Autoriser les demandes à stockage Azure

Chaque demande effectuée sur une ressource sécurisée dans le service Blob, Fichier, File d’attente ou Table doit être autorisée. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement lorsque vous le souhaitez, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès.

Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :

Artefact Azure Clé partagée (clé de compte de stockage) Signature d’accès partagé (SAP) Azure Active Directory (Azure AD) Active Directory Domain Services en local Accès en lecture public anonyme
Objets blob Azure Pris en charge Pris en charge Pris en charge Non pris en charge Pris en charge
Azure Files (SMB) Pris en charge Non pris en charge Pris en charge, uniquement avec les services de domaine AAD Pris en charge, les informations d'identification doivent être synchronisées avec Azure AD Non pris en charge
Azure Files (REST) Pris en charge Pris en charge Non pris en charge Non pris en charge Non pris en charge
Files d'attente Azure Pris en charge Pris en charge Pris en charge Non pris en charge Non pris en charge
Tables Azure Pris en charge Pris en charge Pris en charge Non pris en charge Non pris en charge

Chaque option d’autorisation est décrite brièvement ci-dessous :

  • Azure Active Directory (Azure AD) : Azure AD est le service de gestion des identités et des accès cloud de Microsoft. L’intégration d’Azure AD est disponible pour les services Blob, File d’attente et Table. Avec Azure AD, vous pouvez attribuer un accès ajusté aux utilisateurs, groupes ou applications via le contrôle d’accès en fonction du rôle (RBAC). Pour plus d’informations sur l’intégration d’Azure AD à stockage Azure, consultez Autoriser avec Azure Active Directory.

  • Autorisation Azure Active Directory Domain Services (Azure AD DS) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB (Server Message Block) via Azure AD DS. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès d’un client aux ressources Azure Files dans un compte de stockage. Pour plus d’informations sur l’authentification Azure Files à l’aide des services de domaine, consultez Azure Files autorisation basée sur l’identité.

  • Autorisation Active Directory (AD) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD. Votre service de domaine AD peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser RBAC pour le contrôle d’accès au niveau du partage et les DLL NTFS pour l’application des autorisations au niveau du répertoire et du fichier. Pour plus d’informations sur l’authentification Azure Files à l’aide des services de domaine, consultez Azure Files autorisation basée sur l’identité.

  • Clé partagée : L’autorisation de clé partagée s’appuie sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature chiffrée transmise à la demande dans l’en-tête d’autorisation . Pour plus d’informations sur l’autorisation de clé partagée, consultez Autoriser avec une clé partagée.

  • Signatures d’accès partagé : Les signatures d’accès partagé (SAP) délèguent l’accès à une ressource particulière dans votre compte avec des autorisations spécifiées et sur un intervalle de temps spécifié. Pour plus d’informations sur saS, consultez Déléguer l’accès avec une signature d’accès partagé.

  • Accès anonyme aux conteneurs et aux objets blob : Vous pouvez éventuellement rendre publiques les ressources d’objet blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent pas d’autorisation. Pour plus d’informations, consultez Activer l’accès en lecture public pour les conteneurs et les objets blob dans stockage Blob Azure.

Conseil

L’authentification et l’autorisation de l’accès aux données blob, de file d’attente et de table avec Azure AD offrent une sécurité et une facilité d’utilisation supérieures par rapport à d’autres options d’autorisation. Par exemple, en utilisant Azure AD, vous évitez d’avoir à stocker votre clé d’accès de compte avec votre code, comme vous le feriez avec l’autorisation de clé partagée. Bien que vous puissiez continuer à utiliser une autorisation de clé partagée avec vos applications d’objet Blob et de file d’attente, Microsoft recommande de passer à Azure AD dans la mesure du possible.

De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAP) pour accorder un accès affiné aux ressources dans votre compte de stockage, mais Azure AD offre des fonctionnalités similaires sans avoir à gérer les jetons SAP ou se soucier de révoquer une SAP compromise.

Pour plus d’informations sur l’intégration d’Azure AD dans stockage Azure, consultez Autoriser l’accès aux objets blob et files d’attente Azure à l’aide de Azure Active Directory.