Se connecter à votre compte de stockage Azure
Vous avez ajouté les bibliothèques clientes nécessaires à votre application et vous êtes prêt à vous connecter à votre compte de stockage Azure.
Pour utiliser des données dans un compte de stockage, votre application a besoin de deux éléments de données :
- Clé d’accès
- Point de terminaison d’API REST
Clés d’accès de sécurité
Chaque compte de stockage a deux clés d’accès uniques qui sont utilisées pour sécuriser le compte de stockage. Si votre application a besoin de se connecter à plusieurs comptes de stockage, elle aura besoin d’une clé d’accès pour chacun d’entre eux.
Point de terminaison d’API REST
En plus des clés d’accès pour l’authentification aux comptes de stockage, votre application a besoin de connaître les points de terminaison de service de stockage pour émettre les requêtes REST.
Le point de terminaison REST est une combinaison du nom de votre compte de stockage, du type de données et d’un domaine connu. Par exemple :
| Type de données | Exemple de point de terminaison |
|---|---|
| Objets blob | https://[name].blob.core.windows.net/ |
| Files d’attente | https://[name].queue.core.windows.net/ |
| Table | https://[name].table.core.windows.net/ |
| Fichiers | https://[name].file.core.windows.net/ |
Si un domaine personnalisé est lié à Azure, vous pouvez également créer une URL de domaine personnalisé pour le point de terminaison.
Chaînes de connexion
La manière la plus simple de gérer les clés d’accès et les URL de point de terminaison dans les applications consiste à utiliser les chaînes de connexion de compte de stockage. Une chaîne de connexion fournit toutes les informations de connectivité nécessaires dans une chaîne de texte unique.
Les chaînes de connexion de Stockage Azure ressemblent à l’exemple suivant, mais avec le nom de compte et la clé d’accès de votre compte de stockage :
DefaultEndpointsProtocol=https;AccountName={your-storage};
AccountKey={your-access-key};
EndpointSuffix=core.windows.net
Sécurité
Les clés d’accès sont essentielles pour fournir l’accès à votre compte de stockage et, par conséquent, vous ne devez pas les transmettre à un système ou un individu auquel vous ne voulez pas accorder l’accès à votre compte de stockage. Les clés d’accès sont l’équivalent d’un nom d’utilisateur et d’un mot de passe pour accéder à votre ordinateur.
En règle générale, les informations de connectivité de compte de stockage sont stockées dans une variable d’environnement, une base de données ou un fichier de configuration.
Important
Le stockage de ces informations dans un fichier de configuration peut être dangereux si vous ajoutez ce fichier au contrôle de code source et le stockez dans un dépôt public. Il s’agit d’une erreur courante qui signifie que tout le monde peut parcourir votre code source dans le référentiel public et voir vos informations de connectivité de compte de stockage.
Chaque compte de stockage a deux clés d’accès, Il s’agit de permettre la permutation (régénération) régulière des clés dans le cadre des bonnes pratiques de sécurisation de votre compte de stockage. Vous pouvez le faire à partir du portail Azure ou de l’outil de ligne de commande Azure CLI/PowerShell.
La permutation d’une clé invalide immédiatement la valeur de clé d’origine et révoque l’accès à toute personne ayant obtenu la clé de façon inappropriée. Avec la prise en charge de deux clés, vous pouvez permuter les clés sans provoquer de temps d’arrêt dans vos applications qui les utilisent. Votre application peut basculer vers la seconde clé d’accès tandis que la première est regénérée. Si plusieurs applications utilisent ce compte de stockage, elles doivent toutes utiliser la même clé pour prendre en charge cette technique. Voici le principe de base :
- Mettez à jour les chaînes de connexion dans votre code d'application pour désigner la clé d’accès secondaire du compte de stockage.
- Régénérez la clé d’accès principale de votre compte de stockage à l’aide du portail Azure ou de l’outil de ligne de commande.
- Mettez à jour les chaînes de connexion dans votre code pour désigner la nouvelle clé d’accès principale.
- Regénérez la clé d’accès secondaire de la même manière.
Conseil
Nous vous recommandons vivement de permuter régulièrement vos clés d’accès pour vous assurer qu’elles restent privées, comme pour la modification de vos mots de passe. Si vous utilisez la clé dans une application serveur, vous pouvez utiliser Azure Key Vault pour stocker la clé d’accès. Les coffres de clés incluent une prise en charge de la synchronisation directe avec le compte de stockage et de la permutation automatique et régulière des clés. L’utilisation d’un coffre de clés offre une couche supplémentaire de sécurité. Ainsi, votre application n’utilise jamais directement une clé d’accès.
Signatures d’accès partagé (SAP)
Les clés d’accès constituent l’approche la plus simple pour authentifier l’accès auprès d’un compte de stockage. Toutefois, ils fournissent un accès complet à tout le contenu du compte de stockage, un peu comme un mot de passe racine sur un ordinateur.
Les comptes de stockage offrent un mécanisme d’authentification distinct appelé signatures d’accès partagé qui prend en charge l’expiration et les autorisations limitées, pour les scénarios où vous devez accorder un accès limité. Vous devez utiliser cette approche lorsque vous autorisez d’autres utilisateurs à lire et écrire des données dans votre compte de stockage. Vous trouverez des liens vers notre documentation sur ce sujet avancé à la fin du module.