Configurer des pare-feux et des réseaux virtuels dans Stockage Azure

Stockage Azure fournit un modèle de sécurité en couche. Ce modèle vous permet de sécuriser et de contrôler le niveau d’accès à vos comptes de stockage selon les exigences de vos applications et environnements d’entreprise, en fonction du type et du sous-ensemble de réseaux ou de ressources utilisés. Quand des règles de réseau sont configurées, seules les applications demandant des données sur l’ensemble de réseaux spécifié ou via l’ensemble de ressources Azure spécifié peuvent accéder à un compte de stockage. Vous pouvez limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP spécifiées, de plages d’adresses IP, de sous-réseaux dans un réseau virtuel Azure (VNet) ou d’instances de ressource de certains services Azure.

Les comptes de stockage ont un point de terminaison public accessible via Internet. Vous pouvez également créer des points de terminaison privés pour votre compte de stockage, afin d’attribuer une adresse IP privée de votre réseau virtuel au compte de stockage, et de sécuriser tout le trafic entre votre réseau virtuel et le compte de stockage via un lien privé. Le pare-feu de stockage Azure fournit un contrôle d’accès pour le point de terminaison public de votre compte de stockage. Vous pouvez également utiliser ce pare-feu pour bloquer tout accès via le point de terminaison public quand des points de terminaison privés sont utilisés. La configuration de votre pare-feu de stockage permet aussi de sélectionner des services approuvés de la plateforme Azure pour accéder au compte de stockage de manière sécurisée.

Une application qui accède à un compte de stockage alors que des règles de réseau sont toujours activées requiert une autorisation appropriée pour la demande. L’autorisation est prise en charge avec les informations d’identification Azure Active Directory (Azure AD) pour les objets blob et les files d’attente, avec une clé d’accès de compte valide ou un jeton SAS. Quand un conteneur d’objets blob est configuré pour un accès public anonyme, il n’est pas nécessaire que les demandes de lecture des données dans ce conteneur soient autorisées, mais les règles de pare-feu restent en vigueur et bloquent le trafic anonyme.

Important

L’activation des règles de pare-feu pour votre compte de stockage bloque les demandes entrantes pour les données par défaut, sauf si les demandes proviennent d’un service qui fonctionne au sein d’un réseau virtuel (VNet) Azure ou à partir d’adresses IP publiques autorisées. Les demandes qui sont bloquées comprennent les demandes émanant d’autres services Azure, du portail Azure, des services de journalisation et de métriques, etc.

Vous pouvez accorder l’accès aux services Azure qui fonctionnent à partir d’un réseau virtuel en autorisant le trafic en provenance du sous-réseau hébergeant l’instance de service. Vous pouvez également activer un nombre limité de scénarios via le mécanisme d’exceptions décrit ci-dessous. Pour accéder aux données du compte de stockage via le portail Azure, vous devez utiliser un ordinateur qui se trouve dans la limite de confiance (IP ou réseau virtuel) que vous avez définie.

Notes

Pour interagir avec Azure, le module PowerShell Azure Az est recommandé. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Scénarios

Pour sécuriser votre compte de stockage, vous devez commencer par configurer une règle pour refuser l’accès au trafic de tous les réseaux (y compris le trafic Internet) sur le point de terminaison public, par défaut. Ensuite, vous devez configurer des règles qui autorisent l’accès au trafic en provenance de réseaux virtuels spécifiques. Vous pouvez également configurer des règles pour accorder l’accès au trafic en provenance de plages d’adresses IP Internet publiques sélectionnées, en autorisant des connexions à partir de clients Internet ou locaux spécifiques. Cette configuration vous permet de créer une limite de réseau sécurisée pour vos applications.

Vous pouvez combiner des règles de pare-feu qui autorisent l’accès à partir de réseaux virtuels spécifiques et de plages d’adresses IP publiques sur le même compte de stockage. Les règles de pare-feu de stockage peuvent être appliquées aux comptes de stockage existants ou à la création de comptes de stockage.

Les règles de pare-feu de stockage s’appliquent au point de terminaison public d’un compte de stockage. Vous n’avez pas besoin de règles d’accès de pare-feu pour autoriser le trafic via les points de terminaison privés d’un compte de stockage. Le processus d’approbation de la création d’un point de terminaison privé accorde un accès implicite au trafic à partir du sous-réseau qui héberge le point de terminaison privé.

Les règles de réseau sont appliquées sur tous les protocoles réseau pour le stockage Azure, notamment REST et SMB. Pour accéder aux données avec des outils tels que le portail Azure, Explorateur Stockage et AzCopy, vous devez configurer des règles de réseau explicites.

Une fois appliquées, les règles de réseau concernent toutes les demandes. Les jetons SAS qui accordent l’accès à une adresse IP spécifique servent à limiter l’accès du détenteur du jeton, mais n’accordent pas d’accès au-delà des règles de réseau configurées.

Le trafic des disques de machine virtuelle (notamment les opérations de montage et démontage et les E/S de disque) n’est pas affecté par les règles de réseau. L’accès REST aux objets blob de pages est protégé par les règles de réseau.

Les comptes de stockage Classic ne prennent pas en charge les pare-feux et les réseaux virtuels.

Vous pouvez utiliser des disques non managés dans les comptes de stockage avec des règles de réseau appliquées à la sauvegarde et la restauration de machines virtuelles en créant une exception. Ce processus est décrit dans la section Gérer les exceptions de cet article. Les exceptions de pare-feu ne sont pas applicables avec disques managés dans la mesure où ils sont déjà managés par Azure.

Changer la règle d’accès réseau par défaut

Par défaut, les comptes de stockage acceptent les connexions des clients sur n’importe quel réseau. Vous pouvez limiter l’accès aux réseaux sélectionnés ou empêcher le trafic provenant de tous les réseaux et autoriser l’accès uniquement via un point de terminaison privé.

Avertissement

La modification de ce paramètre peut impacter la capacité de votre application à se connecter au Stockage Azure. Veillez à accorder l’accès à tous les réseaux autorisés ou à configurer l’accès via un point de terminaison privé avant de modifier ce paramètre.

  1. Accédez au compte de stockage à sécuriser.

  2. Localisez les paramètres Mise en réseau sous Sécurité + mise en réseau.

  3. Choisissez le type d’accès réseau public que vous souhaitez autoriser.

    • Pour autoriser le trafic provenant de tous les réseaux, sélectionnez Activé à partir de tous les réseaux.

    • Pour autoriser le trafic uniquement provenant de réseaux virtuels spécifiques, sélectionnez Activé à partir de réseaux virtuels et d’adresses IP sélectionnés.

    • Pour bloquer le trafic à partir de tous les réseaux, sélectionnez Désactivé.

  4. Sélectionnez Enregistrer pour enregistrer vos modifications.

Accorder l’accès à partir d’un réseau virtuel

Vous pouvez configurer des comptes de stockage pour autoriser l’accès uniquement à partir de sous-réseaux spécifiques. Les sous-réseaux autorisés peuvent appartenir à un réseau virtuel dans le même abonnement ou dans un autre abonnement, y compris dans un abonnement appartenant à un autre locataire Azure Active Directory.

Vous pouvez activer un point de terminaison de service pour Stockage Azure dans le réseau virtuel. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande. Les administrateurs peuvent ensuite configurer des règles de réseau pour le compte de stockage qui autorisent la réception des demandes à partir de sous-réseaux spécifiques d’un réseau virtuel. Les clients qui obtiennent un accès par le biais de ces règles de réseau doivent continuer à respecter les exigences d’autorisation du compte de stockage pour accéder aux données.

Chaque compte de stockage prend en charge jusqu’à 200 règles de réseau virtuel qui peuvent être combinées avec des règles de réseau IP.

Important

Si vous supprimez un sous-réseau qui a été inclus dans une règle réseau, il sera supprimé des règles réseau pour le compte de stockage. Si vous créez un sous-réseau portant le même nom, il n’aura pas accès au compte de stockage. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du compte de stockage.

Autorisations requises

Pour appliquer une règle de réseau virtuel à un compte de stockage, l’utilisateur doit disposer des autorisations appropriées pour les sous-réseaux à ajouter. L’application de cette règle peut être effectuée par un Contributeur de compte de stockage ou un utilisateur ayant reçu l’autorisation d’accès à l’opération du fournisseur de ressources AzureMicrosoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action via un rôle Azure personnalisé.

Le compte de stockage et les réseaux virtuels auxquels l’accès est accordé peuvent se trouver dans des abonnements différents, y compris des abonnements appartenant à un autre locataire Azure AD.

Notes

La configuration de règles qui accordent l’accès à des sous-réseaux de réseaux virtuels qui font partie d’un autre locataire Azure Active Directory n’est actuellement possible que via PowerShell, l’interface de ligne de commande et des API REST. S’il est possible de consulter ces règles sur le portail Azure, il est impossible de les y configurer.

Régions de réseau virtuel disponibles

Par défaut, les points de terminaison de service fonctionnent entre les réseaux virtuels et les instances de service d’une même région Azure. Lors de l’utilisation de points de terminaison de service avec Stockage Azure, les points de terminaison de service fonctionnent également entre les réseaux virtuels et les instances de service dans une région appairée. Si vous voulez utiliser un point de terminaison de service pour accorder l’accès à des réseaux virtuels dans d’autres régions, vous devez inscrire la fonctionnalité AllowGlobalTagsForStorage dans l’abonnement du réseau virtuel. Pour le moment, cette fonctionnalité est disponible dans la version préliminaire publique.

Les points de terminaison de service permettent une continuité des activités pendant un basculement régional ainsi qu’un accès sans interruption aux instances de stockage géoredondantes en lecture seule (RA-GRS). Les règles de réseau qui autorisent l’accès à un compte de stockage à partir d’un réseau virtuel accordent également l’accès à toutes les instances RA-GRS.

Quand vous planifiez une récupération d’urgence en cas de panne régionale, vous devez créer les réseaux virtuels à l’avance dans la région jumelée. Activez les points de terminaison de service pour le Stockage Azure, avec des règles de réseau accordant l’accès à partir de ces réseaux virtuels alternatifs. Appliquez ensuite ces règles à vos comptes de stockage géoredondants.

Activation de l’accès à des réseaux virtuels dans d’autres régions (préversion)

Important

Cette capacité est actuellement disponible en PRÉVERSION.

Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Pour activer l’accès à partir d’un réseau virtuel situé dans une autre région via des points de terminaison de service, inscrivez la fonctionnalité AllowGlobalTagsForStorage dans l’abonnement du réseau virtuel. Tous les sous-réseaux de l’abonnement dont la fonctionnalité AllowedGlobalTagsForStorage est activée n’utilisent plus d’adresse IP publique pour communiquer avec n’importe quel compte de stockage. Au lieu de cela, tout le trafic de ces sous-réseaux vers les comptes de stockage utilisera une adresse IP privée comme adresse IP source. Par conséquent, tous les comptes de stockage qui utilisent des règles de réseau IP pour autoriser le trafic à partir de ces sous-réseaux n’ont plus d’effet.

Notes

Pour mettre à jour les points de terminaison de service existants pour accéder à un compte de stockage dans une autre région, effectuez une opération de mise à jour de sous-réseau sur le sous-réseau après avoir inscrit l’abonnement auprès de la fonctionnalité AllowGlobalTagsForStorage. De même, pour revenir à l’ancienne configuration, effectuez une opération de mise à jour de sous-réseau après avoir désinscrit l’abonnement avec la fonctionnalité AllowGlobalTagsForStorage.

Pendant la préversion, vous devez utiliser soit PowerShell, soit Azure CLI pour activer cette fonctionnalité.

Gestion des règles de réseau virtuel

Vous pouvez gérer les règles de réseau virtuel pour les comptes de stockage via le portail Azure, PowerShell ou CLIv2.

Notes

Si vous avez inscrit la fonctionnalité AllowGlobalTagsForStorage et que vous voulez activer l’accès à votre compte de stockage à partir d’un réseau virtuel/sous-réseau dans un autre locataire Azure AD ou dans une région autre que celle du compte de stockage ou de sa région appairée, vous devez utiliser PowerShell ou Azure CLI. Le portail Azure n’affiche pas les sous-réseaux dans d’autres locataires Azure AD ou dans des régions autres que la région du compte de stockage ou sa région appairée, et ne peut donc pas être utilisé pour configurer des règles d’accès pour les réseaux virtuels dans d’autres régions.

  1. Accédez au compte de stockage à sécuriser.

  2. Sélectionnez le menu des paramètres appelé Mise en réseau.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.

  4. Pour accorder l’accès à un réseau virtuel avec une nouvelle règle de réseau, sous Réseaux virtuels, sélectionnez Ajouter un réseau virtuel existant, sélectionnez les options Réseaux virtuels et Sous-réseaux, puis sélectionnez Ajouter. Pour créer un réseau virtuel et lui accorder l’accès, sélectionnez Ajouter un nouveau réseau virtuel. Fournissez les informations nécessaires pour créer le nouveau réseau virtuel, puis sélectionnez Créer.

    Notes

    Si un point de terminaison de service pour le stockage Azure n’a pas déjà été configuré pour le réseau virtuel et les sous-réseaux sélectionnés, vous pouvez le configurer dans le cadre de cette opération.

    Actuellement, seuls des réseaux virtuels appartenant à un même locataire Azure Active Directory s’affichent pour sélection lors de la création d’une règle. Pour accorder l’accès à un sous-réseau d’un réseau virtuel appartenant à un autre locataire, utilisez PowerShell, l’interface de ligne de commande ou des API REST.

    Même si vous avez inscrit la fonctionnalité AllowGlobalTagsForStorageOnly, les sous-réseaux des régions autres que la région du compte de stockage ou sa région appairée ne sont pas affichés pour la sélection. Si vous voulez activer l’accès à votre compte de stockage à partir d’un réseau virtuel/sous-réseau se trouver dans une autre région, utilisez les instructions des onglets PowerShell ou Azure CLI.

  5. Pour supprimer une règle de réseau ou sous-réseau virtuel, sélectionnez ... pour ouvrir le menu contextuel du réseau ou sous-réseau virtuel, puis sélectionnez Supprimer.

  6. Sélectionnez Enregistrer pour appliquer vos modifications.

Accorder l’accès à partir d’une plage d’adresses IP Internet

Vous pouvez utiliser des règles réseau IP pour autoriser l’accès à partir des plages d'adresses IP de l’internet public en créant des règles de réseau IP. Chaque compte de stockage prend en charge jusqu’à 200 règles. Ces règles donnent l’accès à des services Internet et des réseaux locaux spécifiques et bloquent le trafic Internet général.

Les restrictions suivantes s’appliquent aux plages d’adresses IP.

  • Les règles de réseau IP sont autorisées uniquement pour les adresses IP de l’internet public.

    Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP. Les réseaux privés incluent des adresses qui commencent par 10.**, 172.16. à *172.31. et *192.168.

  • Vous devez fournir des plages d’adresses Internet autorisées à l’aide de la notation CIDR sous la forme 16.17.18.0/24 ou sous la forme d’adresses IP individuelles de type 16.17.18.19.

  • Les petites plages d’adresses qui utilisent les tailles de préfixe « /31 » ou « /32 » ne sont pas prises en charge. Ces plages doivent être configurées à l’aide des règles d’adresses IP individuelles.

  • Seules les adresses IPV4 sont prises en charge dans la configuration des règles de pare-feu de stockage.

Les règles de réseau IP ne peuvent pas être utilisées dans les cas suivants :

  • Pour restreindre l’accès aux clients situés dans la même région Azure que le compte de stockage.

    Les règles de réseau IP n’ont aucun effet sur les requêtes provenant de la même région Azure que le compte de stockage. Utilisez des règles de réseau virtuel pour autoriser les requêtes de même région.

  • Pour restreindre l’accès aux clients dans une région jumelée qui se trouvent dans un réseau virtuel doté d’un point de terminaison de service.

  • Pour restreindre l’accès aux services Azure déployés dans la même région que le compte de stockage.

    Les services déployés dans la même région que le compte de stockage utilisent des adresses IP Azure privées pour la communication. Vous ne pouvez donc pas restreindre l’accès à des services Azure spécifiques en fonction de leur plage d’adresses IP sortantes publiques.

Configuration de l’accès à partir de réseaux locaux

Pour accorder l’accès à votre compte de stockage à partir de réseaux locaux avec une règle de réseau IP, vous devez identifier les adresses IP Internet utilisées par votre réseau. Contactez votre administrateur réseau pour obtenir de l’aide.

Si vous utilisez ExpressRoute localement, pour le Peering public ou Microsoft, vous devez identifier les adresses IP NAT (traduction d’adresses réseau) utilisées. Pour le peering public, chaque circuit ExpressRoute utilise par défaut deux adresses IP NAT qui sont appliquées au trafic de service Azure lorsque le trafic entre dans le réseau principal de Microsoft Azure. Pour le peering Microsoft, les adresses IP NAT utilisées sont fournies par le client ou par le fournisseur du service. Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu IP de ressource. Pour trouver les adresses IP de votre circuit ExpressRoute de peering public, ouvrez un ticket de support avec ExpressRoute via le portail Azure. Découvrez d’autres informations sur le peering public et Microsoft NAT pour ExpressRoute.

Gestion des règles de réseau IP

Vous pouvez gérer les règles de réseau IP pour les comptes de stockage via le portail Azure, PowerShell ou CLIv2.

  1. Accédez au compte de stockage à sécuriser.

  2. Sélectionnez le menu des paramètres appelé Mise en réseau.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.

  4. Pour accorder l’accès à une plage d’adresses IP Internet, entrez l’adresse IP ou la plage d’adresses IP (au format CIDR) sous Pare-feu>Plages d’adresses.

  5. Pour supprimer une règle de réseau IP, sélectionnez l’icône Corbeille à côté de la plage d’adresses.

  6. Sélectionnez Enregistrer pour enregistrer vos modifications.

Accorder l’accès à partir d’instances de ressource Azure

Dans certains cas, une application peut dépendre de ressources Azure qui ne peuvent pas être isolées par le biais d’une règle de réseau virtuel ou d’adresse IP. Toutefois, vous souhaitez toujours sécuriser et limiter l’accès au compte de stockage aux seules ressources Azure de votre application. Vous pouvez configurer les comptes de stockage pour permettre l’accès à des instances de ressource spécifiques de certains services Azure en créant une règle d’instance de ressource.

Les types d’opérations qu’une instance de ressource peut effectuer sur les données du compte de stockage sont déterminés par les attributions de rôle Azure de l’instance de ressource. Les instances de ressource doivent provenir du même locataire que votre compte de stockage, mais elles peuvent appartenir à n’importe quel abonnement dans le locataire.

Vous pouvez ajouter ou supprimer des règles de réseau de ressources dans le portail Azure.

  1. Pour commencer, connectez-vous au portail Azure.

  2. Recherchez votre compte de stockage et affichez la vue d’ensemble du compte.

  3. Sélectionnez Mise en réseau pour afficher la page de configuration de la mise en réseau.

  4. Sous Pare-feux et réseaux virtuels, pour Réseaux sélectionnés, sélectionnez Autoriser l’accès.

  5. Faites défiler la page vers le bas pour trouver Instances de ressources et, dans la liste déroulante Type de ressource, choisissez le type de ressource de votre instance de ressource.

  6. Dans la liste déroulante Nom de l’instance, choisissez l’instance de ressource. Vous pouvez également choisir d’inclure toutes les instances de ressource dans le locataire, l’abonnement ou le groupe de ressources actif.

  7. Sélectionnez Enregistrer pour enregistrer vos modifications. L’instance de ressource s’affiche dans la section Instances de ressource de la page des paramètres réseau.

Pour supprimer l’instance de ressource, sélectionnez l’icône de suppression () à côté de l’instance de ressource.

Accorder l’accès aux services Azure approuvés

Certains services Azure fonctionnent à partir de réseaux qui ne peuvent pas être inclus dans vos règles de réseau. Vous pouvez accorder à une partie de ces services Azure approuvés l’accès au compte de stockage, mais conserver des règles de réseau pour d’autres applications. Ces services approuvés utilisent ensuite une authentification forte pour se connecter en toute sécurité à votre compte de stockage.

Vous pouvez accorder l’accès à des services Azure approuvés en créant une exception de règle de réseau. Pour obtenir des instructions pas à pas, consultez la section Gérer les exceptions de cet article.

Lorsque vous accordez l’accès à des services Azure approuvés, vous accordez les types d’accès suivants :

  • Accès approuvé pour certaines opérations aux ressources inscrites dans votre abonnement.
  • Accès approuvé aux ressources basé sur une identité managée.

Accès approuvé pour les ressources inscrites dans votre abonnement

Les ressources de certains services, quand ils sont inscrits dans votre abonnement, peuvent accéder à votre compte de stockage dans le même abonnement pour des opérations spécifiques, comme la journalisation ou la sauvegarde. Le tableau suivant décrit chaque service et les opérations autorisées.

Service Nom du fournisseur de ressources Opérations autorisées
Sauvegarde Azure Microsoft.RecoveryServices Effectuez des sauvegardes et des restaurations de disques non managés dans des machines virtuelles IAAS. (non requis pour les disques managés). Plus d’informations
Azure Data Box Microsoft.DataBox Permet l’importation des données vers Azure à l’aide de Microsoft Azure Data Box. Plus d’informations
Azure DevTest Labs Microsoft.DevTestLab Création d’une image personnalisée et installation de l’artefact. Plus d’informations
Azure Event Grid Microsoft.EventGrid Permettez la publication d’événements Stockage Blob et autorisez Event Grid à effectuer des publications dans les files d’attente de stockage. En savoir plus sur les événements Stockage Blob et la publication dans les files d’attente.
Hubs d'événements Azure Microsoft.EventHub Archivage des données avec Event Hubs Capture. En savoir plus
Azure File Sync Microsoft.StorageSync Vous permet de transformer votre serveur de fichiers local en cache pour les partages de fichiers Azure. Autoriser la synchronisation sur plusieurs sites, une récupération d’urgence rapide et une sauvegarde sur le cloud. En savoir plus
Azure HDInsight Microsoft.HDInsight Approvisionnez le contenu initial du système de fichiers par défaut pour un nouveau cluster HDInsight. Plus d’informations
Azure Import/Export Microsoft.ImportExport Permet l’importation de données dans le stockage Azure et l’exportation de données à partir du stockage Azure avec le service Import/Export du stockage Azure. Plus d’informations
Azure Monitor Microsoft.Insights Autorise l’écriture de données de supervision dans un compte de stockage sécurisé, à savoir les journaux de ressources, les journaux de connexion et d’audit Azure Active Directory et les journaux Microsoft Intune. Plus d’informations
Mise en réseau Azure Microsoft.Network Stockez et analysez les journaux du trafic réseau, notamment celui qui transite par les services Network Watcher et Traffic Analytics. Plus d’informations
Azure Site Recovery Microsoft.SiteRecovery Activez la réplication pour la reprise d’activité des machines virtuelles Azure IaaS lors de l’utilisation de comptes de stockage de cache avec pare-feu activé, de stockage source ou de stockage cible. Plus d’informations

Accès approuvé basé sur une identité managée

Le tableau suivant répertorie les services qui peuvent avoir accès aux données de votre compte de stockage si les instances de ressource de ces services reçoivent l’autorisation appropriée.

Si la fonctionnalité d’espace de noms hiérarchique n’est pas activée sur votre compte, vous pouvez accorder l’autorisation en attribuant explicitement un rôle Azure à l’identité managée de chaque instance de ressource. Dans ce cas, l’étendue de l’accès pour l’instance correspond au rôle Azure affecté à l’identité managée.

Vous pouvez utiliser la même technique pour un compte sur lequel la fonctionnalité d’espace de noms hiérarchique est activée. Toutefois, vous n’êtes pas obligé d’attribuer un rôle Azure si vous ajoutez l’identité managée à la liste de contrôle d’accès (ACL) d’un répertoire ou d’un blob contenu dans le compte de stockage. Dans ce cas, l’étendue de l’accès pour l’instance correspond au répertoire ou au fichier auquel l’identité managée a été autorisée à accéder. Vous pouvez également combiner des rôles Azure et des ACL. Pour en savoir plus sur la façon de les combiner pour accorder l’accès, consultez Modèle de contrôle d’accès dans Azure Data Lake Storage Gen2.

Conseil

La méthode recommandée pour accorder l’accès à des ressources spécifiques consiste à utiliser des règles d’instance de ressource. Pour accorder l’accès à des instances de ressource spécifiques, consultez la section Accorder l’accès à partir d’instances de ressource Azure de cet article.

Service Nom du fournisseur de ressources Objectif
Gestion des API Azure Microsoft.ApiManagement/service Active l’accès au service Gestion des API pour les comptes de stockage derrière un pare-feu à l’aide de stratégies. Plus d’informations
Cache Azure pour Redis Microsoft.Cache/Redis Autorise l’accès aux comptes de stockage par le biais d’Azure Cache pour Redis. En savoir plus
Recherche cognitive Azure Microsoft.Search/searchServices Permet aux services Recherche cognitive d’accéder aux comptes de stockage pour l’indexation, le traitement et l’interrogation.
Azure Cognitive Services Microsoft.CognitiveService/accounts Permet à Cognitive Services d’accéder à des comptes de stockage. Plus d’informations
Tâches Azure Container Registry Microsoft.ContainerRegistry/registries ACR Tasks peut accéder aux comptes de stockage lors de la génération d’images conteneur.
Azure Data Factory Microsoft.DataFactory/factories Autorise l’accès aux comptes de stockage par le biais du Runtime ADF.
Azure Data Share Microsoft.DataShare/accounts Autorise l’accès aux comptes de stockage par le biais de Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Autorise l’accès aux comptes de stockage par le biais de DevTest Labs.
Azure Event Grid Microsoft.EventGrid/topics Autorise l’accès aux comptes de stockage par le biais d’Azure Event Grid.
Azure Healthcare APIs Microsoft.HealthcareApis/services Autorise l’accès aux comptes de stockage par le biais d’Azure Healthcare APIs.
Applications Azure IoT Central Microsoft.IoTCentral/IoTApps Autorise l’accès aux comptes de stockage par le biais d’applications Azure IoT Central.
Azure IoT Hub Microsoft.Devices/IotHubs Autorise l’écriture des données d’un IoT Hub dans le stockage d’objets blob. En savoir plus
Azure Logic Apps Microsoft.Logic/workflows Permet aux applications logiques d’accéder aux comptes de stockage. Plus d’informations
Service Azure Machine Learning Microsoft.MachineLearningServices Les espaces de travail Azure Machine Learning autorisés écrivent des sorties, des modèles et des journaux expérimentaux dans le stockage d’objets blob et lisent les données. Plus d’informations
Azure Media Services Microsoft.Media/mediaservices Autorise l’accès aux comptes de stockage par le biais de Media Services.
Azure Migrate Microsoft.Migrate/migrateprojects Autorise l’accès aux comptes de stockage par le biais d’Azure Migrate.
Microsoft Purview Microsoft.Purview/accounts Autorise Microsoft Purview à accéder aux comptes de stockage.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Autorise l’accès aux comptes de stockage par le biais de Remote Rendering.
Azure Site Recovery Microsoft.RecoveryServices/vaults Autorise l’accès aux comptes de stockage par le biais de Site Recovery.
Azure SQL Database Microsoft.Sql Autorise l’écriture de données d’audit dans des comptes de stockage derrière le pare-feu.
Azure Synapse Analytics Microsoft.Sql Autorise l’importation et l’exportation de données depuis et vers des bases de données SQL spécifiques à l’aide de l’instruction COPY ou de PolyBase (dans un pool dédié), ou à l’aide de la fonction openrowset et des tables externes dans le pool serverless. Plus d’informations
Azure Stream Analytics Microsoft.StreamAnalytics Autorise l’écriture des données d’une tâche de streaming dans le stockage d’objets blob. Plus d’informations
Azure Synapse Analytics Microsoft.Synapse/workspaces Permet l’accès aux données dans Stockage Azure à partir d’Azure Synapse Analytics.

Accorder l’accès à Storage Analytics

Dans certains cas, un accès en lecture aux journaux et aux métriques de ressources est nécessaire en dehors de la limite du réseau. Quand vous configurez l’accès aux services approuvés pour le compte de stockage, vous pouvez autoriser l’accès en lecture aux fichiers journaux ou aux tables de métriques, ou aux deux, en créant une exception de règle de réseau. Pour obtenir des instructions pas à pas, consultez la section Gérer les exceptions ci-dessous. Pour en savoir plus sur l’utilisation de Storage Analytics, consultez Utiliser Azure Storage Analytics pour collecter des données de journaux et de métriques.

Gérer les exceptions

Vous pouvez gérer les exceptions de règle de réseau dans le portail Azure, PowerShell ou Azure CLI v2.

  1. Accédez au compte de stockage à sécuriser.

  2. Sélectionnez le menu des paramètres appelé Mise en réseau.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.

  4. Sous Exceptions, sélectionnez les exceptions que vous voulez accorder.

  5. Sélectionnez Enregistrer pour enregistrer vos modifications.

Étapes suivantes

Découvrez plus d’informations sur les points de terminaison de service du réseau Azure dans Points de terminaison de service.

Explorez en détail la sécurité de Stockage Azure dans Guide de sécurité de Stockage Azure.