Créer et associer des stratégies de point de terminaison de service

Les stratégies de point de terminaison de service vous permettent de filtrer le trafic de réseau virtuel sur des ressources Azure spécifiques sur des points de terminaison de service. Si vous n’êtes pas familiarisé avec les stratégies de point de terminaison de service, consultez la vue d’ensemble des stratégies de point de terminaison de service pour en savoir plus.

Dans ce tutoriel, vous allez apprendre à :

• Créer un réseau virtuel.
• Ajouter un sous-réseau et activer un point de terminaison de service pour le stockage Azure
• Créez deux comptes de stockage Azure et autorisez l’accès réseau à ces derniers à partir du sous-réseau dans le réseau virtuel.
• Créer une stratégie de point de terminaison de service pour autoriser l’accès à l’un des comptes de stockage uniquement.
• Déployer une machine virtuelle sur le sous-réseau.
• Vérifier l’accès au compte de stockage autorisé à partir du sous-réseau.
• Vérifiez que l’accès au compte de stockage non autorisé à partir du sous-réseau est refusé.

Prérequis

Portail

• Compte Azure avec un abonnement actif. Vous pouvez créer un compte gratuitement.

PowerShell

• Compte Azure avec un abonnement actif. Vous pouvez créer un compte gratuitement.

Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser dans votre navigateur. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour utiliser les services Azure. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.

Pour démarrer Azure Cloud Shell :

Option	Exemple/Lien
Sélectionnez Essayer dans le coin supérieur droite d’un bloc de codes ou de commandes. La sélection de Essayer ne copie pas automatiquement le code ni la commande dans Cloud Shell.
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur.
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure.

Pour utiliser Azure Cloud Shell :

1. Démarrez Cloud Shell.

2. Sélectionnez le bouton Copier sur un bloc de codes (ou un bloc de commandes) pour copier le code ou la commande.

3. Collez le code ou la commande dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux ou en sélectionnant Cmd+Maj+V sur macOS.

4. Sélectionnez Entrée pour exécuter le code ou la commande.

Si vous choisissez d’installer et d’utiliser PowerShell en local, vous devez exécuter le module Azure PowerShell version 1.0.0 ou ultérieure pour les besoins de cet article. Exécutez Get-Module -ListAvailable Az pour rechercher la version installée. Si vous devez effectuer une mise à niveau, consultez Installer le module Azure PowerShell. Si vous exécutez PowerShell en local, vous devez également exécuter Connect-AzAccount pour créer une connexion avec Azure.

INTERFACE DE LIGNE DE COMMANDE

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

• Cet article nécessite la version 2.0.28 ou ultérieure d’Azure CLI. Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.

Créer un réseau virtuel et activer le point de terminaison de service

Créez un réseau virtuel pour contenir les ressources que vous créez dans ce didacticiel.

Portail

1. Dans la zone de recherche du portail, entrez Réseaux virtuels. Sélectionnez Réseaux virtuels dans les résultats de la recherche.

2. Sélectionnez + Créer pour créer un réseau virtuel.

3. Sous l’onglet Informations de base dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez Créer nouveau. Entrez test-rg dans Nom. Sélectionnez OK.
   Nom	Entrez vnet-1.
   Région	Sélectionnez USA Ouest 2.

4. Cliquez sur Suivant.

5. Cliquez sur Suivant.

6. Sous l’onglet Adresses IP, dans Sous-réseaux, sélectionnez le sous-réseau par défaut.

7. Dans Modifier le sous-réseau, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Nom	Entrez subnet-1.
   Points de terminaison de service
   Services
   Dans le menu déroulant, sélectionnez Microsoft.Storage.

8. Cliquez sur Enregistrer.

9. Sélectionnez Vérifier + créer.

10. Sélectionnez Créer.

PowerShell

Avant de créer un réseau virtuel, vous devez créer un groupe de ressources pour le réseau virtuel et toutes les autres ressources créées dans cet article. Créez un groupe de ressources avec New-AzResourceGroup. L’exemple suivant crée un groupe de ressources nommé test-rg :

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Créez un réseau virtuel avec New-AzVirtualNetwork. L’exemple suivant crée un réseau virtuel nommé vnet-1 avec le préfixe d’adresse 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Créez une configuration de sous-réseau avec New-AzVirtualNetworkSubnetConfig, puis écrivez la configuration du sous-réseau dans le réseau virtuel avec Set-AzVirtualNetwork. L’exemple suivant ajoute un sous-réseau nommé subnet-1 au réseau virtuel et crée le point de terminaison de service pour Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

INTERFACE DE LIGNE DE COMMANDE

Avant de créer un réseau virtuel, vous devez créer un groupe de ressources pour le réseau virtuel et toutes les autres ressources créées dans cet article. Créez un groupe de ressources avec la commande az group create. L’exemple suivant crée un groupe de ressources nommé test-rg à l’emplacement westus2.

az group create \
  --name test-rg \
  --location westus2

Créez un réseau virtuel avec un sous-réseau en utilisant la commande az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

Dans cet exemple, un point de terminaison de service pour Microsoft.Storage est créé pour le sous-réseau subnet-1 :

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Restreindre l’accès réseau pour le sous-réseau

Créez un groupe de sécurité réseau et des règles qui limitent l’accès réseau pour le sous-réseau.

Créer un groupe de sécurité réseau

Portail

1. Dans la zone de recherche du portail, entrez Groupes de sécurité réseau. Dans les résultats de la recherche, sélectionnez Groupe de sécurité réseau.

2. Sélectionnez + Créer pour créer un groupe de sécurité réseau.

3. Dans l’onglet Informations de base de Créer un groupe de sécurité réseau, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Nom	Entrez nsg-1.
   Région	Sélectionnez USA Ouest 2.

4. Sélectionnez Vérifier + créer.

5. Sélectionnez Créer.

Créer des règles pour le groupe de sécurité réseau

1. Dans la zone de recherche du portail, entrez Groupes de sécurité réseau. Dans les résultats de la recherche, sélectionnez Groupe de sécurité réseau.

2. Sélectionnez nsg-1.

3. Développer Paramètres. Sélectionnez Règles de sécurité de trafic sortant.

4. Sélectionnez + Ajouter pour ajouter une nouvelle règle de sécurité sortante.

5. Dans Ajouter une règle de sécurité de trafic entrant, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Source	Sélectionnez Balise du service.
   Balise du service source	Sélectionnez VirtualNetwork.
   Plages de ports source	Entrez *.
   Destination	Sélectionnez Balise du service.
   Identification de destination	Sélectionnez Stockage.
   Service	Sélectionnez Personnalisé.
   Plages de ports de destination	Entrez *.
   Protocol	sélectionnez N'importe laquelle.
   Action	Sélectionnez Autoriser.
   Priorité	Entrez 100.
   Nom	Entrez allow-storage-all.

6. Sélectionnez Ajouter.

7. Sélectionnez + Ajouter pour ajouter une autre règle de sécurité sortante.

8. Dans Ajouter une règle de sécurité de trafic entrant, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Source	Sélectionnez Balise du service.
   Balise du service source	Sélectionnez VirtualNetwork.
   Plages de ports source	Entrez *.
   Destination	Sélectionnez Balise du service.
   Identification de destination	Sélectionnez Internet.
   Service	Sélectionnez Personnalisé.
   Plages de ports de destination	Entrez *.
   Protocol	sélectionnez N'importe laquelle.
   Action	Sélectionner Rejeter.
   Priorité	Entrez 110.
   Nom	Entrez deny-internet-all.

9. Sélectionnez Ajouter.

10. Développer Paramètres. Sélectionner Sous-réseaux.

11. Sélectionnez Associer.

12. Dans Associer un sous-réseau, entrez ou sélectionnez les informations suivantes.

    Paramètre	Valeur
    Réseau virtuel	Sélectionnez vnet-1 (test-rg).
    Subnet	Sélectionnez subnet-1.

13. Cliquez sur OK.

PowerShell

Créez des règles de sécurité de groupe de sécurité réseau avec New-AzNetworkSecurityRuleConfig. La règle suivante autorise un accès sortant vers les adresses IP publiques affectées au service Stockage Azure :

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

La règle suivante refuse l’accès à toutes les adresses IP publiques. La règle précédente remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux adresses IP publiques du Stockage Azure.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Créez un groupe de sécurité réseau avec New-AzNetworkSecurityGroup. L’exemple suivant crée un groupe de sécurité réseau nommé nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Associez le groupe de sécurité réseau au sous-réseau subnet-1 avec Set-AzVirtualNetworkSubnetConfig, puis écrivez la configuration du sous-réseau dans le réseau virtuel. L’exemple suivant associe le groupe de sécurité réseau nsg-1 au sous-réseau subnet-1 :

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

INTERFACE DE LIGNE DE COMMANDE

Créez un groupe de sécurité réseau avec la commande az network nsg create. L’exemple suivant crée un groupe de sécurité réseau nommé nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Pour associer le groupe de sécurité réseau au sous-réseau subnet-1, utilisez az network vnet subnet update. L’exemple suivant associe le groupe de sécurité réseau nsg-1 au sous-réseau subnet-1 :

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Créez des règles de sécurité avec az network nsg rule create. La règle qui suit autorise un accès sortant vers les adresses IP publiques affectées au service Stockage Azure :

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Chaque groupe de sécurité réseau contient plusieurs règles de sécurité par défaut. La règle qui suit remplace une règle de sécurité par défaut, qui autorise l’accès de trafic sortant à toutes les adresses IP publiques. L’option destination-address-prefix "Internet" refuse l’accès sortant à toutes les adresses IP publiques. La règle précédente remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux adresses IP publiques du Stockage Azure.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Restreindre l’accès réseau aux comptes Stockage Azure

Les étapes nécessaires pour restreindre l’accès réseau aux ressources créées par le biais des services Azure avec activation des points de terminaison varient d’un service à l’autre. Pour connaître les étapes à suivre, consultez la documentation relative à chacun des services. La suite de cet article comprend des étapes permettant de restreindre l’accès réseau pour un compte Stockage Azure.

Créer deux comptes de stockage

Portail

1. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

2. Sélectionnez + Créer pour créer un compte de stockage.

3. Dans Créer un compte de stockage, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Détails de l’instance
   Nom du compte de stockage	Entrez allowedaccount(random-number). Remarque : le nom du compte de stockage doit être unique. Ajoutez un nombre aléatoire à la fin du nom allowedaccount.
   Région	Sélectionnez USA Ouest 2.
   Performances	Sélectionnez Standard.
   Redondance	Sélectionner Stockage localement redondant (LRS)

4. Sélectionnez Suivant jusqu’à atteindre l’onglet Protection des données.

5. Dans Recovery, désélectionnez toutes les options.

6. Sélectionnez Vérifier + créer.

7. Sélectionnez Créer.

8. Répétez les étapes précédentes pour créer un autre compte de stockage avec les informations suivantes.

   Paramètre	Valeur
   Nom du compte de stockage	Entrez deniedaccount(random-number).

PowerShell

Créez le compte de stockage Azure autorisé avec New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Utilisez la même commande pour créer le compte de stockage Azure refusé, mais remplacez le nom par deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

INTERFACE DE LIGNE DE COMMANDE

Créez deux comptes Stockage Azure avec la commande az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Utilisez la même commande pour créer le compte de stockage Azure refusé, mais remplacez le nom par deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Créer des partages de fichiers

Portail

1. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

2. Sélectionnez allowedaccount(random-number).

3. Développez la section Stockage de données et sélectionnez Partages de fichiers.

4. Sélectionner +Partage de fichiers.

5. Dans Nouveau partage de fichiers, saisissez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Nom	Entrez partage de fichiers.

6. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.

7. Sélectionnez Créer.

8. Répétez les étapes précédentes pour créer un partage de fichiers dans deniedaccount(random-number).

PowerShell

Créer un partage de fichiers de compte de stockage autorisé

Utilisez Get-AzStorageAccountKey pour obtenir la clé de compte de stockage pour le compte de stockage autorisé. Vous allez utiliser cette clé à l’étape suivante pour créer un partage de fichiers dans le compte de stockage autorisé.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Créez un contexte pour votre compte de stockage et votre clé avec New-AzStorageContext. Celui-ci encapsule le nom et la clé du compte de stockage.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Créez un partage de fichiers avec New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Créer un partage de fichiers de compte de stockage refusé

Utilisez Get-AzStorageAccountKey pour obtenir la clé de compte de stockage pour le compte de stockage autorisé. Vous allez utiliser cette clé à l’étape suivante pour créer un partage de fichiers dans le compte de stockage refusé.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Créez un contexte pour votre compte de stockage et votre clé avec New-AzStorageContext. Celui-ci encapsule le nom et la clé du compte de stockage.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Créez un partage de fichiers avec New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

INTERFACE DE LIGNE DE COMMANDE

Créer un partage de fichiers de compte de stockage autorisé

Récupérez la chaîne de connexion des comptes de stockage dans une variable avec az storage account show-connection-string. La chaîne de connexion sera utilisée pour créer un partage de fichiers lors d’une prochaine étape.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Créez un partage de fichiers dans le compte de stockage avec az storage share create. Dans une étape ultérieure, ce partage de fichiers sera monté pour vérifier qu’il est possible d’y accéder via le réseau.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Créer un partage de fichiers de compte de stockage refusé

Récupérez la chaîne de connexion des comptes de stockage dans une variable avec az storage account show-connection-string. La chaîne de connexion sera utilisée pour créer un partage de fichiers lors d’une prochaine étape.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Créez un partage de fichiers dans le compte de stockage avec az storage share create. Dans une étape ultérieure, ce partage de fichiers sera monté pour vérifier qu’il est possible d’y accéder via le réseau.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

Refuser tout accès réseau aux comptes de stockage

Par défaut, les comptes de stockage acceptent les connexions réseau provenant des clients de n’importe quel réseau. Pour restreindre l’accès réseau aux comptes de stockage, vous pouvez configurer le compte de stockage de manière à ce qu’il n’accepte que les connexions provenant de réseaux spécifiques. Dans cet exemple, vous configurez le compte de stockage pour accepter les connexions uniquement à partir du sous-réseau de réseau virtuel que vous avez créé précédemment.

Portail

1. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

2. Sélectionnez allowedaccount(random-number).

3. Développez Sécurité et mise en réseau, puis sélectionnez Mise en réseau.

4. Dans Pare-feu et réseaux virtuels, dans Accès au réseau public sélectionnez Activé à partir des réseaux virtuels et des adresses IP sélectionnés.

5. Sous Réseaux virtuels, sélectionnez + Ajouter un réseau virtuel existant.

6. Dans Ajouter des réseaux, saisissez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Abonnement	Sélectionnez votre abonnement.
   Réseaux virtuels	Sélectionnez vnet-1.
   Sous-réseaux	Sélectionnez subnet-1.

7. Sélectionnez Ajouter.

8. Cliquez sur Enregistrer.

9. Répétez les étapes précédentes pour refuser l’accès réseau à denyaccount(random-number).

PowerShell

Utilisez Update-AzStorageAccountNetworkRuleSet pour refuser l’accès aux comptes de stockage, à l’exception du réseau virtuel et du sous-réseau que vous avez créés précédemment. Une fois l’accès réseau refusé, le compte de stockage n’est plus accessible par aucun des réseaux.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Activer l’accès réseau uniquement à partir du sous-réseau de réseau virtuel

Récupérez le réseau virtuel créé avec Get-AzVirtualNetwork, puis récupérez l’objet de sous-réseau privé dans une variable avec Get-AzVirtualNetworkSubnetConfig :

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Autorisez l’accès réseau au compte de stockage à partir du sous-réseau subnet-1 avec Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

INTERFACE DE LIGNE DE COMMANDE

Par défaut, les comptes de stockage acceptent les connexions réseau provenant des clients de n’importe quel réseau. Pour limiter l’accès aux réseaux sélectionnés, définissez l’action par défaut sur Refuser avec az storage account update. Une fois l’accès réseau refusé, le compte de stockage n’est plus accessible par aucun des réseaux.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Activer l’accès réseau uniquement à partir du sous-réseau de réseau virtuel

Autorisez l’accès réseau au compte de stockage à partir du sous-réseau subnet-1 avec az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Appliquer la stratégie pour autoriser l’accès au compte de stockage valide

Vous pouvez créer une stratégie de point de terminaison de service. La stratégie garantit que les utilisateurs du réseau virtuel peuvent accéder uniquement aux comptes de stockage Azure sécurisés et autorisés. Cette stratégie contient une liste de comptes de stockage autorisés appliqués au sous-réseau de réseau virtuel connecté au stockage via des points de terminaison de service.

Créer une stratégie de point de terminaison de service

Dans le cadre de cette section, vous allez créer la définition de stratégie avec la liste des ressources dont l’accès est autorisé sur le point de terminaison de service.

Portail

1. Dans la zone de recherche du portail, entrez Stratégie de point de terminaison de service. Sélectionnez Stratégies de point de terminaison de service dans les résultats de la recherche.

2. Sélectionnez + Créer pour créer une stratégie de point de terminaison de service.

3. Sous l’onglet Informations de base de la page Créer une stratégie de point de terminaison de service, saisissez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Détails de l’instance
   Nom	Saisissez service-endpoint-policy.
   Emplacement	Sélectionnez USA Ouest 2.

4. Sélectionnez Suivant : Définitions de stratégie.

5. Sélectionnez + Ajouter une ressource dans Ressources.

6. Dans Ajouter un sous-réseau, saisissez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Service	Sélectionnez Microsoft.Storage.
   Étendue	Sélectionner Compte unique
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Ressource	Sélectionnerallowedaccount(random-number)

7. Sélectionnez Ajouter.

8. Sélectionnez Vérifier + créer.

9. Sélectionnez Créer.

PowerShell

Pour récupérer l’ID de ressource du premier compte de stockage (autorisé), utilisez Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Pour créer la définition de stratégie pour autoriser la ressource précédente, utilisez New-AzServiceEndpointPolicyDefinition.

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Utilisez New-AzServiceEndpointPolicy pour créer la stratégie de point de terminaison de service avec la définition de stratégie.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

INTERFACE DE LIGNE DE COMMANDE

Les stratégies de points de terminaison de service sont appliquées sur les points de terminaison de service. Commencez par créer une stratégie de point de terminaison de service. Après quoi, créez les définitions de stratégie dans le cadre de cette stratégie pour les comptes Stockage Azure à approuver pour ce sous-réseau.

Utilisez az storage account show pour obtenir l’ID de ressource du compte de stockage autorisé.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Créer une stratégie de point de terminaison de service

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Créer et ajouter une définition de stratégie pour autoriser le compte Stockage Azure précédent dans la stratégie de point de terminaison de service

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Associer une stratégie de point de terminaison de service à un sous-réseau

Après avoir créé la stratégie de point de terminaison de service, vous devez l’associer au sous-réseau cible avec la configuration de point de terminaison de service pour le stockage Azure.

Portail

1. Dans la zone de recherche du portail, entrez Stratégie de point de terminaison de service. Sélectionnez Stratégies de point de terminaison de service dans les résultats de la recherche.

2. Sélectionnez service-endpoint-policy.

3. Développez Paramètres et sélectionnez Sous-réseaux associés.

4. Sélectionnez + Modifier l’association de sous-réseau.

5. Dans Modifier l’association de sous-réseau, sélectionnez vnet-1 et subnet-1.

6. Sélectionnez Appliquer.

PowerShell

Utilisez Set-AzVirtualNetworkSubnetConfig pour associer la stratégie de point de terminaison de service au sous-réseau.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

INTERFACE DE LIGNE DE COMMANDE

Utilisez az network vnet subnet update pour associer la stratégie de point de terminaison de service au sous-réseau.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Avertissement

Vérifiez que toutes les ressources ayant fait l’objet d’un accès à partir du sous-réseau sont ajoutées à la définition de stratégie avant d’associer la stratégie au sous-réseau indiqué. Une fois que la stratégie est associée, seul l’accès aux ressources de la liste verte sera autorisé sur les points de terminaison de service.

Vérifiez qu’il n’existe aucun service Azure managé dans le sous-réseau associé à la stratégie de point de terminaison de service.

L’accès aux ressources de stockage Azure dans toutes les régions est limité en fonction de la stratégie de point de terminaison de service de ce sous-réseau.

Vérifier la restriction d’accès aux comptes de stockage Azure

Pour tester l’accès réseau à un compte de stockage, déployez une machine virtuelle sur le sous-réseau.

Déployer la machine virtuelle

Portail

1. Dans la zone de recherche du portail, entrez Machines virtuelles. Sélectionnez Machines virtuelles dans les résultats de la recherche.

2. Sous l’onglet Informations de base de la page Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Détails de l’instance
   Nom de la machine virtuelle	Entrez vm-1.
   Région	Sélectionnez (USA) USA Ouest 2.
   Options de disponibilité	Sélectionnez Aucune redondance d’infrastructure requise.
   Type de sécurité	Sélectionnez Standard.
   Image	Sélectionnez Windows Server 2022 Datacenter - x64 Gen2.
   Taille	Sélectionnez une taille.
   Compte administrateur
   Nom d’utilisateur	Entrez un nom d’utilisateur.
   Mot de passe	Entrez un mot de passe.
   Confirmer le mot de passe	Entrez de nouveau le mot de passe.
   Règles des ports d’entrée

3. Sélectionnez Suivant : Disques, puis sélectionnez Suivant : Réseaux.

4. Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Interface réseau
   Réseau virtuel	Sélectionnez vnet-1.
   Subnet	Sélectionnez subnet-1 (10.0.0.0/24).
   Adresse IP publique	Sélectionnez Aucun.
   Groupe de sécurité réseau de la carte réseau	Sélectionnez Aucun.

5. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.

6. Sélectionnez Créer.

PowerShell

Créez une machine virtuelle dans le sous-réseau subnet-1 avec New-AzVM. Lors de l’exécution de la commande qui suit, vous êtes invité à saisir vos informations d’identification. Les valeurs que vous saisissez sont configurées comme le nom d’utilisateur et le mot de passe pour la machine virtuelle.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

INTERFACE DE LIGNE DE COMMANDE

Créez une machine virtuelle dans le sous-réseau subnet-1 avec az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Attendez la fin du déploiement de la machine virtuelle avant de passer aux étapes suivantes.

Vérifier l’accès au compte de stockage autorisé

1. Connectez-vous au portail Azure.

2. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

3. Sélectionnez allowedaccount(random-number).

4. Développez Sécurité + mise en réseau et sélectionnez Clés d’accès.

5. Copiez la valeur key1. Vous utilisez cette clé pour mapper un lecteur au compte de stockage à partir de la machine virtuelle que vous avez créée précédemment.

6. Dans la zone de recherche du portail, entrez Machines virtuelles. Sélectionnez Machines virtuelles dans les résultats de la recherche.

7. Sélectionnez vm-1.

8. Développez Opérations. Sélectionnez Exécuter la commande.

9. Sélectionnez RunPowerShellScript.

10. Collez le script suivant dans Exécuter le script de commande.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Sélectionnez Exécuter.

12. Si le mappage de lecteur réussit, la sortie de la zone Sortie ressemble à l’exemple suivant :

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Confirmer que l’accès est refusé au compte de stockage refusé

1. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

2. Sélectionnez deniedaccount(random-number).

3. Développez Sécurité + mise en réseau et sélectionnez Clés d’accès.

4. Copiez la valeur key1. Vous utilisez cette clé pour mapper un lecteur au compte de stockage à partir de la machine virtuelle que vous avez créée précédemment.

5. Dans la zone de recherche du portail, entrez Machines virtuelles. Sélectionnez Machines virtuelles dans les résultats de la recherche.

6. Sélectionnez vm-1.

7. Développez Opérations. Sélectionnez Exécuter la commande.

8. Sélectionnez RunPowerShellScript.

9. Collez le script suivant dans Exécuter le script de commande.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Sélectionnez Exécuter.

11. Vous recevez le message d’erreur suivant dans la zone Sortie :

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. Le mappage de lecteur est refusé en raison de la stratégie de point de terminaison de service qui limite l’accès au compte de stockage.

Portail

Lorsque vous avez terminé d’utiliser les ressources que vous avez créées, vous pouvez supprimer le groupe de ressources et toutes les ressources qu’il contient.

1. Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.

2. Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.

3. Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.

4. Entrez test-rg dans Entrez le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.

PowerShell

Quand vous n’avez plus besoin d’un groupe de ressources, vous pouvez utiliser Remove-AzResourceGroup pour le supprimer ainsi que toutes les ressources qu’il contient :

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

INTERFACE DE LIGNE DE COMMANDE

Quand vous n’avez plus besoin d’un groupe de ressources, utilisez az group delete pour le supprimer, ainsi que toutes les ressources qu’il contient.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Étapes suivantes

Dans ce tutoriel, vous avez créé une stratégie de point de terminaison de service que vous avez associée à un sous-réseau. Pour en savoir plus sur les stratégies de point de terminaison de service, consultez la vue d’ensemble des stratégies de point de terminaison de service.