Configurer le contrôle d’accès pour les comptes de stockage
Les demandes pour une ressource sécurisée dans le service Blob, Fichier, File d’attente ou Table doivent être autorisées. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement lorsque vous le souhaitez, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès. Le choix de la méthode d’autorisation appropriée est une décision de sécurité critique qui doit s’aligner sur les principes de confiance zéro : vérifiez explicitement, utilisez l’accès au privilège minimum et supposez une violation.
Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :
| Artefact Azure | Clé partagée (clé de compte de stockage) | Signature d’accès partagé (SAP) | Microsoft Entra ID | Active Directory Domain Services en local | Accès en lecture public anonyme |
|---|---|---|---|---|---|
| Objets blob Azure | Soutenu | Soutenu | Soutenu | Non prise en charge | Soutenu |
| Azure Files (SMB) | Soutenu | Non prise en charge | Pris en charge avec Microsoft Entra Domain Services ou Microsoft Entra Kerberos | Pris en charge, les informations d’identification doivent être synchronisées avec Microsoft Entra ID | Non prise en charge |
| Azure Files (REST) | Soutenu | Soutenu | Soutenu | Non prise en charge | Non prise en charge |
| Files d'attente Azure | Soutenu | Soutenu | Soutenu | Non prise en charge | Non prise en charge |
| Tables Azure | Soutenu | Soutenu | Soutenu | Non prise en charge | Non prise en charge |
Chaque option d’autorisation est décrite brièvement ci-dessous :
ID Microsoft Entra (recommandé) : l’ID Microsoft Entra est le service de gestion des identités et des accès cloud de Microsoft. L'intégration de l'identifiant Microsoft Entra est disponible pour les services Blob, Fichier, File d'attente et Table. Avec l’ID Microsoft Entra, vous pouvez attribuer un accès affiné aux utilisateurs, groupes ou applications via le contrôle d’accès en fonction du rôle Azure (RBAC). RBAC est la méthode la plus sécurisée, car elle élimine la nécessité de stocker les informations d’identification dans votre code et prend en charge des fonctionnalités de sécurité avancées telles que l’accès conditionnel, l’authentification multifacteur et les identités managées.
Autorisation Microsoft Entra Domain Services pour Azure Files : Azure Files prend en charge l’autorisation basée sur l’identité via SMB (Server Message Block) via Microsoft Entra Domain Services. Vous pouvez utiliser Azure RBAC pour le contrôle d’accès au niveau du partage et les ACL Windows pour les autorisations au niveau du fichier et du répertoire, en fournissant un contrôle précis sur l’accès d’un client aux ressources Azure Files.
Autorisation Active Directory (AD) pour Azure Files : Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via les services de domaine Active Directory locaux. Votre service de domaine AD peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB aux fichiers est pris en charge à l’aide d’informations d’identification AD à partir de machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser Azure RBAC pour le contrôle d’accès au niveau du partage et les listes de contrôle d’accès NTFS (listes de contrôle d’accès discrétionnaire) pour l’application des autorisations au niveau du répertoire et du fichier. Les informations d’identification doivent être synchronisées avec l’ID Microsoft Entra.
Clé partagée : l’autorisation de clé partagée s’appuie sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature chiffrée transmise dans l’en-tête d’autorisation de la demande. L’inconvénient est qu’une clé partagée fournit un accès complet au compte de stockage et doit être évitée si possible. Envisagez de désactiver l’autorisation de clé partagée si vos scénarios prennent en charge l’authentification basée sur l’identité.
Signatures d’accès partagé (SAP) : les signatures d’accès partagé délèguent l’accès à une ressource particulière dans votre compte avec des autorisations spécifiées et sur un intervalle de temps spécifié. Il existe trois types de SAP :
- SAS de délégation d’utilisateur (sécurisée avec les informations d’identification Microsoft Entra, recommandé)
- SAS de service
- SAS de compte (sécurisées à l’aide de la clé de compte de stockage)
Note
Lorsque vous devez utiliser une SAS, préférez la SAS de délégation d’utilisateur pour le stockage Blob, car elle offre une sécurité supérieure.
Accès anonyme aux conteneurs et aux objets blob : vous pouvez éventuellement rendre publiques les ressources d’objet blob au niveau du conteneur ou de l’objet blob. Un conteneur ou un objet blob public est accessible à tout utilisateur avec un accès en lecture anonyme. Les demandes de lecture sur les conteneurs et objets blob publics ne nécessitent pas d’autorisation.
Note
L’accès public anonyme peut présenter des risques de sécurité. Envisagez de désactiver l’accès anonyme au niveau du compte de stockage, sauf s’il est spécifiquement nécessaire et d’utiliser des jetons SAP avec une étendue limitée à la place.
Recommandations de sécurité
L'authentification et l'autorisation de l'accès aux données de blob, de fichiers, de files d'attente et de tables avec Microsoft Entra ID offrent une sécurité et une facilité d'utilisation supérieures par rapport à d'autres options d'autorisation. Par exemple, en utilisant Microsoft Entra ID, vous évitez d’avoir à stocker votre clé d’accès de compte avec votre code, comme vous le feriez avec l’autorisation de clé partagée. Bien que vous puissiez continuer à utiliser une autorisation de clé partagée avec vos applications d’objet Blob et de file d’attente, Microsoft recommande vivement de passer à Microsoft Entra ID dans la mesure du possible.
De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAP) pour accorder un accès affiné aux ressources dans votre compte de stockage, mais Microsoft Entra ID offre des fonctionnalités similaires sans avoir à gérer les jetons SAP ou se soucier de révoquer une SAP compromise. Lorsque saS est requise, préférez toujours la SAP de délégation d’utilisateur par rapport à la SAP de compte ou de service.
Meilleures pratiques pour la sélection de méthode d’autorisation :
- Premier choix : Utilisez l’ID Microsoft Entra avec des identités managées pour les ressources Azure lorsque votre application s’exécute dans Azure.
- Deuxième choix : Utilisez l'identifiant Microsoft Entra avec des entités de service pour des applications nécessitant un accès programmatique.
- Troisième choix : Si SAS est requis pour déléguer l’accès, utilisez le SAS de délégation d'utilisateur pour Blob Storage.
- Dernier recours : utilisez uniquement la clé partagée lorsqu’aucune autre option n’est disponible et envisagez de la désactiver au niveau du compte de stockage pour empêcher l’utilisation accidentelle.
- Accès anonyme : désactivez par défaut, sauf si vous avez une exigence spécifique pour l’accès aux objets blob publics, auquel cas, limitez soigneusement l’accès à des conteneurs spécifiques.