Meilleures pratiques pour la protection, la sauvegarde et la récupération des données de Stockage Azure
L’article fournit des options de sauvegarde et de protection des données de Stockage Azure, des scénarios de récupération en libre-service et des possibilités de récupération d’assistance Microsoft.
Options de protection, de sauvegarde et de récupération des données
La protection des données du stockage Azure fait référence aux stratégies pour :
- Protection du compte de stockage et des données qu’il contient contre toute suppression ou modification.
- Restauration des données après leur suppression ou leur modification.
Cette section présente les options de protection, de sauvegarde et de récupération des données disponibles. Pour plus d’informations, consultez Options de sauvegarde et de protection des données.
Options de protection et de sauvegarde des données
Les sections suivantes présentent les scénarios de protection des données et les options de protection recommandées :
- Scénario 1 : Protection du compte de stockage
- Scénario 2 : Protection des conteneurs d’objets blob
- Scénario 3 : Protection des fichiers blob
Scénario 1 : Protection du compte de stockage
Activez le verrou Azure Resource Manager (ARM) pour verrouiller tous vos comptes de stockage et empêcher la suppression du compte de stockage. Pour plus d’informations sur le verrouillage ARM, consultez Appliquer un verrou Azure Resource Manager à un compte de stockage.
Avantages et limitations :
- Protège le compte de stockage contre les modifications de suppression ou de configuration.
- Ne protège pas les conteneurs ou les objets blob du compte contre la suppression ou le remplacement.
- Il prend en charge Azure Data Lake Storage (ADLS) Gen 2.
Scénario 2 : Protection des conteneurs d’objets blob
Activez des stratégies d’immuabilité sur un conteneur pour protéger les documents critiques pour l’entreprise, par exemple pour répondre aux exigences de conformité légales ou réglementaires.
Avantages et limitations :
- Protège un conteneur et ses objets blob contre toutes les suppressions et les remplacements.
- Lorsqu’une conservation légale ou une stratégie de rétention limitée dans le temps verrouillée est en vigueur, le compte de stockage est également protégé contre la suppression. Les conteneurs pour lesquels aucune stratégie d’immuabilité n’a été définie ne sont pas protégés contre la suppression.
- Il prend en charge ADLS Gen 2 en préversion.
Pour plus d’informations sur les stratégies d’immuabilité sur un conteneur, consultez Stocker des données blob critiques pour l’entreprise avec un stockage immuable.
Activez la suppression réversible de conteneur pour restaurer un conteneur supprimé dans un intervalle spécifié.
Avantages et limitations :
- Un conteneur supprimé et son contenu peuvent être restaurés pendant la période de rétention. La meilleure pratique pour un intervalle de rétention minimal est de sept jours.
- Seules les opérations au niveau du conteneur, telles que « Supprimer un conteneur », peuvent être restaurées. La suppression réversible de conteneur ne vous permet pas de restaurer un objet blob individuel dans le conteneur si cet objet blob est supprimé.
- Il prend en charge ADLS Gen 2.
Pour plus d’informations sur la suppression réversible de conteneur, consultez Suppression réversible pour conteneurs.
Scénario 3 : Protection des fichiers blob
Activez les stratégies d’immuabilité sur une version d’objet blob pour empêcher la suppression d’une version d’objet blob pendant un intervalle que vous contrôlez.
Avantages et limitations :
- Protège une version d’objet blob contre la suppression et l’écrasement de ses métadonnées. Une opération de remplacement crée une nouvelle version.
- Si l’immuabilité au niveau de la version d’au moins un conteneur est activée, le compte de stockage est également protégé contre la suppression.
- La suppression du conteneur échoue si au moins un objet blob existe dans le conteneur.
- Il n’est pas disponible pour ADLS Gen2.
Pour plus d’informations sur les stratégies d’immuabilité d’une version d’objet blob, consultez Stocker des données d’objets blob critiques pour l’entreprise avec un stockage immuable.
Activez la suppression réversible d’objet blob pour restaurer un objet blob ou une version d’objet blob supprimé dans un intervalle spécifié.
Avantages:
- Une version d’objet blob ou d’objet blob supprimée peut être restaurée pendant la période de rétention. La meilleure pratique pour un intervalle de rétention minimal est de sept jours.
- Il prend en charge ADLS Gen 2.
Pour plus d’informations sur la suppression réversible d’objets blob, consultez Suppression réversible pour les objets blob.
Activez les instantané d’objets blob pour enregistrer manuellement l’état d’un objet blob à un moment donné.
Avantages et limitations :
- Un objet blob peut être restauré à partir d’un instantané si l’objet blob est remplacé. Toutefois, si l’objet blob est supprimé, les captures instantanées sont également supprimées.
- Il prend en charge ADLS Gen 2 en préversion.
Pour plus d’informations sur les instantanés d’objets blob, consultez Instantanés d’objets blob.
Activez le contrôle de version d’objet blob pour enregistrer automatiquement l’état d’un objet blob dans une version précédente lorsqu’il est remplacé.
Avantages et limitations :
- Chaque opération d’écriture d’objet blob crée une nouvelle version. La version actuelle d’un objet blob peut être restaurée à partir d’une version précédente si la version actuelle est supprimée ou remplacée.
- Il n’est pas disponible pour ADLS Gen2.
Pour plus d’informations sur le contrôle de version des objets blob, consultez Gestion des versions des objets blob.
Activez la restauration dans le temps pour restaurer un ensemble d’objets blob de blocs à un point dans le temps précédent.
Avantages et limitations :
- Un ensemble d’objets blob de blocs peut être rétabli à leur état à un moment spécifique dans le passé.
- Seules les opérations effectuées sur les objets blob de blocs sont annulées.
- Les opérations effectuées sur des conteneurs, des objets blob de pages ou des objets blob d’ajout ne sont pas annulées.
- Il n’est pas disponible pour ADLS Gen2.
Pour plus d’informations sur la restauration à un point dans le temps, consultez Restauration dans le temps pour les objets blob de blocs.
Copiez des données vers un deuxième compte via la réplication d’objets stockage Azure ou des outils comme AzCopy ou Azure Data Factory.
Avantages et limitations :
- Les données peuvent être restaurées à partir du deuxième compte de stockage si le compte principal est compromis d’une manière ou d’une autre.
- AzCopy et Azure Data Factory sont pris en charge.
- La réplication d’objets n’est pas prise en charge.
Options de récupération de données
Les sections suivantes présentent les scénarios de récupération de données et les options de récupération possibles :
- Scénario 1 : Récupération du compte de stockage
- Scénario 2 : Récupération d’un conteneur d’objets blob
- Scénario 3 : Récupération de fichiers blob
Vous pouvez récupérer des données une fois que les options de protection et de sauvegarde des données sont activées.
Scénario 1 : Récupération du compte de stockage
Fait référence à Récupérer les comptes de stockage supprimés à partir du Portail Azure.
Scénario 2 : Récupération d’un conteneur d’objets blob
Récupérez le conteneur supprimé de manière réversible et son contenu.
Configuration requise pour la récupération :
- La suppression réversible de conteneur est activée.
- La période de rétention de suppression réversible du conteneur n’a pas encore expiré.
Pour plus d’informations, consultez Activer et gérer la suppression réversible pour les conteneurs.
Récupération à partir d’un deuxième compte de stockage.
Conditions requises pour la récupération : toutes les opérations de conteneur et d’objet blob ont été répliquées vers un deuxième compte de stockage.
Scénario 3 : Récupération de fichiers blob
Récupérez des objets blob vers des versions antérieures via le contrôle de version d’objets blob.
Configuration requise pour la récupération :
- Le contrôle de version des objets blob est activé.
- L’objet blob a une ou plusieurs versions précédentes.
Pour plus d’informations, consultez Activer et gérer le contrôle de version des objets blob.
Cette option n’est actuellement pas prise en charge pour les charges de travail ADLS.
Procédures de récupération :
Accédez à l’objet blob affecté à partir de la Portail Azure.
Sélectionnez les points de suspension (...) pour l’objet blob que vous souhaitez récupérer.
Sélectionnez Afficher les versions.
Sélectionnez la version à partir de laquelle effectuer la restauration.
Sélectionnez Créer la version actuelle.
Récupérer des objets blob via la suppression réversible d’objets blob.
Configuration requise pour la récupération :
- La suppression réversible d’objets blob est activée.
- L’intervalle de rétention de suppression réversible n’a pas expiré.
Pour plus d’informations, consultez Gérer et restaurer des objets blob supprimés de manière réversible.
Récupérer un ensemble d’objets blob de blocs par le biais d’un point dans le temps.
Configuration requise pour la récupération :
- La restauration à un point dans le temps est activée.
- Le point de restauration est dans l’intervalle de rétention.
- Le compte de stockage n’a pas été compromis ou endommagé.
Pour plus d’informations, consultez Effectuer une restauration à un point dans le temps sur des données d’objet blob de blocs.
Récupérer des objets blob via des instantanés.
Conditions requises pour la récupération : l’objet blob a un ou plusieurs instantanés. Pour plus d’informations, consultez Créer et gérer un instantané blob dans .NET.
Procédures de récupération :
Accédez à l’objet blob affecté à partir de la Portail Azure.
Sélectionnez les points de suspension (...) pour l’objet blob que vous souhaitez récupérer.
Sélectionnez Afficher les instantanés.
Sélectionnez le instantané à partir duquel effectuer la restauration.
Sélectionnez Promouvoir.
Bonne pratique pour RBAC Azure
Une autre bonne pratique pour éviter la suppression accidentelle d’un compte consiste à limiter le nombre d’utilisateurs disposant des autorisations nécessaires pour supprimer un compte via le contrôle d’accès en fonction du rôle (Azure RBAC).
Voici quelques méthodes recommandées :
- Accordez uniquement l’accès dont les utilisateurs ont besoin.
- Limitez le nombre de propriétaires d’abonnements.
- Utilisez Microsoft Entra Privileged Identity Management.
- Attribuez des rôles à des groupes, et non à des utilisateurs.
- Attribuez des rôles à l’aide de l’ID de rôle unique au lieu du nom du rôle.
Pour plus d’informations, consultez Meilleures pratiques pour Azure RBAC.
Récupération de stockage non prise en charge
Microsoft ne prend pas en charge les scénarios de récupération de stockage suivants :
- La récupération de file d’attente stockage Azure n’est pas prise en charge.
- La récupération des entrées de table stockage Azure n’est pas prise en charge, tandis que la récupération de table supprimée est prise en charge. Pour plus d’informations, consultez Récupération de stockage prise en charge.
- La récupération de fichiers Blob Azure sans activer la protection des fichiers blob n’est pas prise en charge, mais la récupération de conteneur supprimé est prise en charge. Pour plus d’informations, consultez Récupération de stockage prise en charge.
Récupération de stockage prise en charge
Cette section décrit plusieurs scénarios de récupération de stockage pris en charge lorsque certaines conditions préalables sont remplies :
- Scénario 1 : Récupération de compte de stockage (récupération de compte de stockage ARM)
- Scénario 2 : Récupération de compte de stockage classique
- Scénario 3 : Récupération de conteneur
- Scénario 4 : Récupération des données et du système de fichiers ADLS Gen 2
- Scénario 5 : Récupération de table
- Scénario 6 : Récupération de disque
Microsoft met tout en œuvre pour récupérer les données, mais ne peut pas garantir la quantité de données pouvant être restaurées.
Scénario 1 : Récupération de compte de stockage (récupération de compte de stockage ARM)
Conditions préalables :
- Le compte de stockage a été supprimé au cours des 14 derniers jours.
- Le compte de stockage a été créé avec le modèle de déploiement Azure Resource Manager.
- Aucun compte de stockage portant le même nom n’a été créé depuis la suppression du compte d’origine.
- L’utilisateur qui récupère le compte de stockage doit se voir attribuer un rôle RBAC Azure qui fournit les autorisations Microsoft.Storage/storageAccounts/write . Pour plus d’informations sur les rôles RBAC Azure intégrés qui fournissent cette autorisation, consultez Rôles intégrés Azure.
- Vérifiez que le groupe de ressources qui a supprimé le compte de stockage existe. Si le groupe de ressources a été supprimé, vous devez le recréer manuellement.
- [Pour des cas spécifiques uniquement] Si le compte de stockage supprimé a utilisé des clés gérées par le client avec Azure Key Vault et que le coffre de clés a également été supprimé, vous devez restaurer le coffre de clés avant de restaurer le compte de stockage. Pour plus d’informations, consultez Vue d’ensemble de la récupération d’Azure Key Vault.
Suggestions :
- Récupérer un compte de stockage à partir d’un compte de stockage existant.
- Récupérer un compte de stockage via un ticket de support.
Pour plus d’informations, consultez Récupérer des comptes de stockage supprimés à partir de Portail Azure.
Scénario 2 : Récupération de compte de stockage classique
Conditions préalables :
- Aucun compte de stockage portant le même nom n’a été créé depuis la suppression du compte d’origine.
- Le compte de stockage a été supprimé au cours des 14 derniers jours.
Suggestions :
- Demandez l’aide des ingénieurs du support technique pour évaluer la situation.
Scénario 3 : Récupération de conteneur
Conditions préalables :
- La réplication du compte de stockage a été définie sur le stockage géoredondant (GRS), le stockage géoredondant interzone (GZRS), le stockage géoredondant interzone avec accès en lecture (RAGZRS) ou le stockage géoredondant avec accès en lecture (RA-GRS) avant la suppression de « conteneur ». Les comptes de stockage avec stockage LRS ne sont pas pris en charge pour récupérer un conteneur supprimé.
Suggestions :
- Demandez l’aide des ingénieurs du support technique pour évaluer la situation.
Scénario 4 : Récupération des données et du système de fichiers ADLS Gen 2
Conditions préalables :
- Compte de stockage avec espace de noms hiérarchique (HNS) activé.
- Le fichier ou dossier ADLS Gen2 a été supprimé dans les trois jours.
Suggestions :
- Demandez l’aide des ingénieurs du support technique pour évaluer la situation.
Scénario 5 : Récupération de table
Conditions préalables :
- La table entière est supprimée à l’aide de l’opération « DELETE Table » sans modifier les données d’entrée de table.
Suggestions :
- Demandez l’aide des ingénieurs du support technique pour évaluer la situation.
Scénario 6 : Récupération de disque
Conditions préalables :
- Les prérequis de la récupération de disque varient en fonction de quelques facteurs. Par instance, la suppression réversible est-elle activée ? Ou le disque de récupération fait-il référence à un disque managé ou à un disque non managé ?
Suggestions :
- Demandez l’aide des ingénieurs du support technique pour évaluer la situation.
Récupérer des comptes de stockage supprimés à partir du Portail Azure
Il existe deux façons pour les utilisateurs finaux de récupérer un compte de stockage supprimé à partir du Portail Azure :
Récupérer un compte de stockage supprimé à partir d’un autre compte de stockage
Pour récupérer un compte de stockage supprimé à partir d’un autre compte de stockage, procédez comme suit :
Accédez à la liste de votre compte de stockage dans le Portail Azure.
Sélectionnez le bouton Restaurer pour ouvrir le volet Restaurer le compte supprimé .
Sélectionnez l’abonnement pour le compte que vous souhaitez récupérer dans la liste déroulante Abonnement .
Dans la liste déroulante, sélectionnez le compte à récupérer. Si le compte de stockage que vous souhaitez récupérer ne figure pas dans la liste déroulante, il ne peut pas être récupéré.
Sélectionnez le bouton Restaurer pour récupérer le compte. Le portail affiche une notification indiquant que la récupération est en cours.
Pour plus d’informations, consultez Récupérer un compte supprimé à partir du Portail Azure.
Récupérer des comptes de stockage via un ticket de support
Dans la Portail Azure, accédez à Aide + support.
Sélectionnez Créer une demande de support.
Sous l’onglet Description du problème , dans le champ Type de problème , sélectionnez Technique.
Dans le champ Abonnement , sélectionnez l’abonnement contenant le compte de stockage supprimé.
Dans le champ Service , sélectionnez Gestion du compte de stockage.
Dans le champ Ressource , sélectionnez une ressource de compte de stockage. Le compte de stockage supprimé n’apparaît pas dans la liste.
Ajoutez un bref résumé du problème.
Dans le champ Type de problème , sélectionnez Suppression et récupération.
Dans le champ Sous-type de problème , sélectionnez Récupérer le compte de stockage supprimé.
La capture d’écran suivante montre un exemple de l’onglet Description du problème en cours de remplissage :
Accédez à l’onglet Solution recommandée , puis sélectionnez Récupération du compte de stockage contrôlé par le client.
Dans la liste déroulante, sélectionnez le compte à récupérer. Si le compte de stockage que vous souhaitez récupérer ne figure pas dans la liste déroulante, il ne peut pas être récupéré.
Sélectionnez Récupérer pour restaurer le compte. Le portail affiche une notification indiquant que la récupération est en cours.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.