Autorisation de l’accès aux données dans le stockage Azure

Chaque fois que vous accédez aux données de votre compte de stockage, votre application cliente envoie une requête sur HTTP/HTTPS à Stockage Azure. Par défaut, chaque ressource de Stockage Azure est sécurisée, et chaque demande à une ressource sécurisée doit être autorisée. L’autorisation garantit que l’application cliente dispose des autorisations appropriées pour accéder à une ressource en particulier dans votre compte de stockage.

Important

Pour une sécurité optimale, Microsoft recommande d’utiliser quand c’est possible Microsoft Entra ID avec des identités managées pour autoriser les requêtes sur les données de blob, de file d’attente et de table. L’autorisation avec Microsoft Entra ID et les identités managées offre davantage de sécurité et de facilité d’utilisation que l’autorisation de clé partagée. Pour plus d’informations sur les identités managées, consultez Présentation des identités managées pour les ressources Azure. Pour obtenir un exemple d’activation et d’utilisation d’une identité managée pour une application .NET, consultez Authentification d’applications hébergées par Azure auprès de ressources Azure avec .NET.

Pour les ressources hébergées en dehors d’Azure, comme des applications locales, vous pouvez utiliser des identités managées via Azure Arc. Par exemple, les applications s’exécutant sur des serveurs avec Azure Arc peuvent utiliser des identités managées pour se connecter à des services Azure. Pour en savoir plus, consultez S’authentifier auprès de ressources Azure au moyen de serveurs avec Azure Arc.

Pour les scénarios où les signatures d’accès partagé (SAP) sont utilisées, Microsoft recommande d’utiliser une SAP de délégation d’utilisateur. Une SAP de délégation d’utilisateur est sécurisée avec des informations d’identification Microsoft Entra au lieu de la clé de compte. Pour en savoir plus sur les signatures d’accès partagé, consultez Accorder un accès limité aux données avec des signatures d’accès partagé. Pour obtenir un exemple de création et d’utilisation d’une SAP de délégation d’utilisateur avec .NET, consultez Créer une SAP de délégation d’utilisateur pour un blob avec .NET.

Autorisation pour les opérations de données

La section suivante décrit la prise en charge des autorisations et des recommandations pour chaque service Stockage Azure.

Le tableau suivant fournit des informations sur les options d’autorisation prises en charge pour les blobs :

Option d’autorisation Guidance Recommandation
Microsoft Entra ID Autoriser l’accès aux données de Stockage Azure avec Microsoft Entra ID Microsoft recommande d’utiliser Microsoft Entra ID avec des identités managées pour autoriser les requêtes adressées à des ressources de blob.
Clé partagée (clé de compte de stockage) Autoriser avec une clé partagée Microsoft vous recommande d’interdire l’autorisation par clé partagée pour vos comptes de stockage.
Signature d’accès partagé (SAS) Utilisation des signatures d’accès partagé (SAP) Quand une autorisation SAP est nécessaire, Microsoft recommande d’utiliser la SAP de délégation d’utilisateur pour un accès délégué limité aux ressources de blob.
Accès en lecture anonyme Vue d’ensemble : correction de l’accès en lecture anonyme pour les données blob Microsoft vous recommande de désactiver l’accès anonyme pour tous vos comptes de stockage.
Utilisateurs locaux du service Stockage Pris en charge seulement pour SFTP. Pour plus d’informations, consultez Autoriser l’accès à Stockage Blob pour un client SFTP. Consultez l’aide pour voir les options.

La section suivante décrit brièvement les options d’autorisation pour Stockage Azure :

  • Autorisation de clé partagée : s’applique aux blobs, aux fichiers, aux files d’attente et aux tables. Un client qui utilise une clé partagée transmet avec chaque demande un en-tête signé à l’aide de la clé d’accès au compte de stockage. Pour plus d’informations, consultez Autoriser avec une clé partagée.

    La clé d’accès au compte de stockage doit être utilisée avec précaution. Toute personne disposant de la clé d’accès est en mesure d’autoriser les demandes sur le compte de stockage et a accès efficacement à toutes les données. Microsoft vous recommande d’interdire l’autorisation par clé partagée pour votre compte de stockage. Lorsque l’autorisation de clé partagée est interdite, les clients doivent utiliser Microsoft Entra ID ou une signature SAP de délégation utilisateur pour autoriser les demandes de données dans ce compte de stockage. Pour plus d’informations, consultez Empêcher l’autorisation avec clé partagée pour un compte de stockage Azure.

  • Signatures d’accès partagé pour les objets blob, les fichiers, les files d’attente et les tables. Les signatures d’accès partagé (SAP, Shared Access Signature) fournissent un accès délégué limité aux ressources d’un compte de stockage par le biais d’une URL signée. L’URL signée spécifie les autorisations accordées à la ressource et l’intervalle sur lequel la signature est valide. Une signature SAP de service ou de compte est signée avec la clé de compte, tandis que la signature SAP de délégation utilisateur est signée avec des informations d’identification Microsoft Entra et s’applique uniquement aux objets blob. Pour plus d’informations, consultez la page Utiliser des signatures d’accès partagé (SAP).

  • Intégration de Microsoft Entra : s’applique aux ressources de blob, de file d’attente et de table. Microsoft recommande d’utiliser quand c’est possible des informations d’identification Microsoft Entra avec des identités managées pour autoriser les requêtes sur des données, afin d’optimiser la sécurité et la facilité d’utilisation. Pour plus d’informations sur l’intégration de Microsoft Entra, consultez les articles concernant les ressources de blob, de file d’attente ou de table.

    Vous pouvez utiliser le contrôle d’accès en fonction du rôle (Azure RBAC) pour gérer les autorisations d’un principal de sécurité pour les ressources Blob, File d’attente et Table dans un compte de stockage. Vous pouvez également utiliser le contrôle d’accès basé sur les attributs (ABAC) Azure pour ajouter des conditions aux attributions de rôle Azure pour les ressources Blob.

    Pour plus d’informations sur le contrôle RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?.

    Pour plus d’informations sur ABAC, consultez Qu’est-ce que le contrôle d’accès en fonction des attributs (Azure ABAC) ?. Pour plus d’informations sur l’état des fonctionnalités ABAC, consultez État des fonctionnalités de condition ABAC dans Stockage Azure.

  • Authentification Microsoft Entra Domain Services : s’applique à Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité via SMB (Server Message Block) par l’intermédiaire Microsoft Entra Domain Services. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) Azure pour contrôler avec précision l’accès d’un client aux ressources Azure Files d’un compte de stockage. Pour plus d’informations sur l’authentification d’Azure Files en utilisant des services de domaine, consultez Vue d’ensemble des options d’authentification basée sur l’identité Azure Files pour l’accès SMB.

  • Authentification Active Directory Domain Services en local (AD DS ou AD DS en local) : s’applique à Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD DS. Votre environnement AD DS peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD DS des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser une combinaison du contrôle RBAC Azure pour le contrôle d’accès au niveau du partage et de listes DACL NTFS pour l’application d’autorisations de niveau répertoire/fichier. Pour plus d’informations concernant l’authentification Azure Files à l’aide de services de domaine, consultez la présentation.

  • Accès en lecture anonyme : s’applique aux ressources de blob. Cette option n’est pas recommandée. Quand l’accès anonyme est configuré, les clients peuvent lire les données blob sans autorisation. Nous vous recommandons de désactiver l’accès anonyme pour tous vos comptes de stockage. Pour plus d’informations, consultez Vue d’ensemble : correction de l’accès en lecture anonyme pour les données blob.

  • Utilisateurs locaux du stockage : s’applique aux blobs avec SFTP ou aux fichiers avec SMB. Les Utilisateurs locaux du service Stockage prennent en charge les autorisations au niveau du conteneur pour l’autorisation. Consultez Se connecter au service Stockage Blob Azure à l’aide du protocole SFTP (SSH File Transfer Protocol) pour plus d’informations sur la façon dont les Utilisateurs locaux du service Stockage peuvent être utilisés avec SFTP.

Protégez vos clés d’accès

Les clés d’accès au compte de stockage fournissent un accès complet aux données du compte de stockage et la possibilité de générer des jetons SAP. Veillez toujours à protéger vos clés d’accès. Utilisez Azure Key Vault pour gérer et effectuer la rotation de vos clés en toute sécurité. L’accès à la clé partagée accorde à un utilisateur un accès complet aux données d’un compte de stockage. L’accès aux clés partagées doit être soigneusement limité et surveillé. Utilisez des jetons SAP de délégation d’utilisateur avec une étendue d’accès limitée dans les scénarios où l’autorisation basée sur Microsoft Entra ID ne peut pas être utilisée. Évitez le codage effectué de manière irréversible des clés d’accès ou de les enregistrer en texte brut dans un emplacement accessible à d’autres personnes. Effectuez une rotation de vos clés si vous pensez qu’elles ont pu être compromises.

Important

Pour empêcher les utilisateurs d’accéder aux données de votre compte de stockage avec une clé partagée, vous pouvez interdire l’autorisation de clé partagée pour le compte de stockage. L’accès granulaire aux données avec le moins de privilèges nécessaires est recommandé en tant que meilleure pratique de sécurité. L’autorisation basée sur Microsoft Entra ID avec des identités managées doit être utilisée pour les scénarios qui prennent en charge OAuth. Kerberos ou SMTP doit être utilisé pour Azure Files sur SMB. Pour Azure Files sur REST, des jetons SAP peuvent être utilisés. L’accès à la clé partagée doit être désactivé s’il n’est pas nécessaire pour empêcher son utilisation par inadvertance. Pour plus d’informations, consultez Empêcher l’autorisation avec clé partagée pour un compte de stockage Azure.

Pour protéger un compte de stockage Azure avec des stratégies d’accès conditionnel Microsoft Entra, vous devez interdire l’autorisation de clé partagée pour le compte de stockage.

Si vous avez désactivé l’accès à la clé partagée et que l’autorisation de clé partagée est signalée dans les journaux de diagnostic, cela signifie que l’accès approuvé est utilisé pour accéder au stockage. Pour obtenir d’informations, consultez Accès approuvé pour les ressources inscrites dans votre locataire Microsoft Entra.

Étapes suivantes