Autoriser l’accès aux files d’attente à l’aide des conditions d’attribution de rôle Azure

  • Article

Le contrôle d’accès en fonction des attributs (ABAC) est une stratégie d’autorisation qui définit les niveaux d’accès en fonction des attributs associés à une requête d’accès tels que le principal de sécurité, la ressource, l’environnement et la requête elle-même. ABAC vous permet d’accorder à un principal de sécurité l’accès à une ressource selon les conditions d’attribution de rôle Azure.

Important

Le contrôle d’accès en fonction des attributs Azure (Azure ABAC) est en disponibilité générale (GA) pour contrôler l’accès au Stockage Blob Azure, à Azure Data Lake Storage Gen2 et aux files d’attente Azure à l’aide des attributs request, resource, environment et principal dans les niveaux de performances des comptes de stockage standard et premium. Actuellement, l’attribut de ressource des métadonnées de conteneur et l’attribut de requête d’inclusion des blobs de liste sont en PRÉVERSION. Pour obtenir des informations complètes sur l’état des fonctionnalités d’ABAC pour Stockage Azure, consultez État des fonctionnalités de condition dans Stockage Azure.

Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Vue d'ensemble des conditions dans le service Stockage Azure

Vous pouvez utiliser Microsoft Entra ID (Microsoft Entra ID) pour autoriser les requêtes adressées aux ressources de stockage Azure à l’aide d’Azure RBAC. Azure RBAC vous aide à gérer l’accès aux ressources en définissant qui a accès aux ressources et ce qu’elles peuvent faire avec ces ressources, à l’aide des définitions de rôle et des affectations de rôle. Le service Stockage Azure définit un ensemble de rôles intégrés Azure qui englobent les jeux d’autorisations communs utilisés pour accéder aux données du service Stockage Azure. Vous pouvez également définir des rôles personnalisés avec certains ensembles d’autorisations. Le service Stockage Azure prend en charge les attributions de rôles pour les comptes de stockage et les conteneurs d’objets blob ou les files d’attente.

Azure ABAC s’appuie sur Azure RBAC en ajoutant des conditions d’attribution de rôle dans le contexte d’actions spécifiques. Une condition d’affectation de rôle est une vérification supplémentaire qui est évaluée lorsque l’action sur la ressource de stockage est autorisée. Cette condition est exprimée sous la forme d’un prédicat utilisant des attributs associés à l’un des éléments suivants :

  • Principal de sécurité demandant l’autorisation
  • Ressource à laquelle l’accès est demandé
  • Paramètres de la demande
  • Environnement d’origine de la demande

L’utilisation de conditions d’affectation de rôle a les avantages suivantes :

  • Activez l’accès plus fin aux ressources : par exemple, si vous souhaitez accorder à un utilisateur l’accès aux messages d’aperçu dans une file d’attente spécifique, vous pouvez utiliser des messages d’aperçu DataAction et l’attribut de stockage de nom de file d’attente.
  • Réduisez le nombre d’affectations de rôle que vous devez créer et gérer : vous pouvez le faire en utilisant une affectation de rôles généralisée pour un groupe de sécurité, puis en limitant l’accès pour les membres individuels du groupe à l’aide d’une condition qui correspond aux attributs d’un principal avec les attributs d’une ressource spécifique accessible (par exemple, une file d’attente).
  • Règles de contrôle d’accès rapide en termes d’attributs ayant une signification professionnelle : par exemple, vous pouvez exprimer vos conditions à l’aide d’attributs représentant un nom de projet, une application professionnelle, une fonction d’organisation ou un niveau de classification.

Le compromis lors de l’utilisation de conditions est que vous avez besoin d’une taxonomie structurée et cohérente lors de l’utilisation d’attributs au sein de votre organisation. Les attributs doivent être protégés pour empêcher que l’accès soit compromis. En outre, les conditions doivent être soigneusement conçues et examinées pour leur effet.

Attributs et opérations pris en charge

Vous pouvez configurer des conditions sur les attributions de rôles pour DataActions afin d’atteindre ces objectifs. Vous pouvez utiliser des conditions avec un rôle personnalisé ou sélectionner des rôles intégrés. Notez que les conditions ne sont pas prises en charge pour les Actions de gestion via le Fournisseur de ressources de stockage.

Vous pouvez ajouter des conditions aux rôles intégrés ou personnalisés. Les rôles intégrés sur lesquels vous pouvez utiliser les conditions d’affectation de rôle sont les suivants :

Vous pouvez utiliser des conditions avec des rôles personnalisés tant que le rôle inclut des actions qui supportent des conditions.

Le format de condition d'attribution de rôle Azure permet d'utiliser les attributs @Principal, @Resource ou @Request dans les conditions. L’attribut @Principal est un attribut de sécurité personnalisé sur un principal, tel qu’un utilisateur, une application d’entreprise (principal du service) ou une identité managée. Un attribut @Resource fait référence à un attribut existant d’une ressource de stockage à laquelle on accède, comme un compte de stockage ou une file d’attente. Un attribut @Request fait référence à un attribut ou un paramètre inclus dans une requête d'opération de stockage.

Azure RBAC prend actuellement en charge 2 000 affectations de rôle dans un abonnement. Si vous devez créer des milliers d’affectations de rôle Azure, vous pouvez rencontrer cette limite. La gestion de centaines ou de milliers d’attributions de rôles peut être difficile. Dans certains cas, vous pouvez utiliser des conditions pour réduire le nombre d’affectations de rôles sur votre compte de stockage et les rendre plus faciles à gérer. Vous pouvez mettre à l’échelle la gestion des attributions de rôles à l’aide des conditions et des attributs de sécurité personnalisés Microsoft Entra pour les principaux.

Étapes suivantes

Voir aussi