Autoriser les demandes à Stockage Azure
Chaque demande effectuée sur une ressource sécurisée dans le service Blob, Fichier, File d’attente ou Table doit être autorisée. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement lorsque vous le souhaitez, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès.
Important
Pour une sécurité optimale, Microsoft recommande d’utiliser Microsoft Entra ID avec des identités managées pour autoriser les demandes sur les données d’objet blob, de file d’attente et de table, chaque fois que possible. L’autorisation avec des identités Microsoft Entra ID et managées offre une sécurité et une facilité d’utilisation supérieures par rapport à l’autorisation de clé partagée. Pour plus d’informations, consultez Autoriser avec Microsoft Entra ID. Pour en savoir plus sur les identités managées, consultez Que sont les identités managées pour les ressources Azure.
Pour les ressources hébergées en dehors d’Azure, telles que les applications locales, vous pouvez utiliser des identités managées via Azure Arc. Par exemple, les applications s’exécutant sur des serveurs avec Azure Arc peuvent utiliser des identités managées pour se connecter aux services Azure. Pour plus d’informations, consultez S’authentifier auprès de ressources Azure avec des serveurs avec Azure Arc.
Pour les scénarios où des signatures d’accès partagé (SAP) sont utilisées, Microsoft recommande d’utiliser une sap de délégation d’utilisateur. Une sap de délégation d’utilisateur est sécurisée avec Microsoft Entra informations d’identification au lieu de la clé de compte. Pour en savoir plus sur les signatures d’accès partagé, consultez Create une sap de délégation d’utilisateur.
Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :
Artefact Azure | Clé partagée (clé de compte de stockage) | Signature d’accès partagé (SAP) | Microsoft Entra ID | Active Directory Domain Services en local | Accès en lecture public anonyme |
---|---|---|---|---|---|
Objets blob Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Pris en charge |
Azure Files (SMB) | Pris en charge | Non pris en charge | Pris en charge avec Microsoft Entra Domain Services ou Microsoft Entra Kerberos | Pris en charge, les informations d’identification doivent être synchronisées avec Microsoft Entra ID | Non pris en charge |
Azure Files (REST) | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non prise en charge |
Files d'attente Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge |
Tables Azure | Pris en charge | Pris en charge | Pris en charge | Non pris en charge | Non pris en charge |
Chaque option d’autorisation est décrite brièvement ci-dessous :
Microsoft Entra ID :Microsoft Entra est le service de gestion des identités et des accès basé sur le cloud de Microsoft. Microsoft Entra ID’intégration est disponible pour les services Blob, File, Queue et Table. Avec Microsoft Entra ID, vous pouvez attribuer un accès affiné aux utilisateurs, aux groupes ou aux applications via le contrôle d’accès en fonction du rôle (RBAC). Pour plus d’informations sur l’intégration de Microsoft Entra ID à Stockage Azure, consultez Autoriser avec Microsoft Entra ID.
Microsoft Entra Domain Services autorisation pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB (Server Message Block) via Microsoft Entra Domain Services. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès d’un client aux ressources Azure Files dans un compte de stockage. Pour plus d’informations sur l’authentification Azure Files à l’aide de services de domaine, consultez Azure Files’autorisation basée sur l’identité.
Autorisation Active Directory (AD) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD. Votre service de domaine AD peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser RBAC pour le contrôle d’accès au niveau du partage et les DLL NTFS pour l’application des autorisations au niveau du répertoire et du fichier. Pour plus d’informations sur l’authentification Azure Files à l’aide de services de domaine, consultez Azure Files’autorisation basée sur l’identité.
Clé partagée : L’autorisation de clé partagée s’appuie sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature chiffrée qui est transmise à la demande dans l’en-tête d’autorisation . Pour plus d’informations sur l’autorisation de clé partagée, consultez Autoriser avec une clé partagée.
Signatures d’accès partagé : Les signatures d’accès partagé (SAP) délèguent l’accès à une ressource particulière de votre compte avec des autorisations spécifiées et sur un intervalle de temps spécifié. Pour plus d’informations sur la signature SAP, consultez Déléguer l’accès avec une signature d’accès partagé.
Accès anonyme aux conteneurs et aux objets blob : Vous pouvez éventuellement rendre publiques les ressources d’objets blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent pas d’autorisation. Pour plus d’informations, consultez Activer l’accès en lecture public pour les conteneurs et les objets blob dans stockage Blob Azure.
Conseil
L’authentification et l’autorisation de l’accès aux données d’objets blob, de fichiers, de file d’attente et de table avec Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures par rapport aux autres options d’autorisation. Par exemple, en utilisant Microsoft Entra ID, vous évitez d’avoir à stocker votre clé d’accès de compte avec votre code, comme vous le faites avec l’autorisation clé partagée. Bien que vous puissiez continuer à utiliser l’autorisation de clé partagée avec vos applications d’objet blob et de file d’attente, Microsoft recommande de passer à Microsoft Entra ID si possible.
De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAS) pour accorder un accès affiné aux ressources de votre compte de stockage, mais Microsoft Entra ID offre des fonctionnalités similaires sans avoir à gérer les jetons SAP ni à vous soucier de la révocation d’une SAP compromise.
Pour plus d’informations sur l’intégration Microsoft Entra ID dans Stockage Azure, consultez Autoriser l’accès aux objets blob et aux files d’attente Azure à l’aide de Microsoft Entra ID.