Règles de pare-feu IP Azure SQL Database et Azure Synapse

S’applique à :Azure SQL DatabaseAzure Synapse Analytics

Lorsque vous créez dans Azure SQL Database ou Azure Synapse Analytics un serveur nommé mysqlserver, par exemple, un pare-feu au niveau du serveur bloque tout accès au point de terminaison public du serveur (accessible à l’adresse mysqlserver.database.windows.net). Par souci de simplicité, le nom SQL Database est utilisé pour désigner à la fois SQL Database et Azure Synapse Analytics. Cet article ne s'applique pas à Azure SQL Managed Instance. Pour plus d'informations sur la configuration réseau, consultez Connecter votre application à Azure SQL Managed Instance.

Remarque

Microsoft Entra ID est le nouveau nom d'Azure Active Directory (Azure AD). Nous sommes en train de mettre à jour la documentation.

Fonctionnement du pare-feu

Les tentatives de connexion à partir d'Internet et d'Azure doivent franchir le pare-feu avant d'atteindre votre serveur ou votre base de données, comme illustré dans le schéma suivant.

Firewall configuration diagram

Important

Azure Synapse ne prend en charge que les règles de pare-feu IP au niveau serveur. Il ne prend pas en charge les règles de pare-feu IP au niveau de la base de données.

Règles de pare-feu IP au niveau du serveur

Ces règles permettent aux clients d'accéder à l'ensemble de votre serveur, c'est-à-dire à toutes les bases de données gérées par le serveur. Les règles sont stockées dans la base de données MASTER. Le nombre maximal de règles de pare-feu IP au niveau du serveur est limité à 128 par serveur. Si le paramètre Autoriser les services et les ressources Azure à accéder à ce serveur est activé, cela compte comme une seule règle de pare-feu pour le serveur.

Vous pouvez configurer des règles de pare-feu IP au niveau du serveur à l’aide du portail Azure, de PowerShell ou d’instructions Transact-SQL.

Notes

Lors de la configuration à l’aide du portail Azure, le nombre maximal de règles de pare-feu IP de niveau serveur est limité à 128.

  • Pour utiliser le portail ou PowerShell, vous devez être le propriétaire ou un contributeur de l’abonnement.
  • Pour utiliser Transact-SQL, vous devez vous connecter à la base de données MASTER avec un compte principal au niveau du serveur ou en tant qu’administrateur Microsoft Entra. (Une règle de pare-feu IP au niveau du serveur doit d’abord être créée par un utilisateur disposant d’autorisations au niveau d’Azure.)

Notes

Par défaut, lors de la création d’un serveur SQL logique à partir du portail Azure, le paramètre Autoriser les services et les ressources Azure à accéder à ce serveur est défini sur Non.

Règles de pare-feu IP au niveau de la base de données

Ces règles de pare-feu IP au niveau de la base de données permettent aux clients d'accéder à certaines bases de données (sécurisées). Vous devez créer les règles pour chaque base de données (dont la base de données MASTER). Elles y seront stockées de façon individuelle.

  • Vous pouvez créer et gérer des règles de pare-feu IP au niveau de la base de données pour les bases MASTER et utilisateur uniquement à l’aide d’instructions Transact-SQL et seulement après avoir configuré le premier pare-feu au niveau du serveur.
  • Si vous spécifiez dans la règle de pare-feu IP au niveau de la base de données une plage d’adresses IP en dehors de la plage spécifiée dans la règle de pare-feu IP au niveau du serveur, seuls les clients dont les adresses IP appartiennent à la plage au niveau de la base de données peuvent accéder à la base de données.
  • La valeur par défaut correspond à un maximum de 256 règles de pare-feu IP de niveau base de données par base de données. Pour plus d’informations sur la configuration des règles de pare-feu IP au niveau de la base de données, consultez l’exemple plus loin dans cet article et sp_set_database_firewall_rule (Azure SQL Database).

Recommandations sur la définition des règles de pare-feu

Nous vous recommandons d’utiliser des règles de pare-feu IP au niveau de la base de données autant que possible. Cette pratique améliore la sécurité et la portabilité de votre base de données. Utilisez des règles de pare-feu IP au niveau du serveur pour les administrateurs. Utilisez également ces règles quand de nombreuses bases de données ont les mêmes exigences d’accès et que vous ne souhaitez pas les configurer une à une.

Notes

Pour plus d’informations sur les bases de données portables dans le cadre de la continuité d’activité, consultez Exigences d’authentification pour la récupération d’urgence.

Règles de pare-feu IP au niveau du serveur et au niveau de la base de données

Les utilisateurs d’une base de données doivent-ils être totalement isolés d’une autre base de données ?

Si c’est le cas, accordez l’accès à l’aide de règles de pare-feu IP au niveau de la base de données. Cette méthode évite d’utiliser des règles de pare-feu IP au niveau du serveur, qui permettent à toutes les bases de données de franchir le pare-feu et réduisent ainsi le champ de vos défenses.

Les utilisateurs aux adresses IP ont-ils besoin d’accéder à toutes les bases de données ?

Si c’est le cas, utilisez des règles de pare-feu IP au niveau du serveur pour réduire le nombre de règles de pare-feu IP à configurer.

La personne ou l’équipe qui configure les règles de pare-feu IP a-t-elle seulement accès par le biais du portail Azure, de PowerShell ou de l’API REST ?

Si c’est le cas, vous devez utiliser des règles de pare-feu IP au niveau du serveur. Les règles de pare-feu IP au niveau de la base de données peuvent être configurées seulement avec Transact-SQL.

La personne ou l’équipe qui configure les règles de pare-feu IP a-t-elle l’interdiction d’avoir une autorisation générale au niveau de la base de données ?

Si c’est le cas, utilisez des règles de pare-feu IP au niveau du serveur. Vous devez disposer au minimum de l’autorisation CONTROL DATABASE au niveau de la base de données pour configurer des règles de pare-feu IP au niveau de la base de données à l’aide de Transact-SQL.

La personne ou l’équipe qui configure ou vérifie les règles de pare-feu IP gère-t-elle ces règles de façon centralisée pour un grand nombre de bases de données (par exemple, plusieurs centaines) ?

Si c’est le cas, vos besoins et votre environnement déterminent les bonnes pratiques à mettre en œuvre. Les règles de pare-feu IP au niveau du serveur peuvent être plus faciles à configurer, mais des scripts peuvent configurer les règles au niveau de la base de données. Par ailleurs, même si vous utilisez des règles de pare-feu IP au niveau du serveur, vous devez peut-être vérifier les règles de pare-feu IP au niveau de la base de données pour voir si des utilisateurs avec l’autorisation CONTROL sur la base de données créent des règles de pare-feu IP au niveau de la base de données.

Puis-je utiliser à la fois des règles de pare-feu IP au niveau du serveur et au niveau de la base de données ?

Oui. Certains utilisateurs comme les administrateurs peuvent avoir besoin de règles de pare-feu IP au niveau du serveur. D’autres utilisateurs, comme les utilisateurs d’une application de base de données, peuvent avoir besoin de règles de pare-feu IP au niveau de la base de données.

Connexions à partir d’Internet

Lorsqu'un ordinateur tente de se connecter à votre serveur à partir d'Internet, le pare-feu vérifie d'abord l'adresse IP d'origine de la demande par rapport aux règles de pare-feu IP au niveau de la base de données pour la base de données demandée par la connexion.

  • Si l'adresse est comprise dans une plage spécifiée dans les règles de pare-feu IP au niveau de la base de données, la connexion à la base de données contenant la règle est accordée.
  • Dans le cas contraire, le pare-feu vérifie les règles de pare-feu IP au niveau du serveur. Si l’adresse est comprise dans une plage spécifiée dans les règles de pare-feu IP au niveau du serveur, la connexion est accordée. Les règles de pare-feu IP au niveau du serveur s'appliquent à toutes les bases de données gérées par le serveur.
  • Si l’adresse n’est pas comprise dans une plage spécifiée dans les règles de pare-feu IP au niveau du serveur ou de la base de données, la demande de connexion échoue.

Notes

Pour accéder à Azure SQL Database à partir de votre ordinateur local, vérifiez que le pare-feu de votre réseau et de votre ordinateur local autorise les communications sortantes sur le port TCP 1433.

Connexions à partir d’Azure

Pour autoriser des applications hébergées dans Azure à se connecter à votre serveur SQL, vous devez activer les connexions Azure. Pour activer les connexions Azure, il doit y avoir une règle de pare-feu avec les adresses IP de début et de fin définies sur 0.0.0.0. Cette règle recommandée s’applique uniquement à Azure SQL Database.

Quand une application d’Azure tente de se connecter au serveur, le pare-feu confirme que les connexions Azure sont autorisées en vérifiant que cette règle de pare-feu existe. Vous pouvez activer la connexion directement à partir du panneau du portail Azure en définissant Autoriser les services et les ressources Azure à accéder à ce serveur sur Activé dans les paramètres Pare-feux et réseaux virtuels. L’activation de ce paramètre crée une règle de pare-feu de trafic entrant pour l’adresse IP 0.0.0.0 - 0.0.0.0 nommée AllowAllWindowsAzureIps. La règle peut être visualisée dans la vue sys.firewall_rules de votre base de données master. Utilisez PowerShell ou l’interface Azure CLI pour créer une règle de pare-feu avec les adresses IP de début et de fin définies sur 0.0.0.0 si vous n’utilisez pas le portail.

Important

Cette option configure le pare-feu pour autoriser toutes les connexions à partir d’Azure, notamment les connexions issues des abonnements d’autres clients. Si vous sélectionnez cette option, vérifiez que votre connexion et vos autorisations utilisateur limitent l’accès aux seuls utilisateurs autorisés.

Autorisations

Pour pouvoir créer et gérer des règles de pare-feu IP pour Azure SQL Server, vous devez être :

Créer et gérer des règles de pare-feu IP

Vous devez créer le premier paramètre de pare-feu au niveau du serveur à l’aide du portail Azure ou par programmation avec Azure PowerShell, l’interface de ligne de commande Azure ou une API REST Azure. Vous pouvez utiliser ces méthodes ou Transact-SQL pour créer et gérer d’autres règles de pare-feu IP au niveau du serveur.

Important

Les règles de pare-feu IP au niveau de la base de données peuvent être créées et gérées seulement avec Transact-SQL.

Pour améliorer les performances, les règles de pare-feu IP au niveau du serveur sont temporairement mises en cache au niveau de la base de données. Pour actualiser le cache, consultez DBCC FLUSHAUTHCACHE.

Conseil

Vous pouvez utiliser l'Audit de la base de données pour vérifier des modifications de pare-feu au niveau serveur et au niveau base de données.

Gérer des règles de pare-feu IP au niveau du serveur avec le portail Azure

Pour définir une règle de pare-feu IP au niveau du serveur sur le portail Azure, accédez à la page de présentation de votre base de données ou de votre serveur.

Conseil

Pour accéder à un tutoriel, consultez Créer une base de données à l'aide du portail Azure.

À partir de la page de présentation de la base de données

  1. Pour définir une règle de pare-feu IP au niveau du serveur à partir de la page de présentation de la base de données, cliquez sur Définir le pare-feu du serveur dans la barre d’outils comme illustré dans l’image suivante.

    Screenshot of the set server firewall setting in the Azure portal.

    La page Mise en réseau du serveur s’ouvre.

  2. Ajoutez une règle dans la section Règles de pare-feu pour ajouter l’adresse IP de l’ordinateur que vous utilisez, puis sélectionnez Enregistrer. Une règle de pare-feu IP au niveau du serveur est créée pour votre adresse IP actuelle.

    Screenshot shows the Networking page where you can set the server-level IP firewall rules.

À partir de la page de présentation du serveur

La page de présentation de votre serveur s’ouvre. Elle affiche le nom de serveur complet (tel que mynewserver20170403.database.windows.net) et fournit des options permettant de poursuivre la configuration.

  1. Pour définir une règle au niveau du serveur à partir de cette page, sélectionnez Mise en réseau dans le menu Paramètres à gauche.

  2. Ajoutez une règle dans la section Règles de pare-feu pour ajouter l’adresse IP de l’ordinateur que vous utilisez, puis sélectionnez Enregistrer. Une règle de pare-feu IP au niveau du serveur est créée pour votre adresse IP actuelle.

Gérer des règles de pare-feu IP avec Transact-SQL

Vue de catalogue ou procédure stockée Level Description
sys.firewall_rules Serveur Affiche les règles de pare-feu IP au niveau du serveur actuelles
sp_set_firewall_rule Serveur Crée ou met à jour les règles de pare-feu IP au niveau du serveur
sp_delete_firewall_rule Serveur Supprime des règles de pare-feu IP au niveau du serveur
sys.database_firewall_rules Base de données Affiche les règles de pare-feu IP actuelles au niveau de la base de données
sp_set_database_firewall_rule Base de données Crée ou met à jour les règles de pare-feu IP au niveau de la base de données
sp_delete_database_firewall_rule Bases de données Supprime des règles de pare-feu IP au niveau de la base de données

L’exemple suivant examine les règles existantes, active une plage d’adresses IP sur le serveur Contoso et supprime une règle de pare-feu IP :

SELECT * FROM sys.firewall_rules ORDER BY name;

Ensuite, ils ajoutent une règle de pare-feu IP au niveau du serveur.

EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
   @start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'

Pour supprimer une règle de pare-feu IP au niveau du serveur, exécutez la procédure stockée sp_delete_firewall_rule. L’exemple suivant supprime la règle ContosoFirewallRule :

EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'

Gérer des règles de pare-feu IP au niveau du serveur avec PowerShell

Notes

Cet article utilise le module Azure Az PowerShell, qui est le module PowerShell recommandé pour interagir avec Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Important

Le module PowerShell Azure Resource Manager est toujours pris en charge par Azure SQL Database, mais tous les développements sont désormais destinés au module Az.Sql. Pour ces cmdlets, voir AzureRM.Sql. Les arguments des commandes dans les modules Az et AzureRm sont sensiblement identiques.

Applet de commande Level Description
Get-AzSqlServerFirewallRule Serveur Retourne les règles de pare-feu au niveau du serveur actuelles
New-AzSqlServerFirewallRule Serveur Crée une règle de pare-feu au niveau du serveur
Set-AzSqlServerFirewallRule Serveur Met à jour les propriétés d’une règle de pare-feu au niveau du serveur existante
Remove-AzSqlServerFirewallRule Serveur Supprime des règles de pare-feu au niveau du serveur

L’exemple suivant définit une règle de pare-feu IP au niveau du serveur à l’aide de PowerShell :

New-AzSqlServerFirewallRule -ResourceGroupName "myResourceGroup" `
    -ServerName $servername `
    -FirewallRuleName "ContosoIPRange" -StartIpAddress "192.168.1.0" -EndIpAddress "192.168.1.255"

Conseil

Pour $servername, spécifiez le nom du serveur et non le nom DNS complet. Par exemple, spécifiez mysqldbserver au lieu de mysqldbserver.database.windows.net

Pour obtenir des exemples PowerShell dans le contexte d'un démarrage rapide, consultez Créer une base de données - PowerShell et Utiliser PowerShell pour créer une base de données unique et configurer une règle de pare-feu IP au niveau du serveur.

Gérer des règles de pare-feu IP au niveau du serveur avec l’interface de ligne de commande

Applet de commande Level Description
az sql server firewall-rule create Serveur Crée une règle de pare-feu IP de serveur
az sql server firewall-rule list Serveur Liste les règles de pare-feu IP sur un serveur
az sql server firewall-rule show Serveur Affiche les détails d’une règle de pare-feu IP
az sql server firewall-rule update Serveur Met à jour une règle de pare-feu IP
az sql server firewall-rule delete Serveur Supprime une règle de pare-feu IP

L’exemple suivant définit une règle de pare-feu IP au niveau du serveur à l’aide de l’interface de ligne de commande :

az sql server firewall-rule create --resource-group myResourceGroup --server $servername \
-n ContosoIPRange --start-ip-address 192.168.1.0 --end-ip-address 192.168.1.255

Conseil

Pour $servername, spécifiez le nom du serveur et non le nom DNS complet. Par exemple, utilisez mysqldbserver au lieu de mysqldbserver.database.windows.net.

Pour obtenir un exemple basé sur l'interface de ligne de commande dans le contexte d'un démarrage rapide, consultez Créer une base de données - Azure CLI et Utiliser Azure CLI pour créer une base de données unique et configurer une règle de pare-feu IP au niveau du serveur.

Pour Azure Synapse Analytics, reportez-vous aux exemples suivants :

Applet de commande Level Description
az synapse workspace firewall-rule create Serveur Créer une règle de pare-feu
az synapse workspace firewall-rule delete Serveur Supprimer une règle de pare-feu
az synapse workspace firewall-rule list Serveur Répertorier toutes les règles de pare-feu
az synapse workspace firewall-rule show Serveur Obtenir une règle de pare-feu
az synapse workspace firewall-rule update Serveur Mettre à jour une règle de pare-feu
az synapse workspace firewall-rule wait Serveur Placer l’interface CLI dans un état d’attente jusqu’à ce qu’une condition de règle de pare-feu soit remplie

L’exemple suivant définit une règle de pare-feu IP au niveau serveur dans Azure Synapse à l’aide de l’interface CLI :

az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0

Gérer des règles de pare-feu IP au niveau du serveur avec une API REST

API Level Description
Règles de pare-feu - List by Server Serveur Affiche les règles de pare-feu IP au niveau du serveur actuelles
Règles de pare-feu - Create ou Update Serveur Crée ou met à jour les règles de pare-feu IP au niveau du serveur
Règles de pare-feu - Delete Serveur Supprime des règles de pare-feu IP au niveau du serveur
Règles de pare-feu - Get Serveur Obtient les règles de pare-feu IP au niveau du serveur

Résoudre les problèmes liés au pare-feu de base de données

Tenez compte des points suivants lorsque l'accès à Azure SQL Database est anormal.

  • Configuration du pare-feu local :

    Pour que votre ordinateur puisse accéder à Azure SQL Database, vous devez créer une exception de pare-feu sur votre ordinateur pour le port TCP 1433. Vous devrez peut-être ouvrir des ports supplémentaires pour effectuer des connexions dans la limite du cloud Azure. Pour plus d’informations, consultez la section « SQL Database : exécution externe ou exécution interne de Ports au-delà de 1433 pour ADO.NET 4.5 et Azure SQL Database.

  • Traduction d’adresses réseau :

    En raison du protocole de traduction d'adresses réseau (NAT, network address translation), l'adresse IP utilisée par votre ordinateur pour se connecter à Azure SQL Database peut être différente de celle indiquée dans les paramètres de configuration IP de votre ordinateur. Pour voir l’adresse IP utilisée par votre ordinateur pour se connecter à Azure :

    1. Connectez-vous au portail.
    2. Accédez à l’onglet Configurer du serveur qui héberge votre base de données.
    3. L’adresse IP du client actif s’affiche dans la section Adresses IP autorisées. Sélectionnez Ajouter sous Adresses IP autorisées pour que cet ordinateur puisse accéder au serveur.
  • Les modifications apportées à la liste verte n’ont pas encore été prises en compte :

    Cinq minutes peuvent s'écouler avant que les modifications apportées à la configuration du pare-feu Azure SQL Database soient prises en compte.

  • La connexion n’est pas autorisée ou un mot de passe incorrect a été utilisé :

    Si une connexion n'a pas d'autorisations sur le serveur ou que le mot de passe est incorrect, la connexion au serveur est refusée. La création d’un paramètre de pare-feu permet uniquement aux clients d’essayer de se connecter à votre serveur. Ils doivent toujours fournir les informations d’identification de sécurité nécessaires. Pour plus d'informations sur la préparation des connexions, consultez Contrôle et octroi de l'accès à la base de données.

  • Adresse IP dynamique :

    Si votre connexion Internet utilise un adressage IP dynamique et que le pare-feu demeure infranchissable, essayez l’une des solutions suivantes :

    • Demandez à votre fournisseur de services Internet la plage d'adresses IP attribuée aux ordinateurs clients qui accèdent au serveur. Ajoutez cette plage d’adresses IP en tant que règle de pare-feu IP.
    • Récupérez plutôt l’adressage IP statique pour vos ordinateurs clients. Ajoutez les adresses IP en tant que règles de pare-feu IP.

Étapes suivantes