Choisir comment autoriser l’accès à des données de files d’attente dans le portail Azure

  • Article

Lorsque vous accédez aux données de file d’attente à l’aide du Portail Azure, le portail fait des requêtes à Azure Storage en arrière-plan. Une requête au stockage Azure peut être autorisée à l’aide de votre compte Microsoft Entra ou de la clé d’accès au compte de stockage. Le portail indique quelle méthode vous utilisez et vous permet de basculer entre les deux si vous disposez des autorisations appropriées.

Autorisations nécessaires pour accéder aux données de file d’attente

Selon la façon dont vous souhaitez autoriser l’accès aux données de la file d’attente dans le portail Azure, vous devrez disposer d’autorisations particulières. Dans la plupart des cas, ces autorisations sont fournies via le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Pour plus d’informations sur Azure RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?

Utiliser la clé d'accès au compte

Pour accéder aux données de file d’attente avec la clé d’accès au compte, vous devez disposer d’un rôle Azure qui vous est attribué et qui inclut l’action Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Ce rôle Azure peut être intégré ou il peut s’agir d’un rôle personnalisé. Les rôles intégrés qui prennent en charge Microsoft.Storage/storageAccounts/listkeys/action incluent les suivants, dans l’ordre croissant des autorisations :

Lorsque vous tentez d’accéder aux données de file d’attente dans le Portail Microsoft Azure, le portail commence par vérifier si un rôle RBAC vous a été attribué avec Microsoft.Storage/storageAccounts/listkeys/action. Si un rôle avec cette action vous a été attribué, le portail utilise la clé de compte pour l’accès aux données de file d’attente. Si un rôle avec cette action ne vous a pas été attribué, le portail tente d’accéder aux données à l’aide de votre compte Microsoft Entra.

Important

Quand un compte de stockage est verrouillé à l’aide d’un verrou ReadOnly Azure Resource Manager, l’opération Répertorier les clés n’est pas autorisée pour ce compte de stockage. Répertorier les clés est une opération POST, et toutes les opérations POST sont empêchées lorsqu’un verrou ReadOnly est configuré pour le compte. Pour cette raison, lorsque le compte est verrouillé avec un verrou ReadOnly, les utilisateurs doivent utiliser des informations d’identification Microsoft Entra pour accéder aux données de file d'attente dans le portail. Pour plus d’informations sur l’accès aux données file d'attente dans le portail avec Microsoft Entra ID, consultez Utiliser votre compte Microsoft Entra.

Remarque

Les rôles classiques d'administrateur d'abonnements, Administrateur de services et Co-Administrateur comprennent l'équivalent du rôle de gestionnaire de ressources AzureOwner. Le rôle Propriétaire inclut toutes les actions, y compris Microsoft.Storage/storageAccounts/listkeys/action, pour qu’un utilisateur avec l’un de ces rôles d’administration puisse accéder également aux données de file d’attente avec la clé de compte. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.

Utiliser votre compte Microsoft Entra

Pour accéder aux données file d'attente à partir du portail Azure en utilisant votre compte Microsoft Entra, ces deux instructions doivent être vraies pour vous :

  • Un rôle intégré ou personnalisé qui fournit l’accès aux données de file d’attente vous a été attribué.
  • Le rôle Lecteur Azure Resource Manager vous a été attribué, au moins, limité au niveau du compte de stockage ou à un niveau supérieur. Le rôle Lecteur octroie les autorisations les plus restreintes, mais l’utilisation d’un autre rôle Azure Resource Manager accordant l’accès aux ressources de gestion de compte de stockage est également acceptable.

Le rôle Lecteur est un rôle d’Azure Resource Manager qui permet aux utilisateurs d’afficher les ressources de compte de stockage, mais pas de les modifier. Il ne fournit pas d’autorisations en lecture pour les données dans Stockage Azure, mais uniquement pour les ressources de gestion de compte. Le rôle Lecteur est nécessaire pour que les utilisateurs puissent accéder aux files d’attente du portail Azure.

Pour plus d’informations sur les rôles intégrés qui prennent en charge l’accès aux données file d'attente, consultez Autoriser l’accès aux objets file d'attente avec Microsoft Entra ID.

Les rôles personnalisés peuvent prendre en charge différentes combinaisons des mêmes autorisations fournies par les rôles intégrés. Pour plus d’informations sur la création de rôles Azure personnalisés, consultez Rôles personnalisés Azure et Présentation des définitions de rôles pour les ressources Azure.

Pour afficher les données de file d’attente sur le portail, accédez à la Vue d’ensemble pour votre compte de stockage, puis cliquez sur les liens pour Files d’attente. Vous pouvez également naviguer jusqu’à la section Service de file d’attente dans le menu.

Screenshot showing how to navigate to queue data in the Azure portal

Déterminer la méthode d’authentification actuelle

Lorsque vous accédez à une file d'attente, le portail Azure indique si vous utilisez actuellement la clé d’accès au compte ou votre compte Microsoft Entra pour vous authentifier.

S'authentifier à l'aide de la clé d'accès au compte

Si vous vous authentifiez à l’aide de la clé d’accès au compte, vous verrez la méthode Clé d’accès spécifiée comme méthode d’authentification dans le portail :

Screenshot showing user currently accessing queues with the account key

Pour passer à l’utilisation du compte Microsoft Entra, cliquez sur le lien mis en surbrillance dans l’image. Si vous disposez des autorisations appropriées via les rôles Azure qui vous sont attribués, vous pourrez poursuivre. Toutefois, si vous n’avez pas les autorisations appropriées, vous verrez un message d’erreur semblable à celui-ci :

Error shown if Microsoft Entra account does not support access

Notez qu’aucune file d'attente n’apparaît dans la liste si votre compte Microsoft Entra ne dispose pas des autorisations pour les afficher. Cliquez sur le lien Basculer sur clé d’accès pour utiliser à nouveau la clé d’accès pour l’authentification.

S’authentifier avec son compte Microsoft Entra

Si vous vous authentifiez à l’aide de votre compte Microsoft Entra, vous verrez Compte d’utilisateur Microsoft Entra spécifié comme méthode d’authentification dans le portail :

Screenshot showing user currently accessing queues with Microsoft Entra account

Pour passer à l’utilisation d’une clé d’accès au compte, cliquez sur le lien mis en surbrillance dans l’image. Si vous avez accès à la clé de compte, vous pourrez poursuivre. Toutefois, si vous n’avez pas accès à la clé de compte, le Portail Azure affiche un message d’erreur.

Les files d’attente ne sont pas répertoriées dans le portail si vous n’avez pas accès aux clés de compte. Cliquez sur le lien Basculer sur Compte d’utilisateur Microsoft Entra pour utiliser votre compte Microsoft Entra pour vous authentifier à nouveau.

Autorisation Microsoft Entra par défaut dans le portail Azure

Quand vous créez un compte de stockage, vous pouvez spécifier que l’autorisation par défaut du portail Azure est Microsoft Entra ID lorsqu’un utilisateur navigue vers des données file d'attente. Vous pouvez également configurer ce paramètre pour un compte de stockage existant. Ce paramètre spécifie uniquement la méthode d’autorisation par défaut. N’oubliez pas qu’un utilisateur peut remplacer ce paramètre et choisir d’autoriser l’accès aux données avec la clé de compte.

Pour indiquer que le portail doit utiliser l’autorisation Microsoft Entra par défaut pour accéder aux données quand vous créez un compte de stockage, procédez comme suit :

  1. Créez un compte de stockage en suivant les instructions de la section Créer un compte de stockage.

  2. Dans l’onglet Avancé, dans la section Sécurité, cochez la case à côté de Autorisation Microsoft Entra par défaut dans le portail Azure.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. Sélectionnez le bouton Vérifier + Créer pour exécuter la validation et créer le compte.

Pour mettre à jour ce paramètre pour un compte de stockage existant, effectuez les étapes suivantes :

  1. Accédez à la vue d’ensemble du compte dans le portail Azure.

  2. Sous Paramètres, sélectionnez Configuration.

  3. Définissez Autorisation Microsoft Entra par défaut dans le portail Azure sur Activé.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account.

Étapes suivantes