Déléguer l’accès à l’aide d’une signature d’accès partagé
Important
Pour une sécurité optimale, Microsoft recommande d’utiliser Microsoft Entra ID avec des identités managées pour autoriser les demandes sur les données d’objet blob, de file d’attente et de table, dans la mesure du possible. L’autorisation avec des identités Microsoft Entra ID et managées offre une sécurité et une facilité d’utilisation supérieures par rapport à l’autorisation par clé partagée. Pour en savoir plus, consultez Autoriser avec Microsoft Entra ID. Pour en savoir plus sur les identités managées, consultez Que sont les identités managées pour les ressources Azure.
Pour les ressources hébergées en dehors d’Azure, telles que les applications locales, vous pouvez utiliser des identités managées via Azure Arc. Par exemple, les applications s’exécutant sur des serveurs avec Azure Arc peuvent utiliser des identités managées pour se connecter aux services Azure. Pour plus d’informations, consultez S’authentifier auprès de ressources Azure avec des serveurs avec Azure Arc.
Pour les scénarios où des signatures d’accès partagé (SAP) sont utilisées, Microsoft recommande d’utiliser une sape de délégation d’utilisateur. Une sap de délégation d’utilisateur est sécurisée avec des informations d’identification Microsoft Entra au lieu de la clé de compte. Pour en savoir plus sur les signatures d’accès partagé, consultez Create une SAP de délégation d’utilisateur.
Une signature d’accès partagé est un URI qui octroie des droits d’accès restreints aux ressources Stockage Azure. Vous pouvez fournir une signature d’accès partagé aux clients qui ne doivent pas être approuvés avec votre clé de compte de stockage, mais qui ont besoin d’accéder à certaines ressources de compte de stockage. En distribuant un URI de signature d’accès partagé à ces clients, vous leur accordez l’accès à une ressource pour une période de temps spécifiée, avec un ensemble spécifié d’autorisations.
Les paramètres de requête URI qui composent le jeton SAP incorporent toutes les informations nécessaires pour accorder un accès contrôlé à une ressource de stockage. Un client disposant de la signature d’accès partagé peut effectuer une demande auprès du stockage Azure en utilisant uniquement l’URI SAS. Les informations contenues dans le jeton SAS sont utilisées pour autoriser la demande.
Types de signatures d’accès partagé
Stockage Azure prend en charge les types de signatures d’accès partagé suivants :
Une SAP de compte, introduite avec la version 2015-04-05. Ce type de SAP délègue l’accès aux ressources dans un ou plusieurs des services de stockage. Toutes les opérations disponibles via une SAP de service sont également disponibles via une SAP de compte.
Avec la signature d’accès partagé du compte, vous pouvez déléguer l’accès aux opérations qui s’appliquent à un service, telles que
Get/Set Service Properties
etGet Service Stats
. Vous pouvez également déléguer l'accès aux opérations de lecture, d’écriture et de suppression sur les conteneurs d'objets blob, les tables, les files d'attente et les partages de fichiers qui ne sont pas autorisées avec une SAP de service.Pour plus d’informations, consultez Créer une signature d’accès partagé de compte.
Sap de service. Ce type de SAP délègue l’accès à une ressource dans un seul des services de stockage : Stockage Blob Azure, Stockage File d’attente Azure, Stockage Table Azure ou Azure Files. Pour plus d’informations, consultez exemples Create sapes de service et SAS de service.
Une SAS de délégation d’utilisateur, introduite avec la version 2018-11-09. Ce type de signature d’accès partagé est sécurisé avec des informations d’identification Microsoft Entra. Il est pris en charge uniquement pour le Stockage Blob, et vous pouvez l’utiliser pour accorder l’accès aux conteneurs et aux objets blob. Pour en savoir plus, consultez Créer une SAP de délégation d’utilisateur.
En outre, une sap de service peut référencer une stratégie d’accès stockée qui fournit un autre niveau de contrôle sur un ensemble de signatures. Ce contrôle inclut la possibilité de modifier ou de révoquer l’accès à la ressource si nécessaire. Pour plus d’informations, consultez Mise en place d’une stratégie d’accès stockée.
Notes
Les stratégies d’accès stockées ne sont actuellement pas prises en charge pour une SAP de compte ou une SAP de délégation d’utilisateur.