Gérer des conteneurs d’objets blobs avec Azure CLI
Le stockage d’objets blob Azure vous permet de stocker de grandes quantités de données d’objet non structurées. Vous pouvez utiliser le Stockage Blob pour collecter ou exposer des données multimédias, du contenu ou des données d’application aux utilisateurs. Étant donné que toutes les données blob sont stockées dans des conteneurs, vous devez créer un conteneur de stockage avant de commencer à charger des données. Pour en savoir plus sur le Stockage Blob, lisez la Présentation du Stockage Blob Azure.
Dans cet article pratique, vous allez apprendre à utiliser des objets de conteneur dans le portail Azure.
Prérequis
Pour accéder à Stockage Azure, vous avez besoin d’un abonnement Azure. Si vous n’avez pas d’abonnement, vous pouvez créer un compte gratuit avant de commencer.
Tous les accès à Stockage Azure se font via un compte de stockage. Pour ce guide pratique, créez un compte de stockage à l’aide du portail Azure, d’Azure PowerShell ou de l’interface Azure CLI. Pour obtenir de l’aide sur la création d’un compte de stockage, consultez Créer un compte de stockage.
Créez un conteneur.
Un conteneur regroupe un ensemble d’objets blob, à la manière d’un répertoire dans un système de fichiers. Un compte de stockage peut contenir un nombre illimité de conteneurs, et un conteneur peut stocker un nombre illimité d’objets blob.
Pour créer un conteneur dans le portail Azure, procédez comme suit :
Dans le volet de navigation du portail sur le côté gauche de l’écran, sélectionnez Comptes de stockage et choisissez un compte de stockage. Si le volet de navigation n’est pas visible, sélectionnez le bouton de menu pour activer sa visibilité.
Dans le volet de navigation du compte de stockage, faites défiler jusqu’à la section Stockage de données et sélectionnez Conteneurs.
Dans le volet Conteneurs, sélectionnez le bouton + Conteneur pour ouvrir le volet Nouveau conteneur.
Dans le volet Nouveau conteneur, fournissez un Nom pour votre nouveau conteneur. Le nom du conteneur doit être en minuscules, commencer par une lettre ou un chiffre, et peut comporter uniquement des lettres, des chiffres et des tirets (-). Le nom doit avoir entre 3 et 63 caractères. Pour plus d’informations sur les noms des conteneurs et des objets blob, consultez Affectation de noms et références aux conteneurs, objets blob et métadonnées.
Définissez le niveau d'accès anonyme pour le conteneur. Le niveau recommandé est Privé (pas d’accès anonyme). Pour plus d’informations sur la prévention de l’accès anonyme aux données blob, consultez Présentation : correction de l’accès en lecture anonyme pour les données blob.
Sélectionnez Créer pour créer le conteneur.
Lire les métadonnées et les propriétés de conteneur
Un conteneur expose à la fois les propriétés système et les métadonnées définies par l’utilisateur. Des propriétés système existent sur chaque ressource de Stockage Blob. Certaines propriétés sont en lecture seule, d’autres peuvent être lues ou définies.
Ces métadonnées définies par l’utilisateur se composent d’une ou plusieurs paires nom-valeur que vous spécifiez pour une ressource de Stockage Blob. Vous pouvez les utiliser pour stocker des valeurs supplémentaires avec la ressource. Les valeurs de métadonnées sont destinées à votre usage personnel et n’affectent pas le comportement de la ressource.
Propriétés de conteneur
Pour afficher les propriétés d’un conteneur dans le Portail Azure, procédez comme suit :
Accédez à la liste des conteneurs pour votre compte de stockage.
Cochez la case en regard du nom du conteneur dont vous souhaitez afficher les propriétés.
Sélectionnez le bouton Plus du conteneur (...), puis Propriétés du conteneur pour afficher le volet Propriétés du conteneur.
Métadonnées de conteneur de lecture et d’écriture
Les utilisateurs qui ont un grand nombre d’objets au sein de leur compte de stockage peuvent organiser leurs données logiquement dans des conteneurs à l’aide de métadonnées.
Pour gérer les métadonnées d’un conteneur dans le Portail Azure, procédez comme suit :
Accédez à la liste des conteneurs pour votre compte de stockage.
Cochez la case en regard du nom du conteneur dont vous souhaitez gérer les métadonnées.
Sélectionnez le bouton Plus du conteneur (...), puis Modifier les métadonnées pour afficher le volet Métadonnées du conteneur.
Le volet Métadonnées du conteneur affiche les paires clé-valeur des métadonnées existantes. Les données existantes peuvent être modifiées en sélectionnant une clé ou une valeur existante et en remplaçant les données. Vous pouvez ajouter des métadonnées supplémentaires et fournir des données dans les champs vides fournis. Enfin, sélectionnez Enregistrer pour valider vos données.
Gérer l’accès aux conteneurs et objets blob
La gestion correcte de l’accès aux conteneurs et leurs objets blob est essentielle pour garantir que vos données restent sécurisées. Les sections suivantes illustrent les façons dont vous pouvez répondre à vos exigences d’accès.
Gérer les attributions de rôles Azure RBAC pour le conteneur
Microsoft Entra ID offre une sécurité optimale pour les ressources de stockage Blob. Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) détermine les autorisations dont dispose un principal de sécurité pour une ressource donnée. Pour accorder l’accès à un conteneur, vous allez attribuer un rôle RBAC à l’étendue du conteneur ou plus à un utilisateur, un groupe, un principal de service ou une identité managée. Vous pouvez également choisir d’ajouter une ou plusieurs conditions à l’attribution de rôle.
Vous pouvez en savoir plus sur l’attribution de rôles en lisant Attribuer des rôles Azure à l’aide du portail Azure.
Générer une signature d’accès partagé
Une signature d’accès partagé (SAP) fournit un accès temporaire, sécurisé et délégué à un client qui ne dispose pas normalement d’autorisations. Une SAP vous donne un contrôle granulaire sur la manière dont un client peut accéder à vos données. Par exemple, vous pouvez spécifier les ressources disponibles pour le client. Vous pouvez également limiter les types d’opérations que le client peut effectuer, et en spécifier la durée.
Azure prend en charge trois types de SAP. Une SAP de service fournit l’accès à une ressource d’un seul des services de stockage : le service blob, de file d’attente, de table ou de fichiers. Une SAP de compte est similaire à une SAP de service, mais peut autoriser l’accès aux ressources dans plusieurs services de stockage. Un SAS de délégation d'utilisateurs est un SAS sécurisé avec les informations d'identification Microsoft Entra et ne peut être utilisé qu'avec le service Blob Storage.
Lorsque vous créez une SAP, vous pouvez définir des limitations d’accès en fonction du niveau d’autorisation, de l’adresse IP ou de la plage, ou de la date et de l’heure d’expiration. Pour plus de détails, consultez Accorder un accès limité aux ressources Stockage Azure à l’aide des signatures d’accès partagé.
Attention
Tout client disposant d’une SAP valide peut accéder aux données de votre compte de stockage tel qu’autorisé par cette SAP. Il est important de protéger une SAP contre toute utilisation malveillante ou involontaire. Faites preuve de discrétion lors de la distribution d’une SAP et mettez en place un plan de révocation d’une SAS compromis.
Pour générer un jeton de SAP à l’aide du Portail Azure, procédez comme suit :
Dans le portail Azure, accédez à la liste des conteneurs dans votre compte de stockage.
Cochez la case en regard du nom du conteneur pour lequel vous générerez un jeton SAP.
Sélectionnez le bouton Plus du conteneur (...), puis Générer une SAP pour afficher le volet Générer une SAP.
Dans le volet Générer une SAP, sélectionnez la valeur Clé de compte pour le champ Méthode de signature.
Dans le champ Méthode de signature, sélectionnez Clé de compte. Le choix de la clé de compte entraîne la création d’une SAP de service.
Dans le champ Clé de signature, sélectionnez la clé souhaitée à utiliser pour signer la SAP.
Dans le champ Stratégie d’accès stocké, sélectionnez Aucune.
Sélectionnez le champ Autorisations, puis cochez les cases correspondant aux autorisations souhaitées.
Dans la section Date/heure de début et d’expiration, spécifiez les valeurs de date, d’heure et de fuseau horaire de Début et d’Expiration souhaitées.
Le champ Adresses IP autorisées est facultatif. Il spécifie une adresse IP ou une plage d’adresses IP à partir desquelles des requêtes doivent être acceptées. Si l’adresse IP de la requête e ne correspond pas à l’adresse IP ou à la plage d’adresses spécifiée sur le jeton SAS, elle ne sera pas autorisée.
Si vous le souhaitez, spécifiez le protocole autorisé pour les requêtes effectuées avec la SAP dans le champ Protocoles autorisés. La valeur par défaut est HTTPS.
Vérifiez vos paramètres, puis sélectionnez Générer un jeton SAP et une URL pour afficher les chaînes de requête Jeton SAP d’objet blob et URL SAP d’objet blob
Copiez et collez les valeurs Jeton SAS blob et URL SAS blob en lieu sûr. Elles ne s’affichent qu’une seule fois et ne peuvent pas être récupérées une fois la fenêtre fermée.
Notes
Le jeton SAP retourné par le portail n’inclut pas le caractère délimiteur (« ? ») pour la chaîne de requête d’URL. Si vous ajoutez le jeton SAP à une URL de ressource, n’oubliez pas d’ajouter le caractère délimiteur à l’URL de ressource avant d’ajouter le jeton SAP.
Créer une stratégie d’accès ou d’immuabilité stockée
Une stratégie d’accès stockée vous donne un contrôle côté serveur supplémentaire sur une ou plusieurs signatures d’accès partagé. Lorsque vous associez une SAP à une stratégie d’accès stockée, la SAP hérite des restrictions définies dans la stratégie. Ces restrictions supplémentaires vous permettent de modifier l’heure de début, l’heure d’expiration ou les autorisations d’une signature. Vous pouvez également la révoquer une fois qu’elle a été émise.
Les stratégies d’immuabilité peuvent être utilisées pour protéger vos données contre les remplacements et les suppressions. Les stratégies d’immuabilité permettent de créer et de lire des objets, mais empêchent leur modification ou leur suppression pendant une durée spécifique. Stockage Blob prend en charge deux types de stratégies d’immuabilité. Une Stratégie de rétention limitée dans le temps interdit les opérations d’écriture et de suppression pendant une période définie. Une conservation légale interdit également les opérations d’écriture et de suppression, mais doit être explicitement retirée avant que ces opérations puissent reprendre.
création d’une stratégie d’accès stockée
La configuration d’une stratégie d’accès stockée est un processus en deux étapes : la stratégie doit d’abord être définie, puis appliquée au conteneur par la suite. Pour configurer une stratégie d’accès stockée, procédez comme suit :
Dans le portail Azure, accédez à la liste des conteneurs dans votre compte de stockage.
Cochez la case en regard du nom du conteneur pour lequel vous générerez un jeton SAP.
Sélectionnez le bouton Plus du conteneur (...), puis Stratégie d’accès pour afficher le volet Stratégie d’accès.
Dans le volet Stratégie d’accès, sélectionnez + Ajouter une stratégie dans la section Stratégies d’accès stockées pour afficher le volet Ajouter une stratégie. Toutes les stratégies existantes s’affichent dans la section appropriée.
Dans le volet Ajouter une stratégie, sélectionnez la zone Identificateur et ajoutez un nom pour votre nouvelle stratégie.
Sélectionnez le champ Autorisations, puis cochez les cases correspondant aux autorisations souhaitées pour votre nouvelle stratégie.
Si vous le souhaitez, fournissez des valeurs de date, d’heure et de fuseau horaire pour les champs Heure de début et Heure d’expiration pour définir la période de validité de la stratégie.
Passez en revue vos paramètres, puis sélectionnez OK pour mettre à jour le volet Stratégie d’accès.
Attention
Bien que votre stratégie s’affiche désormais dans la table Stratégie d’accès stockée, elle n’est toujours pas appliquée au conteneur. Si vous quittez le volet Stratégie d’accès à ce stade, la stratégie n’est pas enregistrée ou appliquée, et vous perdez votre travail.
Dans le volet Stratégie d’accès, sélectionnez + Ajouter une stratégie pour définir une autre stratégie, ou Enregistrer pour appliquer votre nouvelle stratégie au conteneur. Après avoir créé au moins une stratégie d’accès stockée, vous serez en mesure d’associer d’autres signatures d’accès sécurisé (SAS) à celle-ci.
Créer une stratégie d’immuabilité
Apprenez-en plus sur la Configuration des stratégies d’immuabilité pour les conteneurs. Pour obtenir de l’aide sur l’implémentation des stratégies d’immuabilité, suivez les étapes décrites dans la section Configurer une stratégie de rétention ou Configurer ou retirer une conservation légale.
Gérer les baux
Un bail de conteneur est utilisé pour établir ou gérer un verrou pour les opérations de suppression. Lorsqu’un bail est acquis dans le portail Azure, le verrou ne peut être créé qu’avec une durée infinie. Lorsqu’il est créé par programme, la durée du verrou peut être comprise entre 15 et 60 secondes, ou être infinie.
Il existe cinq modes de fonctionnement de bail différents, mais seuls deux sont disponibles dans le portail Azure :
Cas d’utilisation | ||
---|---|---|
Demandez un nouveau bail. | ✓ | |
Renouvelez un bail existant. | ||
Modifiez l’ID d’un bail existant. | ||
Mettre fin au bail actuel ; permet à d’autres clients d’acquérir un nouveau bail | ✓ | |
Mettre fin au bail actuel ; empêche d’autres clients d’acquérir un nouveau bail pendant la période de bail actuelle |
Acquérir un bail
Pour acquérir un bail à l’aide du portail Azure, procédez comme suit :
Dans le portail Azure, accédez à la liste des conteneurs dans votre compte de stockage.
Cochez la case en regard du nom du conteneur pour lequel vous allez acquérir un bail.
Sélectionnez le bouton Plus du conteneur (...), puis Acquérir un bail pour demander un nouveau bail et afficher les détails dans le volet État du bail.
Les valeurs de propriété Conteneur et ID de bail du bail nouvellement demandé s’affichent dans le volet État du bail. Copiez et collez ces valeurs en lieu sûr. Elles ne s’affichent qu’une seule fois et ne peuvent pas être récupérées une fois le volet fermé.
Arrêter un bail
Pour rompre un bail à l’aide du portail Azure, procédez comme suit :
Dans le portail Azure, accédez à la liste des conteneurs dans votre compte de stockage.
Cochez la case en regard du nom du conteneur pour lequel vous allez rompre un bail.
Sélectionnez le bouton Plus du conteneur (...), puis Rompre le bail pour interrompre le bail.
Une fois le bail rompu, la valeur État du bail du conteneur sélectionné est mise à jour et une confirmation d’état s’affiche.
Supprimer des conteneurs
Lorsque vous supprimez un conteneur dans le portail Azure, tous les objets blob du conteneur sont également supprimés.
Avertissement
En suivant les étapes ci-dessous, vous pouvez supprimer définitivement des conteneurs et tous les objets blob qu’ils contiennent. Microsoft recommande d’activer la suppression réversible de conteneurs afin de protéger les conteneurs et les blobs contre les suppressions accidentelles. Pour plus d’informations, consultez Suppression réversible de conteneurs.
Pour supprimer un conteneur dans le portail Azure, procédez comme suit :
Dans le portail Azure, accédez à la liste des conteneurs dans votre compte de stockage.
Sélectionnez le conteneur à supprimer.
Sélectionnez le bouton Plus ( ... ), puis sélectionnez Supprimer.
Dans la boîte de dialogue Supprimer le ou les conteneurs, vérifiez que vous souhaitez supprimer le conteneur.
Dans certains cas, il est possible de récupérer des conteneurs qui ont été supprimés. Si l’option de protection des données avec la suppression réversible de votre compte de stockage est activée, vous pouvez accéder aux conteneurs supprimés pendant la période de rétention associée. Pour en savoir plus sur la suppression réversible, reportez-vous à l’article sur la Suppression réversible des conteneurs.
Afficher les conteneurs supprimés de manière réversible
Lorsque la suppression réversible est activée, vous pouvez afficher les conteneurs supprimés de manière réversible dans le portail Azure. Les conteneurs supprimés de manière réversible sont visibles pendant la période de rétention spécifiée. Après l’expiration de la période de rétention, un conteneur supprimé de manière réversible est définitivement supprimé et n’est plus visible.
Pour afficher les conteneurs supprimés de manière réversible dans le portail Azure, procédez comme suit :
Accédez à votre compte de stockage dans le portail Azure et affichez la liste de vos conteneurs.
Activez le bouton bascule Afficher les conteneurs supprimés pour inclure les conteneurs supprimés dans la liste.
Restaurer un conteneur supprimé de manière réversible
Vous pouvez restaurer un conteneur supprimé de manière réversible et son contenu pendant la période de rétention. Pour restaurer un conteneur supprimé de manière réversible dans le portail Azure, procédez comme suit :
Accédez à votre compte de stockage dans le portail Azure et affichez la liste de vos conteneurs.
Affichez le menu contextuel du conteneur que vous souhaitez restaurer, puis choisissez Annuler la suppression dans le menu.