez également utiliser un compte de stockage existant qui n’est pas déjà utilisé par Functions.

2. Copiez la chaîne de connexion pour ce compte de stockage. Vous avez besoin de cette chaîne pour plus tard.

3. Créer un partage de fichiers dans le nouveau compte de stockage. Essayez d’utiliser le même nom que le partage de fichiers dans le compte de stockage existant. Sinon, vous devez copier le nom du nouveau partage de fichiers pour configurer un paramètre d’application ultérieurement.

4. Sécurisez le nouveau compte de stockage de l’une des manières suivantes :

   • Créez un point de terminaison privé. Lorsque vous configurez des connexions de point de terminaison privé, créez des points de terminaison privés pour les sous-ressources file et blob. Pour Durable Functions, vous devez également rendre les sous-ressources queue et table accessibles via des points de terminaison privés. Si vous utilisez un serveur DNS personnalisé ou local, veillez à configurer votre serveur DNS pour résoudre les nouveaux points de terminaison privés.

   • Restreindre le trafic vers des sous-réseaux spécifiques. Vérifiez qu’un des sous-réseaux autorisés est celui avec lequel votre application de fonction est intégrée. Vérifiez que le sous-réseau a un point de terminaison de service sur Microsoft.Storage.

5. Copiez le fichier et le contenu de l’objet blob à partir du compte de stockage actuel utilisé par l’application de fonction vers le nouveau compte de stockage sécurisé et le partage de fichiers. AzCopy et l’Explorateur Stockage Azure sont des méthodes courantes. Si vous utilisez l’Explorateur Stockage Azure, vous devrez peut-être autoriser votre adresse IP cliente dans le pare-feu de votre compte de stockage.

Vous êtes maintenant prêt à configurer votre application de fonction pour communiquer avec le compte de stockage nouvellement sécurisé.

3. Activer le routage des applications et de la configuration

Vous devez maintenant router le trafic de votre application de fonction pour passer par le réseau virtuel.

1. Activez le routage des applications pour acheminer le trafic de votre application vers le réseau virtuel.

   • Accédez à l’onglet Mise en réseau de votre application de fonction. Sous Configuration du trafic sortant, sélectionnez le sous-réseau associé à l’intégration de votre réseau virtuel.

   • Dans la nouvelle page, cochez la case trafic Internet sortant sous routage des applications.

2. Activez routage de partage de contenu pour que votre application de fonction communique avec votre nouveau compte de stockage via son réseau virtuel.

   • Dans la même page, cochez la case pour le stockage de contenu sous routage de configuration.

4. Mettre à jour les paramètres de l’application

Enfin, vous devez mettre à jour les paramètres de votre application pour pointer vers le nouveau compte de stockage sécurisé.

1. Mettez à jour les paramètres d’application sous l’onglet Configuration de votre application de fonction en procédant comme suit :

   Nom du paramètre	Valeur	Commentaire
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Chaîne de connexion de stockage	Les deux paramètres contiennent la chaîne de connexion du nouveau compte de stockage sécurisé, que vous avez enregistré précédemment.
   WEBSITE_CONTENTSHARE	Partage de fichiers	Nom du partage de fichiers créé dans le compte de stockage sécurisé où résident les fichiers de déploiement du projet.

2. Sélectionnez Enregistrer pour enregistrer les paramètres de l’application. La modification des paramètres de l’application entraîne le redémarrage de l’application.

Après le redémarrage de l’application de fonction, elle sera connectée à un compte de stockage sécurisé.

Étapes suivantes

Options de mise en réseau d’Azure Functions