Configurer le contrôle d’accès pour les comptes de stockage
Les demandes de ressource sécurisée dans le service Blob, Fichier, File d’attente ou Table doivent être autorisées. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement lorsque vous le souhaitez, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès.
Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :
| Artefact Azure | Clé partagée (clé de compte de stockage) | Signature d’accès partagé (SAS) | Microsoft Entra ID | Active Directory Domain Services local | Accès en lecture public anonyme |
|---|---|---|---|---|---|
| Objets blob Azure | Prise en charge | Prise en charge | Prise en charge | Non prise en charge | Prise en charge |
| Azure Files (SMB) | Prise en charge | Non pris en charge | Prise en charge avec Microsoft Entra Domain Services ou Microsoft Entra Kerberos | Pris en charge, les informations d’identification doivent être synchronisées avec Microsoft Entra ID | Non pris en charge |
| Azure Files (REST) | Prise en charge | Prise en charge | Prise en charge | Non pris en charge | Non pris en charge |
| Files d'attente Azure | Prise en charge | Prise en charge | Prise en charge | Non pris en charge | Non pris en charge |
| Tables Azure | Prise en charge | Prise en charge | Prise en charge | Non pris en charge | Non pris en charge |
Chaque option d’autorisation est décrite brièvement ci-dessous :
- Microsoft Entra ID : Microsoft Entra est le service cloud de gestion des identités et des accès de Microsoft. L’intégration Microsoft Entra ID est disponible pour les services Blob, Fichier, File d’attente et Table. Grâce à Microsoft Entra ID, vous pouvez attribuer un accès de granularité fine à des utilisateurs, des groupes ou des applications via le contrôle d’accès en fonction du rôle (RBAC).
- Autorisation Microsoft Entra Domain Services pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB (Server Message Block) via Microsoft Entra Domain Services. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès d’un client aux ressources Azure Files dans un compte de stockage.
- Autorisation Active Directory (AD) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD. Votre service de domaine AD peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser RBAC pour le contrôle d’accès au niveau du partage et des DACL NTFS pour l’application des autorisations au niveau des répertoires et des fichiers.
- Clé partagée : L’autorisation Clé partagée s’appuie sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature chiffrée qui est transmise à la demande dans l’en-tête Authorization.
- Signatures d’accès partagé : Les signatures d’accès partagé (SAS, shared access signatures) délèguent l’accès à une ressource particulière de votre compte avec les autorisations spécifiées et sur un intervalle de temps spécifié.
- Accès anonyme aux conteneurs et objets blob : Vous pouvez éventuellement rendre publiques des ressources blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent pas d’autorisation.
L’authentification et l’autorisation de l’accès aux objets blob, fichiers, files d’attente et données de table avec Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures à celles des autres options d’autorisation. Par exemple, en utilisant Microsoft Entra ID, vous évitez de devoir stocker votre clé d’accès de compte avec votre code, comme vous le faites avec une autorisation de clé partagée. Vous pouvez continuer à utiliser une autorisation de clé partagée avec vos applications d’objet blob et de file d’attente, mais Microsoft recommande de passer quand c’est possible à Microsoft Entra ID.
De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAS) pour accorder un accès affiné aux ressources dans votre compte de stockage, mais Microsoft Entra ID offre des fonctionnalités similaires sans qu’il soit nécessaire de gérer des jetons SAS ou de se soucier de révoquer une signature SAS compromise.