Attribuer un rôle Azure pour l’accès aux données de file d’attente
Microsoft Entra autorise les droits d’accès aux ressources sécurisées via le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Le Stockage Azure définit un ensemble de rôles intégrés Azure qui englobent les ensembles communs d’autorisations permettant d’accéder aux données de file d’attente.
Lorsqu’un rôle Azure est attribué à un principal de sécurité Microsoft Entra, Azure octroie l’accès à ces ressources pour ce principal de sécurité. Un principal de sécurité Microsoft Entra peut correspondre à un utilisateur, à un groupe, à un principal de service d’application ou à une identité managée pour les ressources Azure.
Pour en savoir plus sur l’utilisation de Microsoft Entra ID pour autoriser l’accès aux données de la file d’attente, consultez Autoriser l’accès aux files d’attente à l’aide de Microsoft Entra ID.
Remarque
Cet article explique comment attribuer un rôle Azure pour accéder aux données de file d’attente dans un compte de stockage. Pour en savoir plus sur l’attribution de rôles pour les opérations de gestion dans Stockage Azure, consultez Utiliser le fournisseur de ressources Stockage Azure pour accéder aux ressources de gestion.
Affecter un rôle Azure
Vous pouvez utiliser le portail Azure, PowerShell, Azure CLI ou un modèle Azure Resource Manager pour attribuer un rôle d’accès aux données.
Pour accéder aux données de file d’attente dans le portail Azure avec des informations d’identification Microsoft Entra, un utilisateur doit disposer des attributions de rôle suivantes :
- Un rôle d’accès aux données, par exemple Contributeur aux données en file d’attente du stockage
- Le rôle Lecteur d’Azure Resource Manager
Pour savoir comment attribuer ces rôles à un utilisateur, suivez les instructions fournies dans Attribuer des rôles Azure à l’aide du portail Azure.
Le rôle Lecteur est un rôle d’Azure Resource Manager qui permet aux utilisateurs d’afficher les ressources de compte de stockage, mais pas de les modifier. Il ne fournit pas d’autorisations en lecture pour les données dans Stockage Azure, mais uniquement pour les ressources de gestion de compte. Le rôle Lecteur est nécessaire pour que les utilisateurs puissent accéder aux files d’attente et aux messages dans le portail Azure.
Par exemple, si vous attribuez le rôle Contributeur aux données en file d’attente du stockage à l’utilisatrice Mary au niveau d’une file d’attente nommée sample-queue, Mary se voit attribuer un accès en lecture, écriture et suppression à cette file d’attente. Toutefois, si Mary souhaite afficher une file d’attente dans le portail Azure, le rôle Contributeur aux données en file d’attente du stockage ne fournit pas les autorisations suffisantes pour naviguer dans le portail et atteindre la file d’attente dans le but de la consulter. Les autres autorisations sont requises pour naviguer dans le portail et afficher les autres ressources qui y sont visibles.
Un utilisateur doit disposer du rôle Lecteur pour utiliser le portail Azure avec les informations d’identification Microsoft Entra. Cela étant, si un utilisateur dispose d’un rôle doté des autorisations Microsoft.Storage/storageAccounts/listKeys/action, il peut utiliser le portail avec les clés de compte de stockage, par le biais de l’autorisation de clé partagée. Pour utiliser les clés de compte de stockage, l’accès à la clé partagée doit être autorisé pour le compte de stockage. Pour plus d’informations sur l’autorisation ou l’interdiction de l’accès à la clé partagée, consultez Empêcher l’autorisation avec clé partagée pour un compte Stockage Azure.
Vous pouvez également attribuer un rôle Azure Resource Manager offrant des autorisations supplémentaires au-delà du rôle Lecteur. L’attribution d’autorisations minimales est recommandée en guise de meilleure pratique de sécurité. Pour plus d’informations, consultez Meilleures pratiques pour Azure RBAC.
Notes
Avant de vous attribuer un rôle pour l’accès aux données, vous pouvez accéder aux données de votre compte de stockage via le portail Azure, car ce dernier peut également utiliser la clé de compte pour l’accès aux données. Pour plus d’informations, consultez Choisir comment autoriser l’accès à des données de files d’attente dans le portail Azure.
Gardez à l’esprit les points suivants concernant les attributions de rôles Azure dans Stockage Azure :
- Lorsque vous créez un compte de stockage Azure, aucune autorisation d’accès aux données ne vous est automatiquement attribuée via Microsoft Entra ID. Vous devez vous attribuer explicitement un rôle Azure pour le Stockage Azure. Vous pouvez l’attribuer au niveau de votre abonnement, groupe de ressources, compte de stockage, conteneur ou file d’attente.
- Lorsque vous attribuez des rôles ou supprimez des attributions de rôle, un délai de 10 minutes maximum peut être nécessaire avant que les modifications soient prises en compte.
- Les rôles intégrés avec des actions de données peuvent être attribués au niveau du groupe de gestion. Cependant, dans de rares scénarios, il peut y avoir un délai important (jusqu'à 12 heures) avant que les autorisations d'action sur les données ne soient effectives pour certains types de ressources. Les autorisations seront éventuellement appliquées. Pour les rôles intégrés avec des actions de données, l’ajout ou la suppression d’attributions de rôles au niveau du groupe de gestion n’est pas recommandé pour les scénarios où l’activation ou la révocation d’autorisations en temps opportun, comme Microsoft Entra Privileged Identity Management (PIM), est requise.
- Si le compte de stockage est verrouillé à l’aide d’un verrou en lecture seule Azure Resource Manager, le verrou empêche l’attribution de rôles Azure étendus au compte de stockage ou à une file d’attente.