Autoriser l’accès au Stockage Blob Azure à l’aide des conditions d’attribution de rôle Azure

Le contrôle d’accès en fonction des attributs (ABAC) est une stratégie d’autorisation qui définit des niveaux d’accès en fonction des attributs associés aux principaux de sécurité, aux ressources, à l’environnement et aux requêtes elles-mêmes. Avec le contrôle d’accès basé sur un prédicat, vous pouvez accorder un accès principal de sécurité à une ressource en fonction d’une condition exprimée sous la forme d’un prédicat à l’aide de ces attributs.

Azure ABAC s'appuie sur le contrôle d'accès en fonction du rôle Azure (Azure RBAC) en ajoutant des conditions aux attributions de rôles Azure. Il vous permet de créer des conditions d’attribution de rôle en fonction des attributs de principal, de ressource, de requête et d’environnement.

Important

Le contrôle d’accès en fonction des attributs Azure (Azure ABAC) est en disponibilité générale (GA) pour contrôler l’accès au Stockage Blob Azure, à Azure Data Lake Storage Gen2 et aux files d’attente Azure à l’aide des attributs request, resource, environment et principal dans les niveaux de performances des comptes de stockage standard et premium. Actuellement, l’attribut de ressource des métadonnées de conteneur et l’attribut de requête d’inclusion de l’opération List Blobs sont en PRÉVERSION. Pour obtenir des informations complètes sur l’état des fonctionnalités d’ABAC pour Stockage Azure, consultez État des fonctionnalités de condition dans Stockage Azure.

Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Vue d'ensemble des conditions dans le service Stockage Azure

Vous pouvez utiliser Microsoft Entra ID (Microsoft Entra ID) pour autoriser les requêtes adressées aux ressources de stockage Azure à l’aide d’Azure RBAC. Azure RBAC vous aide à gérer l’accès aux ressources en définissant qui a accès aux ressources et ce qu’elles peuvent faire avec ces ressources, à l’aide des définitions de rôle et des affectations de rôle. Le service Stockage Azure définit un ensemble de rôles intégrés Azure qui englobent les jeux d’autorisations communs utilisés pour accéder aux données du service Stockage Azure. Vous pouvez également définir des rôles personnalisés avec certains jeux d’autorisations. Le service Stockage Azure prend en charge les attributions de rôles pour les comptes de stockage et les conteneurs d’objets blob.

Azure ABAC s’appuie sur Azure RBAC en ajoutant des conditions d’attribution de rôle dans le contexte d’actions spécifiques. Une condition d’affectation de rôle est une vérification supplémentaire qui est évaluée lorsque l’action sur la ressource de stockage est autorisée. Cette condition est exprimée sous la forme d’un prédicat utilisant des attributs associés à l’un des éléments suivants :

  • Principal de sécurité demandant l’autorisation
  • Ressource à laquelle l’accès est demandé
  • Paramètres de la demande
  • Environnement dans lequel la requête est effectuée

L’utilisation de conditions d’affectation de rôle a les avantages suivantes :

  • Activez l’accès aux ressources de façon plus fine. Par exemple, si vous voulez accorder à un utilisateur l’accès en lecture aux blobs de vos comptes de stockage uniquement si les blobs sont marqués comme Project=Sierra, vous pouvez utiliser des conditions sur l’action de lecture à l’aide de balises en tant qu’attribut.
  • Réduisez le nombre d’attributions de rôles à créer et à gérer. Pour ce faire, utilisez une attribution de rôles généralisée pour un groupe de sécurité, puis limitez l’accès à des membres individuels du groupe à l’aide d’une condition qui fait correspondre les attributs d’un principal aux attributs d’une ressource spécifique accessible (par exemple un objet blob ou un conteneur).
  • Règles de contrôle d’accès rapide en termes d’attributs ayant une signification professionnelle : par exemple, vous pouvez exprimer vos conditions à l’aide d’attributs représentant un nom de projet, une application professionnelle, une fonction d’organisation ou un niveau de classification.

Le compromis lors de l’utilisation de conditions est que vous avez besoin d’une taxonomie structurée et cohérente lors de l’utilisation d’attributs au sein de votre organisation. Les attributs doivent être protégés pour empêcher que l’accès soit compromis. En outre, les conditions doivent être soigneusement conçues et examinées pour leur effet.

Les conditions d’attribution de rôles dans le service Stockage Azure sont prises en charge pour le service Stockage Blob Azure. Vous pouvez également utiliser des conditions avec des comptes sur lesquels la fonctionnalité d’espace de noms hiérarchique (HNS) est activée (Data Lake Storage).

Attributs et opérations pris en charge

Vous pouvez configurer des conditions sur les attributions de rôles pour DataActions afin d’atteindre ces objectifs. Vous pouvez utiliser des conditions avec un rôle personnalisé ou sélectionner des rôles intégrés. Notez que les conditions ne sont pas prises en charge pour la gestion Actions via le fournisseur de ressources de stockage .

Vous pouvez ajouter des conditions aux rôles intégrés ou personnalisés. Les rôles intégrés sur lesquels vous pouvez utiliser les conditions d’affectation de rôle sont les suivants :

Vous pouvez utiliser des conditions avec des rôles personnalisés tant que le rôle inclut des actions qui supportent des conditions.

Si vous utilisez des conditions basées sur des balises d’index de blob, vous devrez avoir recours au rôle Propriétaire des données blob du stockage dans la mesure où les autorisations relatives aux opérations de balises sont incluses dans ce rôle.

Remarque

Les balises d’index Blob ne sont pas prises en charge pour les comptes de stockage Data Lake Storage, qui utilisent un espace de noms hiérarchique. Vous ne devez pas créer de conditions d’affectation de rôles à l’aide de balises d’index sur les comptes de stockage pour lesquels HNS est activé.

Le format de condition d’attribution de rôle Azure permet d’utiliser les attributs @Principal, @Resource, @Request ou @Environment dans les conditions. L’attribut @Principal est un attribut de sécurité personnalisé sur un principal, tel qu’un utilisateur, une application d’entreprise (principal du service) ou une identité managée. Un attribut @Resource fait référence à un attribut existant d'une ressource de stockage à laquelle on accède, comme un compte de stockage, un conteneur ou un objet blob. Un attribut @Request fait référence à un attribut ou un paramètre inclus dans une requête d'opération de stockage. Un attribut @Environment fait référence à l’environnement réseau ou à la date et à l’heure d’une requête.

Azure RBAC prend en charge un nombre limité d’attributions de rôles par abonnement. Si vous devez créer des milliers d’attributions de rôles Azure, vous pouvez rencontrer cette limite. La gestion de centaines ou de milliers d’attributions de rôles peut être difficile. Dans certains cas, vous pouvez utiliser des conditions pour réduire le nombre d’affectations de rôles sur votre compte de stockage et les rendre plus faciles à gérer. Vous pouvez mettre à l’échelle la gestion des attributions de rôles à l’aide des conditions et des attributs de sécurité personnalisés Microsoft Entra pour les principaux.

État des fonctionnalités de condition dans Stockage Azure

Le contrôle d’accès basé sur les attributs Azure (Azure ABAC) est généralement disponible (GA) pour contrôler l’accès à Azure Blob Storage, Azure Data Lake Storage et aux files d’attente Azure à l’aide des attributs request, resource, environment, et principal dans les niveaux de performances des comptes de stockage standard et premium. Actuellement, l’attribut de ressource des métadonnées de conteneur et l’attribut de requête d’inclusion des blobs de liste sont en PRÉVERSION.

Le tableau suivant indique l’état actuel d’ABAC par type de ressource de stockage et type d’attribut. Les exceptions pour des attributs spécifiques sont également indiquées.

Types de ressource Types d’attributs Attributs Disponibilité
Objets blob
Data Lake Storage
Files d’attente
Requête
Ressource
Environnement
Principal
Tous les attributs, sauf ceux notés dans ce tableau GA
Data Lake Storage Ressource Instantané Aperçu
Objets blob
Data Lake Storage
Ressource Métadonnées de conteneur Aperçu
Objets blob Requête Inclusion de blob de liste Aperçu

Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Remarque

Certaines fonctionnalités de stockage ne sont pas prises en charge pour les comptes de stockage Data Lake Storage, qui utilisent un espace de noms hiérarchique (HNS). Si vous souhaitez découvrir plus d’informations, consultez Prise en charge de la fonctionnalité Stockage Blob.

Les attributs ABAC suivants ne sont pas pris en charge lorsqu’un espace de noms hiérarchique est activé pour un compte de stockage :

Étapes suivantes

Voir aussi