Règles de pare-feu IP Azure SQL Database et Azure Synapse
S’applique à : 
Azure SQL Database Azure Synapse Analytics
Lorsque vous créez dans Azure SQL Database ou Azure Synapse Analytics un serveur nommé mysqlserver, par exemple, un pare-feu au niveau du serveur bloque tout accès au point de terminaison public du serveur (accessible à l'adresse mysqlserver.database.windows.net). Par souci de simplicité, le nom SQL Database est utilisé pour désigner à la fois SQL Database et Azure Synapse Analytics. Cet article ne s'applique pas à Azure SQL Managed Instance. Pour plus d'informations sur la configuration réseau, consultez Connecter votre application à Azure SQL Managed Instance.
Remarque
Microsoft Entra ID était précédemment connu sous le nom d’Azure Active Directory (Azure AD).
Fonctionnement du pare-feu
Les tentatives de connexion à partir d'Internet et d'Azure doivent franchir le pare-feu avant d'atteindre votre serveur ou votre base de données, comme illustré dans le schéma suivant.
Important
Azure Synapse ne prend en charge que les règles de pare-feu IP au niveau serveur. Il ne prend pas en charge les règles de pare-feu IP au niveau de la base de données.
Règles de pare-feu IP au niveau du serveur
Ces règles permettent aux clients d'accéder à l'ensemble de votre serveur, c'est-à-dire à toutes les bases de données gérées par le serveur. Les règles sont stockées dans la base de données MASTER. Le nombre maximal de règles de pare-feu IP au niveau du serveur est limité à 256 par serveur. Si le paramètre Autoriser les services et les ressources Azure à accéder à ce serveur est activé, cela compte comme une seule règle de pare-feu pour le serveur.
Vous pouvez configurer des règles de pare-feu IP au niveau du serveur à l’aide du portail Azure, de PowerShell ou d’instructions Transact-SQL.
Remarque
Lors de la configuration à l’aide du portail Azure, le nombre maximal de règles de pare-feu IP de niveau serveur est limité à 256.
- Pour utiliser le portail ou PowerShell, vous devez être le propriétaire ou un contributeur de l’abonnement.
- Pour utiliser Transact-SQL, vous devez vous connecter à la base de données MASTER avec un compte principal au niveau du serveur ou en tant qu’administrateur Microsoft Entra. (Une règle de pare-feu IP au niveau du serveur doit d’abord être créée par un utilisateur disposant d’autorisations au niveau d’Azure.)
Notes
Par défaut, lors de la création d’un serveur SQL logique à partir du portail Azure, le paramètre Autoriser les services et les ressources Azure à accéder à ce serveur est défini sur Non.
Règles de pare-feu IP au niveau de la base de données
Ces règles de pare-feu IP au niveau de la base de données permettent aux clients d'accéder à certaines bases de données (sécurisées). Vous devez créer les règles pour chaque base de données (dont la base de données MASTER). Elles y seront stockées de façon individuelle.
- Vous pouvez créer et gérer des règles de pare-feu IP au niveau de la base de données pour les bases MASTER et utilisateur uniquement à l’aide d’instructions Transact-SQL et seulement après avoir configuré le premier pare-feu au niveau du serveur.
- Si vous spécifiez dans la règle de pare-feu IP au niveau de la base de données une plage d’adresses IP en dehors de la plage spécifiée dans la règle de pare-feu IP au niveau du serveur, seuls les clients dont les adresses IP appartiennent à la plage au niveau de la base de données peuvent accéder à la base de données.
- La valeur par défaut correspond à un maximum de 256 règles de pare-feu IP de niveau base de données par base de données. Pour plus d’informations sur la configuration des règles de pare-feu IP au niveau de la base de données, consultez l’exemple plus loin dans cet article et sp_set_database_firewall_rule (Azure SQL Database).
Recommandations sur la définition des règles de pare-feu
Nous vous recommandons d’utiliser des règles de pare-feu IP au niveau de la base de données autant que possible. Cette pratique améliore la sécurité et la portabilité de votre base de données. Utilisez des règles de pare-feu IP au niveau du serveur pour les administrateurs. Utilisez également ces règles quand de nombreuses bases de données ont les mêmes exigences d’accès et que vous ne souhaitez pas les configurer une à une.
Notes
Pour plus d’informations sur les bases de données portables dans le cadre de la continuité d’activité, consultez Exigences d’authentification pour la récupération d’urgence.
Règles de pare-feu IP au niveau du serveur et au niveau de la base de données
Les utilisateurs d’une base de données doivent-ils être totalement isolés d’une autre base de données ?
Si c’est le cas, accordez l’accès à l’aide de règles de pare-feu IP au niveau de la base de données. Cette méthode évite d’utiliser des règles de pare-feu IP au niveau du serveur, qui permettent à toutes les bases de données de franchir le pare-feu et réduisent ainsi le champ de vos défenses.
Les utilisateurs aux adresses IP ont-ils besoin d’accéder à toutes les bases de données ?
Si c’est le cas, utilisez des règles de pare-feu IP au niveau du serveur pour réduire le nombre de règles de pare-feu IP à configurer.
La personne ou l’équipe qui configure les règles de pare-feu IP a-t-elle seulement accès par le biais du portail Azure, de PowerShell ou de l’API REST ?
Si c’est le cas, vous devez utiliser des règles de pare-feu IP au niveau du serveur. Les règles de pare-feu IP au niveau de la base de données peuvent être configurées seulement avec Transact-SQL.
La personne ou l’équipe qui configure les règles de pare-feu IP a-t-elle l’interdiction d’avoir une autorisation générale au niveau de la base de données ?
Si c’est le cas, utilisez des règles de pare-feu IP au niveau du serveur. Vous devez disposer au minimum de l’autorisation CONTROL DATABASE au niveau de la base de données pour configurer des règles de pare-feu IP au niveau de la base de données à l’aide de Transact-SQL.
La personne ou l’équipe qui configure ou vérifie les règles de pare-feu IP gère-t-elle ces règles de façon centralisée pour un grand nombre de bases de données (par exemple, plusieurs centaines) ?
Si c’est le cas, vos besoins et votre environnement déterminent les bonnes pratiques à mettre en œuvre. Les règles de pare-feu IP au niveau du serveur peuvent être plus faciles à configurer, mais des scripts peuvent configurer les règles au niveau de la base de données. Par ailleurs, même si vous utilisez des règles de pare-feu IP au niveau du serveur, vous devez peut-être vérifier les règles de pare-feu IP au niveau de la base de données pour voir si des utilisateurs avec l’autorisation CONTROL sur la base de données créent des règles de pare-feu IP au niveau de la base de données.
Puis-je utiliser à la fois des règles de pare-feu IP au niveau du serveur et au niveau de la base de données ?
Oui. Certains utilisateurs comme les administrateurs peuvent avoir besoin de règles de pare-feu IP au niveau du serveur. D’autres utilisateurs, comme les utilisateurs d’une application de base de données, peuvent avoir besoin de règles de pare-feu IP au niveau de la base de données.
Connexions à partir d’Internet
Lorsqu'un ordinateur tente de se connecter à votre serveur à partir d'Internet, le pare-feu vérifie d'abord l'adresse IP d'origine de la demande par rapport aux règles de pare-feu IP au niveau de la base de données pour la base de données demandée par la connexion.
- Si l'adresse est comprise dans une plage spécifiée dans les règles de pare-feu IP au niveau de la base de données, la connexion à la base de données contenant la règle est accordée.
- Dans le cas contraire, le pare-feu vérifie les règles de pare-feu IP au niveau du serveur. Si l’adresse est comprise dans une plage spécifiée dans les règles de pare-feu IP au niveau du serveur, la connexion est accordée. Les règles de pare-feu IP au niveau du serveur s'appliquent à toutes les bases de données gérées par le serveur.
- Si l’adresse n’est pas comprise dans une plage spécifiée dans les règles de pare-feu IP au niveau du serveur ou de la base de données, la demande de connexion échoue.
Notes
Pour accéder à Azure SQL Database à partir de votre ordinateur local, vérifiez que le pare-feu de votre réseau et de votre ordinateur local autorise les communications sortantes sur le port TCP 1433.
Connexions à partir d’Azure
Pour autoriser des applications hébergées dans Azure à se connecter à votre serveur SQL, vous devez activer les connexions Azure. Pour activer les connexions Azure, il doit y avoir une règle de pare-feu avec les adresses IP de début et de fin définies sur 0.0.0.0. Cette règle recommandée s’applique uniquement à Azure SQL Database.
Quand une application d’Azure tente de se connecter au serveur, le pare-feu confirme que les connexions Azure sont autorisées en vérifiant que cette règle de pare-feu existe. Vous pouvez l’activer directement à partir du volet du portail Azure en définissant Autoriser les services et les ressources Azure à accéder à ce serveur sur Activé dans les paramètres Pare-feux et réseaux virtuels. L’activation de ce paramètre crée une règle de pare-feu de trafic entrant pour l’adresse IP 0.0.0.0 - 0.0.0.0 nommée AllowAllWindowsAzureIps. La règle peut être visualisée dans la vue sys.firewall_rules de votre base de données master. Utilisez PowerShell ou l’interface Azure CLI pour créer une règle de pare-feu avec les adresses IP de début et de fin définies sur 0.0.0.0 si vous n’utilisez pas le portail.
Important
Cette option configure le pare-feu pour autoriser toutes les connexions à partir d’Azure, notamment les connexions issues des abonnements d’autres clients. Si vous sélectionnez cette option, vérifiez que votre connexion et vos autorisations utilisateur limitent l’accès aux seuls utilisateurs autorisés.
Autorisations
Pour pouvoir créer et gérer des règles de pare-feu IP pour Azure SQL Server, vous devez être :
- dans le rôle Contributeur de SQL Server
- dans le rôle Gestionnaire de sécurité SQL
- propriétaire de la ressource qui contient SQL Server Azure
Créer et gérer des règles de pare-feu IP
Vous devez créer le premier paramètre de pare-feu au niveau du serveur à l’aide du portail Azure ou par programmation avec Azure PowerShell, l’interface de ligne de commande Azure ou une API REST Azure. Vous pouvez utiliser ces méthodes ou Transact-SQL pour créer et gérer d’autres règles de pare-feu IP au niveau du serveur.
Important
Les règles de pare-feu IP au niveau de la base de données peuvent être créées et gérées seulement avec Transact-SQL.
Pour améliorer les performances, les règles de pare-feu IP au niveau du serveur sont temporairement mises en cache au niveau de la base de données. Pour actualiser le cache, consultez DBCC FLUSHAUTHCACHE.
Conseil
Vous pouvez utiliser l'Audit de la base de données pour vérifier des modifications de pare-feu au niveau serveur et au niveau base de données.
Gérer des règles de pare-feu IP au niveau du serveur avec le portail Azure
Pour définir une règle de pare-feu IP au niveau du serveur sur le portail Azure, accédez à la page de présentation de votre base de données ou de votre serveur.
Conseil
Pour accéder à un tutoriel, consultez Créer une base de données à l'aide du portail Azure.
À partir de la page de présentation de la base de données
Pour définir une règle de pare-feu IP au niveau du serveur à partir de la page de présentation de la base de données, cliquez sur Définir le pare-feu du serveur dans la barre d’outils comme illustré dans l’image suivante.
La page Mise en réseau du serveur s’ouvre.
Ajoutez une règle dans la section Règles de pare-feu pour ajouter l’adresse IP de l’ordinateur que vous utilisez, puis sélectionnez Enregistrer. Une règle de pare-feu IP au niveau du serveur est créée pour votre adresse IP actuelle.
À partir de la page de présentation du serveur
La page de présentation de votre serveur s’ouvre. Elle affiche le nom de serveur complet (tel que mynewserver20170403.database.windows.net) et fournit des options permettant de poursuivre la configuration.
Pour définir une règle au niveau du serveur à partir de cette page, sélectionnez Mise en réseau dans le menu Paramètres à gauche.
Ajoutez une règle dans la section Règles de pare-feu pour ajouter l’adresse IP de l’ordinateur que vous utilisez, puis sélectionnez Enregistrer. Une règle de pare-feu IP au niveau du serveur est créée pour votre adresse IP actuelle.
Gérer des règles de pare-feu IP avec Transact-SQL
| Vue de catalogue ou procédure stockée | Level | Description |
|---|---|---|
| sys.firewall_rules | Serveur | Affiche les règles de pare-feu IP au niveau du serveur actuelles |
| sp_set_firewall_rule | Serveur | Crée ou met à jour les règles de pare-feu IP au niveau du serveur |
| sp_delete_firewall_rule | Serveur | Supprime des règles de pare-feu IP au niveau du serveur |
| sys.database_firewall_rules | Base de données | Affiche les règles de pare-feu IP actuelles au niveau de la base de données |
| sp_set_database_firewall_rule | Base de données | Crée ou met à jour les règles de pare-feu IP au niveau de la base de données |
| sp_delete_database_firewall_rule | Bases de données | Supprime des règles de pare-feu IP au niveau de la base de données |
L’exemple suivant examine les règles existantes, active une plage d’adresses IP sur le serveur Contoso et supprime une règle de pare-feu IP :
SELECT * FROM sys.firewall_rules ORDER BY name;
Ensuite, ils ajoutent une règle de pare-feu IP au niveau du serveur.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Pour supprimer une règle de pare-feu IP au niveau du serveur, exécutez la procédure stockée sp_delete_firewall_rule. L’exemple suivant supprime la règle ContosoFirewallRule :
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Gérer des règles de pare-feu IP au niveau du serveur avec PowerShell
Notes
Cet article utilise le module Azure Az PowerShell, qui est le module PowerShell recommandé pour interagir avec Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Important
Le module PowerShell Azure Resource Manager est toujours pris en charge par Azure SQL Database, mais tous les développements sont désormais destinés au module Az.Sql. Pour ces cmdlets, voir AzureRM.Sql. Les arguments des commandes dans les modules Az et AzureRm sont sensiblement identiques.
| Applet de commande | Level | Description |
|---|---|---|
| Get-AzSqlServerFirewallRule | Serveur | Retourne les règles de pare-feu au niveau du serveur actuelles |
| New-AzSqlServerFirewallRule | Serveur | Crée une règle de pare-feu au niveau du serveur |
| Set-AzSqlServerFirewallRule | Serveur | Met à jour les propriétés d’une règle de pare-feu au niveau du serveur existante |
| Remove-AzSqlServerFirewallRule | Serveur | Supprime des règles de pare-feu au niveau du serveur |
L’exemple suivant définit une règle de pare-feu IP au niveau du serveur à l’aide de PowerShell :
New-AzSqlServerFirewallRule -ResourceGroupName "myResourceGroup" `
-ServerName $servername `
-FirewallRuleName "ContosoIPRange" -StartIpAddress "192.168.1.0" -EndIpAddress "192.168.1.255"
Conseil
Pour $servername, spécifiez le nom du serveur et non le nom DNS complet. Par exemple, spécifiez mysqldbserver au lieu de mysqldbserver.database.windows.net
Pour obtenir des exemples PowerShell dans le contexte d'un démarrage rapide, consultez Créer une base de données - PowerShell et Utiliser PowerShell pour créer une base de données unique et configurer une règle de pare-feu IP au niveau du serveur.
Gérer des règles de pare-feu IP au niveau du serveur avec l’interface de ligne de commande
| Applet de commande | Level | Description |
|---|---|---|
| az sql server firewall-rule create | Serveur | Crée une règle de pare-feu IP de serveur |
| az sql server firewall-rule list | Serveur | Liste les règles de pare-feu IP sur un serveur |
| az sql server firewall-rule show | Serveur | Affiche les détails d’une règle de pare-feu IP |
| az sql server firewall-rule update | Serveur | Met à jour une règle de pare-feu IP |
| az sql server firewall-rule delete | Serveur | Supprime une règle de pare-feu IP |
L’exemple suivant définit une règle de pare-feu IP au niveau du serveur à l’aide de l’interface de ligne de commande :
az sql server firewall-rule create --resource-group myResourceGroup --server $servername \
-n ContosoIPRange --start-ip-address 192.168.1.0 --end-ip-address 192.168.1.255
Conseil
Pour $servername, spécifiez le nom du serveur et non le nom DNS complet. Par exemple, utilisez mysqldbserver au lieu de mysqldbserver.database.windows.net.
Pour obtenir un exemple basé sur l'interface de ligne de commande dans le contexte d'un démarrage rapide, consultez Créer une base de données - Azure CLI et Utiliser Azure CLI pour créer une base de données unique et configurer une règle de pare-feu IP au niveau du serveur.
Pour Azure Synapse Analytics, reportez-vous aux exemples suivants :
| Applet de commande | Level | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Serveur | Créer une règle de pare-feu |
| az synapse workspace firewall-rule delete | Serveur | Supprimer une règle de pare-feu |
| az synapse workspace firewall-rule list | Serveur | Répertorier toutes les règles de pare-feu |
| az synapse workspace firewall-rule show | Serveur | Obtenir une règle de pare-feu |
| az synapse workspace firewall-rule update | Serveur | Mettre à jour une règle de pare-feu |
| az synapse workspace firewall-rule wait | Serveur | Placer l’interface CLI dans un état d’attente jusqu’à ce qu’une condition de règle de pare-feu soit remplie |
L’exemple suivant définit une règle de pare-feu IP au niveau serveur dans Azure Synapse à l’aide de l’interface CLI :
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Gérer des règles de pare-feu IP au niveau du serveur avec une API REST
| API | Level | Description |
|---|---|---|
| Règles de pare-feu - List by Server | Serveur | Affiche les règles de pare-feu IP au niveau du serveur actuelles |
| Règles de pare-feu - Create ou Update | Serveur | Crée ou met à jour les règles de pare-feu IP au niveau du serveur |
| Règles de pare-feu - Delete | Serveur | Supprime des règles de pare-feu IP au niveau du serveur |
| Règles de pare-feu - Get | Serveur | Obtient les règles de pare-feu IP au niveau du serveur |
Résoudre les problèmes liés au pare-feu de base de données
Tenez compte des points suivants lorsque l'accès à Azure SQL Database est anormal.
Configuration du pare-feu local :
Pour que votre ordinateur puisse accéder à Azure SQL Database, vous devez créer une exception de pare-feu sur votre ordinateur pour le port TCP 1433. Vous devrez peut-être ouvrir des ports supplémentaires pour effectuer des connexions dans la limite du cloud Azure. Pour plus d’informations, consultez la section « SQL Database : exécution externe ou exécution interne de Ports au-delà de 1433 pour ADO.NET 4.5 et Azure SQL Database.
Traduction d’adresses réseau :
En raison du protocole de traduction d'adresses réseau (NAT, network address translation), l'adresse IP utilisée par votre ordinateur pour se connecter à Azure SQL Database peut être différente de celle indiquée dans les paramètres de configuration IP de votre ordinateur. Pour voir l’adresse IP utilisée par votre ordinateur pour se connecter à Azure :
- Connectez-vous au portail.
- Accédez à l’onglet Configurer du serveur qui héberge votre base de données.
- L’adresse IP du client actif s’affiche dans la section Adresses IP autorisées. Sélectionnez Ajouter sous Adresses IP autorisées pour que cet ordinateur puisse accéder au serveur.
Les modifications apportées à la liste verte n’ont pas encore été prises en compte :
Cinq minutes peuvent s'écouler avant que les modifications apportées à la configuration du pare-feu Azure SQL Database soient prises en compte.
La connexion n’est pas autorisée ou un mot de passe incorrect a été utilisé :
Si une connexion n'a pas d'autorisations sur le serveur ou que le mot de passe est incorrect, la connexion au serveur est refusée. La création d’un paramètre de pare-feu permet uniquement aux clients d’essayer de se connecter à votre serveur. Ils doivent toujours fournir les informations d’identification de sécurité nécessaires. Pour plus d'informations sur la préparation des connexions, consultez Contrôle et octroi de l'accès à la base de données.
Adresse IP dynamique :
Si votre connexion Internet utilise un adressage IP dynamique et que le pare-feu demeure infranchissable, essayez l’une des solutions suivantes :
- Demandez à votre fournisseur de services Internet la plage d'adresses IP attribuée aux ordinateurs clients qui accèdent au serveur. Ajoutez cette plage d’adresses IP en tant que règle de pare-feu IP.
- Récupérez plutôt l’adressage IP statique pour vos ordinateurs clients. Ajoutez les adresses IP en tant que règles de pare-feu IP.
Étapes suivantes
- Vérifiez que votre environnement de réseau d’entreprise autorise les communications entrantes issues des plages d’adresses IP de calcul (y compris les plages SQL) utilisées par les centres de données Azure. Vous devrez peut-être ajouter ces adresses IP à la liste verte. Consultez Plages IP de centres de données Microsoft Azure.
- Consultez notre démarrage rapide sur la création d’une seule base de données dans Azure SQL Database.
- Pour obtenir de l'aide sur la connexion à une base de données dans Azure SQL Database à partir d'applications open source ou tierces, consultez Exemples de code de démarrage rapide du client pour Azure SQL Database.
- Pour plus d’informations sur les autres ports que vous devrez peut-être ouvrir, consultez la section « SQL Database : exécution externe ou exécution interne de Ports au-delà de 1433 pour ADO.NET 4.5 et SQL Database.
- Pour obtenir une vue d’ensemble de la sécurité Azure SQL Database, consultez Sécurisation de votre base de données.