Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le contrôle d’accès basé sur les attributs (ABAC) est une stratégie d’autorisation qui définit les niveaux d’accès en fonction des attributs associés à une demande d’accès, comme le principal de sécurité, la ressource, l’environnement et la requête elle-même. Avec ABAC, vous pouvez accorder à un principal de sécurité l’accès à une ressource en fonction des conditions d’attribution de rôle Azure.
Important
Le contrôle d’accès en fonction des attributs Azure (Azure ABAC) est en disponibilité générale (GA) pour contrôler l’accès au Stockage Blob Azure, à Azure Data Lake Storage Gen2 et aux files d’attente Azure à l’aide des attributs request, resource, environment et principal dans les niveaux de performances des comptes de stockage standard et premium. Actuellement, l'attribut de requête d'inclusion de blob de liste et l'attribut de requête d'instantané pour l'espace de noms hiérarchique sont en PREVIEW. Pour obtenir des informations complètes sur l’état des fonctionnalités d’ABAC pour Stockage Azure, consultez État des fonctionnalités de condition dans Stockage Azure.
Consultez les Conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour les conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Vue d'ensemble des conditions dans le service Stockage Azure
Vous pouvez utiliser l’ID Microsoft Entra (MICROSOFT Entra ID) pour autoriser les demandes adressées aux ressources de stockage Azure à l’aide d’Azure RBAC. Azure RBAC vous aide à gérer l’accès aux ressources en définissant qui a accès aux ressources et ce qu’elles peuvent faire avec ces ressources, à l’aide des définitions de rôle et des affectations de rôle. Le service Stockage Azure définit un ensemble de rôles intégrés Azure qui englobent les jeux d’autorisations communs utilisés pour accéder aux données du service Stockage Azure. Vous pouvez également définir des rôles personnalisés avec certains jeux d’autorisations. Le service Stockage Azure prend en charge les attributions de rôles pour les comptes de stockage et les conteneurs d’objets blob ou les files d’attente.
Azure ABAC s’appuie sur Azure RBAC en ajoutant des conditions d’attribution de rôle dans le contexte d’actions spécifiques. Une condition d’affectation de rôle est une vérification supplémentaire qui est évaluée lorsque l’action sur la ressource de stockage est autorisée. Cette condition est exprimée sous la forme d’un prédicat utilisant des attributs associés à l’un des éléments suivants :
- Principal de sécurité demandant l’autorisation
- Ressource à laquelle l’accès est demandé
- Paramètres de la demande
- Environnement à partir duquel la requête provient
L’utilisation de conditions d’affectation de rôle a les avantages suivantes :
- Activez l’accès plus fin aux ressources : par exemple, si vous souhaitez accorder à un utilisateur l’accès aux messages d’aperçu dans une file d’attente spécifique, vous pouvez utiliser des messages d’aperçu DataAction et l’attribut de stockage du nom de file d’attente.
- Réduisez le nombre d’attributions de rôles que vous devez créer et gérer : vous pouvez le faire en utilisant une attribution de rôle généralisée pour un groupe de sécurité, puis en limitant l’accès pour les membres individuels du groupe à l’aide d’une condition qui correspond aux attributs d’un principal avec des attributs d’une ressource spécifique accessible (par exemple, une file d’attente).
- Règles de contrôle d’accès rapide en termes d’attributs ayant une signification professionnelle : par exemple, vous pouvez exprimer vos conditions à l’aide d’attributs représentant un nom de projet, une application professionnelle, une fonction d’organisation ou un niveau de classification.
L’inconvénient de l’utilisation de conditions est que vous avez besoin d’une taxonomie structurée et cohérente lors de l’utilisation d’attributs au sein de votre organisation. Les attributs doivent être protégés pour empêcher que l’accès soit compromis. En outre, les conditions doivent être soigneusement conçues et examinées pour leur effet.
Attributs et opérations pris en charge
Vous pouvez configurer des conditions sur les attributions de rôles pour DataActions afin d’atteindre ces objectifs. Vous pouvez utiliser des conditions avec un rôle personnalisé ou sélectionner des rôles intégrés. Notez que les conditions ne sont pas prises en charge pour les Actions de gestion via le Fournisseur de ressources de stockage.
Vous pouvez ajouter des conditions aux rôles intégrés ou personnalisés. Les rôles intégrés sur lesquels vous pouvez utiliser les conditions d’affectation de rôle sont les suivants :
- Contributeur aux données en file d’attente du stockage
- Processeur de messages de données en file d’attente du stockage
- Expéditeur de messages de données en file d’attente du stockage
- Lecteur des données en file d’attente du stockage
Vous pouvez utiliser des conditions avec des rôles personnalisés tant que le rôle inclut des actions qui prennent en charge des conditions.
Le format des conditions d’attribution de rôle Azure autorise l’utilisation des attributs @Principal, @Resource ou @Request dans les conditions. L’attribut @Principal est un attribut de sécurité personnalisé sur un principal, tel qu’un utilisateur, une application d’entreprise (principal du service) ou une identité managée. Un @Resource attribut fait référence à un attribut existant d’une ressource de stockage accessible, comme un compte de stockage ou une file d’attente. Un attribut @Request fait référence à un attribut ou un paramètre inclus dans une requête d'opération de stockage.
Azure RBAC prend actuellement en charge 2 000 attributions de rôles dans un abonnement. Si vous devez créer des milliers d’attributions de rôles Azure, vous pouvez rencontrer cette limite. La gestion de centaines ou de milliers d’attributions de rôles peut être difficile. Dans certains cas, vous pouvez utiliser des conditions pour réduire le nombre d’affectations de rôles sur votre compte de stockage et les rendre plus faciles à gérer. Vous pouvez mettre à l’échelle la gestion des attributions de rôles à l’aide des conditions et des attributs de sécurité personnalisés Microsoft Entra pour les principaux.
Étapes suivantes
- Conditions préalables pour les conditions d’attribution de rôle Azure
- Actions et attributs pour les conditions d’attribution de rôle Azure dans le service Stockage Azure
- Exemples de conditions d’attribution de rôle Azure
- Résoudre les problèmes liés aux conditions d’attribution de rôle Azure
Voir aussi
- Qu’est-ce que le contrôle d’accès en fonction des attributs Azure (Azure ABAC) ?
- Questions fréquentes (FAQ) sur les conditions d’attribution de rôle Azure
- Format et syntaxe des conditions d’attribution de rôle Azure
- Mettre à l’échelle la gestion des attributions de rôles Azure à l’aide des conditions et des attributs de sécurité personnalisés
- Considérations relatives à la sécurité pour les conditions d’attribution de rôle Azure dans le service Stockage Azure