Choisir comment autoriser l’accès à des données de blobs dans le portail Azure

  • Article

Lorsque vous accédez aux données d’objet blob à l’aide du Portail Azure, le portail fait des requêtes à Azure Storage en arrière-plan. Une requête au stockage Azure peut être autorisée à l’aide de votre compte Microsoft Entra ou de la clé d’accès au compte de stockage. Le portail indique quelle méthode vous utilisez et vous permet de basculer entre les deux si vous disposez des autorisations appropriées.

Vous pouvez également préciser de quelle manière une opération individuelle de chargement d'objets blob doit être autorisée sur le portail Azure. Par défaut, le portail applique la méthode que vous utilisez déjà pour autoriser une opération de chargement d'objets blob, mais vous pouvez modifier ce paramètre au moment du chargement d'un objet blob.

Autorisations nécessaires pour accéder aux données d’objet blob

Selon la façon dont vous souhaitez autoriser l’accès aux données blob dans le portail Azure, vous devrez disposer d’autorisations particulières. Dans la plupart des cas, ces autorisations sont fournies via le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Pour plus d’informations sur Azure RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?

Utiliser la clé d'accès au compte

Pour accéder aux données de blob avec la clé d’accès au compte, vous devez disposer d’un rôle Azure qui vous est attribué et qui inclut l’action Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Ce rôle Azure peut être intégré ou il peut s’agir d’un rôle personnalisé. Les rôles intégrés qui prennent en charge Microsoft.Storage/storageAccounts/listkeys/action incluent les suivants, dans l’ordre croissant des autorisations :

Lorsque vous tentez d’accéder aux données d’objet blob dans le Portail Microsoft Azure, le portail commence par vérifier si un rôle RBAC vous a été attribué avec Microsoft.Storage/storageAccounts/listkeys/action. Si un rôle avec cette action vous a été attribué, le portail utilise la clé de compte pour l’accès aux données d’objet blob. Si un rôle avec cette action ne vous a pas été attribué, le portail tente d’accéder aux données à l’aide de votre compte Microsoft Entra.

Important

Quand un compte de stockage est verrouillé à l’aide d’un verrou ReadOnly Azure Resource Manager, l’opération Répertorier les clés n’est pas autorisée pour ce compte de stockage. Répertorier les clés est une opération POST, et toutes les opérations POST sont empêchées lorsqu’un verrou ReadOnly est configuré pour le compte. Pour cette raison, lorsque le compte est verrouillé avec un verrou ReadOnly, les utilisateurs doivent utiliser des informations d’identification Microsoft Entra pour accéder aux données de blob dans le portail. Pour plus d’informations sur l’accès aux données blob dans le portail avec Microsoft Entra ID, consultez Utiliser votre compte Microsoft Entra.

Remarque

Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire inclut toutes les actions, y compris Microsoft.Storage/storageAccounts/listkeys/action, pour qu’un utilisateur avec l’un de ces rôles d’administration puisse accéder également aux données d’objet blob avec la clé de compte. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.

Utiliser votre compte Microsoft Entra

Pour accéder aux données blob à partir du portail Azure en utilisant votre compte Microsoft Entra, ces deux instructions doivent être vraies pour vous :

  • Un rôle intégré ou personnalisé qui fournit l’accès aux données d’objet blob vous a été attribué.
  • Le rôle Lecteur Azure Resource Manager vous a été attribué, au moins, limité au niveau du compte de stockage ou à un niveau supérieur. Le rôle Lecteur octroie les autorisations les plus restreintes, mais l’utilisation d’un autre rôle Azure Resource Manager accordant l’accès aux ressources de gestion de compte de stockage est également acceptable.

Le rôle Lecteur est un rôle d’Azure Resource Manager qui permet aux utilisateurs d’afficher les ressources de compte de stockage, mais pas de les modifier. Il ne fournit pas d’autorisations en lecture pour les données dans Stockage Azure, mais uniquement pour les ressources de gestion de compte. Le rôle Lecteur est nécessaire pour que les utilisateurs puissent accéder aux conteneurs d’objets blob du portail Azure.

Pour plus d’informations sur les rôles intégrés qui prennent en charge l’accès aux données blob, consultez Autoriser l’accès aux objets blob avec Microsoft Entra ID.

Les rôles personnalisés peuvent prendre en charge différentes combinaisons des mêmes autorisations fournies par les rôles intégrés. Pour plus d’informations sur la création de rôles Azure personnalisés, consultez Rôles personnalisés Azure et Présentation des définitions de rôles pour les ressources Azure.

Pour afficher les données d’objet blob sur le portail, accédez à la Vue d’ensemble pour votre compte de stockage, puis cliquez sur les liens pour Objet blob. Vous pouvez également naviguer jusqu’à la section Conteneurs dans le menu.

Screenshot showing how to navigate to blob data in the Azure portal

Déterminer la méthode d’authentification actuelle

Lorsque vous accédez à un conteneur, le portail Azure indique si vous utilisez actuellement la clé d’accès au compte ou votre compte Microsoft Entra pour vous authentifier.

S'authentifier à l'aide de la clé d'accès au compte

Si vous vous authentifiez à l’aide de la clé d’accès au compte, vous verrez la méthode Clé d’accès spécifiée comme méthode d’authentification dans le portail :

Screenshot showing user currently accessing containers with the account key

Pour passer à l’utilisation du compte Microsoft Entra, cliquez sur le lien mis en surbrillance dans l’image. Si vous disposez des autorisations appropriées via les rôles Azure qui vous sont attribués, vous pourrez poursuivre. Toutefois, si vous n’avez pas les autorisations appropriées, vous verrez un message d’erreur semblable à celui-ci :

Error shown if Microsoft Entra account does not support access

Notez qu’aucun objet blob n’apparaît dans la liste si votre compte Microsoft Entra ne dispose pas des autorisations pour les afficher. Cliquez sur le lien Basculer sur clé d’accès pour utiliser à nouveau la clé d’accès pour l’authentification.

S’authentifier avec son compte Microsoft Entra

Si vous vous authentifiez à l’aide de votre compte Microsoft Entra, vous verrez Compte d’utilisateur Microsoft Entra spécifié comme méthode d’authentification dans le portail :

Screenshot showing user currently accessing containers with Microsoft Entra account

Pour passer à l’utilisation d’une clé d’accès au compte, cliquez sur le lien mis en surbrillance dans l’image. Si vous avez accès à la clé de compte, vous pourrez poursuivre. Toutefois, si vous n’avez pas accès à la clé de compte, vous verrez un message d’erreur semblable à celui-ci :

Error shown if you do not have access to account key

Notez qu’aucun objet blob n’apparaît dans la liste si vous n’avez pas accès aux clés de compte. Cliquez sur le lien Basculer sur Compte d’utilisateur Microsoft Entra pour utiliser votre compte Microsoft Entra pour vous authentifier à nouveau.

Spécifier comment autoriser une opération de chargement d'objets blob

Lorsque vous chargez un objet blob à partir du portail Azure, vous pouvez spécifier si cette opération doit être authentifiée et autorisée à l'aide de la clé d'accès au compte ou de vos informations d'identification Microsoft Entra. Par défaut, le portail utilise la méthode d'authentification actuelle, comme indiqué dans Déterminer la méthode d'authentification actuelle.

Pour spécifier comment autoriser une opération de chargement d'objets blob, procédez comme suit :

  1. Sur le portail Azure, accédez au conteneur dans lequel vous souhaitez charger un objet blob.

  2. Cliquez sur le bouton Charger.

  3. Développez la section Avancé pour afficher les propriétés avancées de l'objet blob.

  4. Dans le champ Type d'authentification, indiquez si vous souhaitez autoriser l'opération de chargement à l'aide de votre compte Microsoft Entra ou de la clé d'accès au compte, comme illustré ci-dessous :

    Screenshot showing how to change authorization method on blob upload

Autorisation Microsoft Entra par défaut dans le portail Azure

Quand vous créez un compte de stockage, vous pouvez spécifier que l’autorisation par défaut du portail Azure est Microsoft Entra ID lorsqu’un utilisateur navigue vers des données blob. Vous pouvez également configurer ce paramètre pour un compte de stockage existant. Ce paramètre spécifie uniquement la méthode d’autorisation par défaut. N’oubliez pas qu’un utilisateur peut remplacer ce paramètre et choisir d’autoriser l’accès aux données avec la clé de compte.

Pour indiquer que le portail doit utiliser l’autorisation Microsoft Entra par défaut pour accéder aux données quand vous créez un compte de stockage, procédez comme suit :

  1. Créez un compte de stockage en suivant les instructions de la section Créer un compte de stockage.

  2. Dans l’onglet Avancé, dans la section Sécurité, cochez la case à côté de Autorisation Microsoft Entra par défaut dans le portail Azure.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account

  3. Sélectionnez le bouton Vérifier + Créer pour exécuter la validation et créer le compte.

Pour mettre à jour ce paramètre pour un compte de stockage existant, effectuez les étapes suivantes :

  1. Accédez à la vue d’ensemble du compte dans le portail Azure.

  2. Sous Paramètres, sélectionnez Configuration.

  3. Définissez Autorisation Microsoft Entra par défaut dans le portail Azure sur Activée.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account

La propriété defaultToOAuthAuthentication d’un compte de stockage n’est pas définie par défaut, et ne retourne pas de valeur tant que vous ne l’avez pas définie explicitement.

Étapes suivantes