Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Si vous devez activer le trafic à partir d’un service Azure en dehors de votre limite réseau, vous pouvez ajouter une exception de sécurité réseau. Cela est utile lorsqu’un service Azure fonctionne à partir d’un réseau que vous ne pouvez pas inclure dans votre réseau virtuel ou vos règles de réseau IP. Par exemple, il est possible que certains services aient besoin de lire les journaux des ressources et les métriques dans votre compte. Vous pouvez autoriser l’accès en lecture pour les fichiers journaux, les tables de métriques ou les deux en créant une exception de règle réseau. Ces services se connectent à votre compte de stockage à l’aide d’une authentification forte.
Pour savoir comment ajouter une exception de sécurité réseau, consultez Gérer les exceptions de sécurité réseau.
Accès approuvé pour les ressources inscrites dans votre locataire Microsoft Entra
Les ressources de certains services peuvent accéder à votre compte de stockage pour les opérations sélectionnées, telles que l’écriture de journaux ou l’exécution de sauvegardes. Ces services doivent être inscrits dans un abonnement situé dans le même locataire Microsoft Entra que votre compte de stockage. Le tableau suivant décrit chaque service et ses opérations autorisées.
| Service | Nom du fournisseur de ressources | Opérations autorisées |
|---|---|---|
| Azure Backup | Microsoft.RecoveryServices |
Exécutez des sauvegardes et des restaurations de disques non managés sur des machines virtuelles IaaS (infrastructure as a service) (non requis pour les disques managés). En savoir plus. |
| Azure Data Box | Microsoft.DataBox |
Importez des données dans Azure. En savoir plus. |
| Explorateur de données Azure | Microsoft.Kusto |
Lisez les données pour l’ingestion et les tables externes, puis écrivez des données dans des tables externes. En savoir plus. |
| Azure DevTest Labs | Microsoft.DevTestLab |
Créez des images personnalisées et installez des artefacts. En savoir plus. |
| Azure Event Grid | Microsoft.EventGrid |
Permettez la publication d’événements Stockage Blob Azure et autorisez la publication dans les files d’attente de stockage. |
| Hubs d'événements Azure | Microsoft.EventHub |
Archivage des données à l’aide d’Event Hubs Capture. En savoir plus. |
| Azure File Sync | Microsoft.StorageSync |
Transformez votre serveur de fichiers local en cache pour les partages de fichiers Azure. Cette fonctionnalité permet la synchronisation sur plusieurs sites, la récupération d’urgence rapide et la sauvegarde côté cloud. En savoir plus. |
| Azure HDInsight | Microsoft.HDInsight |
Approvisionnez le contenu initial du système de fichiers par défaut pour un nouveau cluster HDInsight. En savoir plus. |
| Azure Import/Export (Service d'importation et d'exportation de données) | Microsoft.ImportExport |
Importez des données dans Stockage Azure ou exportez des données à partir de Stockage Azure. En savoir plus. |
| Azure Monitor | Microsoft.Insights |
Écrivez des données de monitoring dans un compte de stockage sécurisé, notamment des journaux d’activité des ressources, des données Microsoft Defender for Endpoint, des journaux d’activité de connexion et d’audit Microsoft Entra et des journaux d’activité Microsoft Intune. En savoir plus. |
| Services de mise en réseau Azure | Microsoft.Network |
Stockez et analysez les journaux de trafic réseau, notamment via azure Network Watcher et les services Azure Traffic Manager. En savoir plus. |
| Azure Site Recovery (Récupération de site Azure) | Microsoft.SiteRecovery |
Activez la réplication pour la récupération d’urgence de machines virtuelles Azure IaaS lorsque vous utilisez des comptes de stockage de cache avec pare-feu activé, de stockage source ou de stockage cible. En savoir plus. |
Accès approuvé basé sur une identité managée
Le tableau suivant répertorie les services qui peuvent accéder aux données de votre compte de stockage si les instances de ressources de ces services disposent des autorisations appropriées.
| Service | Nom du fournisseur de ressources | Objectif |
|---|---|---|
| Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Active l’accès aux comptes de stockage. |
| Gestion des API Azure | Microsoft.ApiManagement/service |
Permet l’accès aux comptes de stockage derrière des pare-feux via des stratégies. En savoir plus. |
| Systèmes autonomes Microsoft | Microsoft.AutonomousSystems/workspaces |
Active l’accès aux comptes de stockage. |
| Cache Azure pour Redis | Microsoft.Cache/Redis |
Active l’accès aux comptes de stockage. En savoir plus. |
| Recherche d’IA Azure | Microsoft.Search/searchServices |
Permet l’accès aux comptes de stockage pour l’indexation, le traitement et l’interrogation. |
| Services d'IA Azure | Microsoft.CognitiveService/accounts |
Active l’accès aux comptes de stockage. En savoir plus. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
Permet l’exportation vers des comptes de stockage derrière un pare-feu. En savoir plus. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
Active l’accès aux comptes de stockage. Les entrepôts SQL serverless nécessitent une configuration supplémentaire. En savoir plus. |
| Azure Data Factory. | Microsoft.DataFactory/factories |
Active l’accès aux comptes de stockage via le runtime Data Factory. |
| Explorateur de données Azure | Microsoft.Kusto/Clusters |
Lisez les données pour l’ingestion et les tables externes, puis écrivez des données dans des tables externes. En savoir plus. |
| Coffre de sauvegarde Azure | Microsoft.DataProtection/BackupVaults |
Active l’accès aux comptes de stockage. |
| Partage de Données Azure | Microsoft.DataShare/accounts |
Active l’accès aux comptes de stockage. |
| Base de données Azure pour PostgreSQL | Microsoft.DBForPostgreSQL |
Active l’accès aux comptes de stockage. |
| Registre d'appareils Azure | Microsoft.DeviceRegistry/schemaRegistries |
Active l’accès aux comptes de stockage. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
Autorise l’écriture des données d’un hub IoT dans Stockage Blob. En savoir plus. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
Active l’accès aux comptes de stockage. |
| Azure Event Grid | Microsoft.EventGrid/domains |
Active l’accès aux comptes de stockage. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Active l’accès aux comptes de stockage. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
Active l’accès aux comptes de stockage. |
| Azure Event Grid | Microsoft.EventGrid/topics |
Active l’accès aux comptes de stockage. |
| Microsoft Fabric | Microsoft.Fabric |
Active l’accès aux comptes de stockage. |
| API Azure pour les soins de santé | Microsoft.HealthcareApis/services |
Active l’accès aux comptes de stockage. |
| API Azure pour les soins de santé | Microsoft.HealthcareApis/workspaces |
Active l’accès aux comptes de stockage. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Active l’accès aux comptes de stockage. |
| HSM géré par Azure Key Vault | Microsoft.keyvault/managedHSMs |
Active l’accès aux comptes de stockage. |
| Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permet aux applications logiques d’accéder aux comptes de stockage. En savoir plus. |
| Azure Logic Apps | Microsoft.Logic/workflows |
Permet aux applications logiques d’accéder aux comptes de stockage. En savoir plus. |
| Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. En savoir plus. |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. En savoir plus. |
| Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. En savoir plus. |
| Azure Media Services | Microsoft.Media/mediaservices |
Active l’accès aux comptes de stockage. |
| Azure Migrate | Microsoft.Migrate/migrateprojects |
Active l’accès aux comptes de stockage. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Active l’accès aux comptes de stockage. |
| Plateforme Microsoft Power | Microsoft.PowerPlatform/enterprisePolicies |
Active l’accès aux comptes de stockage. |
| Microsoft Projet Arcadia | Microsoft.ProjectArcadia/workspaces |
Active l’accès aux comptes de stockage. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Active l’accès aux comptes de stockage. |
| Microsoft Purview | Microsoft.Purview/accounts |
Active l’accès aux comptes de stockage. |
| Azure Site Recovery (Récupération de site Azure) | Microsoft.RecoveryServices/vaults |
Active l’accès aux comptes de stockage. |
| Centre de sécurité | Microsoft.Security/dataScanners |
Active l’accès aux comptes de stockage. |
| Singularité | Microsoft.Singularity/accounts |
Active l’accès aux comptes de stockage. |
| Actions de Stockage Azure | Microsoft.Storageactions/Storagetasks |
Active l’accès aux comptes de stockage. |
| Azure SQL Database | Microsoft.Sql |
Autorise l’écriture de données d’audit dans des comptes de stockage derrière un pare-feu. |
| Serveurs Azure SQL | Microsoft.Sql/servers |
Autorise l’écriture de données d’audit dans des comptes de stockage derrière un pare-feu. |
| Azure Synapse Analytics | Microsoft.Sql |
Autorise l’importation et l’exportation de données depuis et vers des bases de données SQL spécifiques à l’aide de l’instruction COPY ou de PolyBase (dans un pool dédié), ou à l’aide de la fonction openrowset et des tables externes dans un pool serverless. En savoir plus. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
Autorise l’écriture des données d’un travail de streaming dans Stockage Blob. En savoir plus. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Autorise l’écriture des données d’un travail de streaming dans Stockage Blob. En savoir plus. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permet l’accès aux données dans Stockage Azure. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Active l’accès aux comptes de stockage. |
Si la fonctionnalité d’espace de noms hiérarchique n’est pas activée pour votre compte, vous pouvez accorder l’autorisation en affectant explicitement un rôle Azure à l’identité managée pour chaque instance de ressource. Dans ce cas, l’étendue de l’accès pour l’instance correspond au rôle Azure affecté à l’identité managée.
Vous pouvez utiliser la même technique pour un compte sur lequel la fonctionnalité d’espace de noms hiérarchique est activée. Toutefois, vous n’êtes pas obligé d’attribuer un rôle Azure si vous ajoutez l’identité managée à la liste de contrôle d’accès (ACL) d’un répertoire ou d’un objet blob que le compte de stockage contient. Dans ce cas, l’étendue de l’accès pour l’instance correspond au répertoire ou au fichier auquel l’identité managée a accès.
Vous pouvez également combiner des rôles Azure et des ACL pour autoriser l’accès. Pour en savoir plus, consultez Modèle de contrôle d’accès dans Azure Data Lake Storage.
Nous vous recommandons d’utiliser des règles d’instance de ressources pour accorder l’accès à des ressources spécifiques.