Autoriser les demandes à Stockage Azure
Chaque demande effectuée sur une ressource sécurisée dans le service Blob, Fichier, File d’attente ou Table doit être autorisée. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement lorsque vous le souhaitez, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès.
Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :
| Artefact Azure | Clé partagée (clé de compte de stockage) | Signature d’accès partagé (SAP) | Azure Active Directory (Azure AD) | Active Directory Domain Services en local | Accès en lecture public anonyme |
|---|---|---|---|---|---|
| Objets blob Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Pris en charge |
| Azure Files (SMB) | Pris en charge | Non pris en charge | Pris en charge, uniquement avec les services de domaine AAD | Pris en charge, les informations d'identification doivent être synchronisées avec Azure AD | Non pris en charge |
| Azure Files (REST) | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge | Non pris en charge |
| Files d'attente Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge |
| Tables Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge |
Chaque option d’autorisation est décrite brièvement ci-dessous :
Azure Active Directory (Azure AD) :Azure AD est le service de gestion des identités et des accès basé sur le cloud de Microsoft. L’intégration Azure AD est disponible pour les services Blob, File d’attente et Table. Avec Azure AD, vous pouvez attribuer un accès ajusté aux utilisateurs, groupes ou applications via le contrôle d’accès en fonction du rôle (RBAC). Pour plus d’informations sur l’intégration d’Azure AD à Stockage Azure, consultez Autoriser avec Azure Active Directory.
Autorisation Azure Active Directory Domain Services (Azure AD DS) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB (Server Message Block) via Azure AD DS. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès d’un client aux ressources Azure Files dans un compte de stockage. Pour plus d’informations sur l’authentification Azure Files à l’aide de services de domaine, consultez Azure Files’autorisation basée sur l’identité.
Autorisation Active Directory (AD) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD. Votre service de domaine AD peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser RBAC pour le contrôle d’accès au niveau du partage et les DLL NTFS pour l’application des autorisations au niveau du répertoire et du fichier. Pour plus d’informations sur l’authentification Azure Files à l’aide de services de domaine, consultez Azure Files’autorisation basée sur l’identité.
Clé partagée : L’autorisation de clé partagée s’appuie sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature chiffrée qui est transmise à la demande dans l’en-tête d’autorisation . Pour plus d’informations sur l’autorisation de clé partagée, consultez Autoriser avec une clé partagée.
Signatures d’accès partagé : Les signatures d’accès partagé (SAP) délèguent l’accès à une ressource particulière de votre compte avec des autorisations spécifiées et sur un intervalle de temps spécifié. Pour plus d’informations sur la signature SAP, consultez Déléguer l’accès avec une signature d’accès partagé.
Accès anonyme aux conteneurs et aux objets blob : Vous pouvez éventuellement rendre publiques les ressources d’objets blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent pas d’autorisation. Pour plus d’informations, consultez Activer l’accès en lecture public pour les conteneurs et les objets blob dans stockage Blob Azure.
Conseil
L’authentification et l’autorisation de l’accès aux données d’objet blob, de file d’attente et de table avec Azure AD offre une sécurité et une facilité d’utilisation supérieures par rapport aux autres options d’autorisation. Par exemple, en utilisant Azure AD, vous évitez d’avoir à stocker votre clé d’accès de compte avec votre code, comme vous le feriez avec l’autorisation de clé partagée. Bien que vous puissiez continuer à utiliser une autorisation de clé partagée avec vos applications d’objet Blob et de file d’attente, Microsoft recommande de passer à Azure AD dans la mesure du possible.
De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAP) pour accorder un accès affiné aux ressources dans votre compte de stockage, mais Azure AD offre des fonctionnalités similaires sans avoir à gérer les jetons SAP ou se soucier de révoquer une SAP compromise.
Pour plus d’informations sur l’intégration d’Azure AD dans Stockage Azure, consultez Autoriser l’accès aux objets blob et aux files d’attente Azure à l’aide d’Azure Active Directory.