Sélectionner et configurer une méthode appropriée pour l’accès à Azure Files
Lorsque vous accédez aux données de fichier à l’aide du portail Azure, le portail envoie des demandes à Azure Files en arrière-plan. Ces demandes peuvent être autorisées à l’aide de votre compte Microsoft Entra ou de la clé d’accès au compte de stockage. Le portail indique la méthode que vous utilisez et vous permet de basculer entre les deux si vous disposez des autorisations appropriées. Microsoft recommande d’utiliser l’authentification Microsoft Entra ID dans la mesure du possible pour améliorer la sécurité et la gestion centralisée des identités.
Vous pouvez également spécifier comment autoriser une opération de partage de fichiers individuelle dans le portail Azure. Par défaut, le portail utilise la méthode que vous utilisez déjà pour autoriser tous les partages de fichiers, mais vous avez la possibilité de modifier ce paramètre pour les partages de fichiers individuels.
Autorisations nécessaires pour accéder aux données de fichier
Selon la façon dont vous souhaitez autoriser l’accès aux données de fichier dans le portail Azure, vous aurez besoin d’autorisations spécifiques. Dans la plupart des cas, ces autorisations sont fournies via le contrôle d’accès en fonction du rôle Azure (Azure RBAC).
Utiliser votre compte Microsoft Entra
Pour accéder aux données de fichier à partir du portail Azure à l’aide de votre compte Microsoft Entra, les deux instructions suivantes doivent être vraies :
- Vous disposez d’un rôle intégré ou personnalisé qui fournit l’accès aux données de fichier.
- Vous vous voyez attribuer le rôle de Lecteur Azure Resource Manager, au minimum, limité au niveau du compte de stockage ou supérieur. Le rôle Lecteur accorde les autorisations les plus restreintes, mais un autre rôle Azure Resource Manager qui accorde l’accès aux ressources de gestion des comptes de stockage est également acceptable.
Le rôle Lecteur Azure Resource Manager permet aux utilisateurs d’afficher les ressources du compte de stockage, mais pas de les modifier. Il ne fournit pas d’autorisations de lecture aux données dans stockage Azure, mais uniquement pour les ressources de gestion de compte. Le rôle Lecteur est nécessaire pour permettre aux utilisateurs d’accéder aux partages de fichiers dans le portail Azure.
Azure fournit des rôles intégrés disposant des autorisations requises pour accéder aux données de fichier avec OAuth (authentification Microsoft Entra ID) :
- Lecteur privilégié des données de fichier de stockage : fournit un accès en lecture au contenu du partage de fichiers Azure.
- Contributeur privilégié des données de fichier de stockage : fournit un accès en lecture, écriture et suppression au contenu du partage de fichiers Azure.
Le rôle Contributeur privilégié des données de fichier de stockage dispose des autorisations de lecture, d’écriture, de suppression et de modification des autorisations ACL/NTFS sur les fichiers et répertoires dans les partages de fichiers Azure. Notez que la modification des autorisations ACL/NTFS n’est actuellement pas prise en charge via le portail Azure et doit être effectuée via d’autres outils tels que PowerShell ou Azure CLI.
Les rôles personnalisés peuvent prendre en charge différentes combinaisons des mêmes autorisations fournies par les rôles intégrés. Pour plus d’informations sur la création de rôles personnalisés Azure, consultez rôles personnalisés Azure et Comprendre les définitions de rôles pour les ressources Azure.
Utiliser la clé d’accès du compte de stockage
Pour accéder aux données de fichier avec la clé d’accès au compte de stockage, vous devez disposer d’un rôle Azure qui inclut l’action RBAC Azure Microsoft.Storage/storageAccounts/listkeys/action. Ce rôle Azure peut être un rôle intégré ou un rôle personnalisé.
Note
L’utilisation des clés d’accès au compte de stockage fournit un accès complet au compte de stockage et doit être évitée si possible. L’authentification Microsoft Entra ID fournit un contrôle d’accès plus précis et s’aligne mieux sur les principes de sécurité Confiance Zéro.
Les rôles intégrés qui prennent en charge Microsoft.Storage/storageAccounts/listkeys/action incluent les éléments suivants, répertoriés dans l’ordre du moins au plus grand nombre d’autorisations :
- Rôle Lecteur et accès aux données
- Rôle de Contributeur au compte de stockage
- Rôle Contributeur Azure Resource Manager
- Rôle Propriétaire Azure Resource Manager
Lorsque vous tentez d’accéder aux données de fichier dans le portail Azure, le portail vérifie d’abord si vous avez reçu un rôle avec Microsoft.Storage/storageAccounts/listkeys/action. Si vous avez reçu un rôle avec cette action, le portail utilise la clé de compte de stockage pour accéder aux données de fichier. Si vous n’avez pas reçu de rôle avec cette action, le portail tente d’accéder aux données à l’aide de votre compte Microsoft Entra.
Lorsqu’un compte de stockage est verrouillé avec un verrou ReadOnly Azure Resource Manager, l’opération Répertorier les clés n’est pas autorisée pour ce compte de stockage. Clés de liste est une opération POST, et toutes les opérations POST sont empêchées lorsqu’un verrou ReadOnly est configuré pour le compte. Pour cette raison, lorsque le compte est verrouillé avec un verrou ReadOnly, les utilisateurs doivent utiliser les informations d’identification Microsoft Entra pour accéder aux données de fichier dans le portail.
Les rôles d’administrateur d’abonnement classique Administrateur de service et coadministrateur incluent l’équivalent du rôle Propriétaire Azure Resource Manager. Le rôle Propriétaire inclut toutes les actions, y compris le Microsoft.Storage/storageAccounts/listkeys/action, afin qu’un utilisateur disposant de l’un de ces rôles d’administration puisse également accéder aux données de fichier avec la clé de compte de stockage.
Spécifier comment autoriser des opérations sur un partage de fichiers spécifique
Vous pouvez modifier la méthode d’authentification pour les partages de fichiers individuels. Par défaut, le portail utilise la méthode d’authentification actuelle. Pour déterminer la méthode d’authentification actuelle, procédez comme suit.
Accédez à votre compte de stockage dans le portail Azure , puis sélectionnez stockage de données>partages de fichiers dans le volet de navigation gauche.
Sélectionnez un partage de fichiers.
Sélectionnez Parcourir.
La méthode d’authentification indique si vous utilisez actuellement la clé d’accès du compte de stockage ou votre compte Microsoft Entra pour authentifier et autoriser les opérations de partage de fichiers. Si vous vous authentifiez actuellement à l’aide de la clé d’accès du compte de stockage, vous voyez clé d’accès spécifiée comme méthode d’authentification, comme dans l’image suivante. Si vous vous authentifiez en utilisant votre compte Microsoft Entra, vous verrez plutôt le compte d’utilisateur Microsoft Entra spécifié.
S’authentifier auprès de votre compte Microsoft Entra
Pour passer à l’utilisation de votre compte Microsoft Entra, sélectionnez le lien mis en surbrillance dans l’image indiquant Basculer vers le compte d’utilisateur Microsoft Entra. Si vous disposez des autorisations appropriées via les rôles Azure qui vous sont attribués, vous serez en mesure de continuer. Toutefois, si vous ne disposez pas des autorisations nécessaires, vous verrez un message d’erreur indiquant que vous n’avez pas les autorisations nécessaires pour répertorier les données à l’aide de votre compte d’utilisateur avec l’ID Microsoft Entra.
Deux autorisations RBAC supplémentaires sont requises pour utiliser votre compte Microsoft Entra :
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
S'authentifier avec la clé d'accès du compte de stockage
Pour passer à l’utilisation de la clé d’accès du compte, sélectionnez Basculer vers la clé d’accès. Si vous avez accès à la clé de compte de stockage, vous serez en mesure de continuer. Toutefois, si vous n’avez pas accès à la clé de compte, vous verrez un message d’erreur indiquant que vous n’avez pas les autorisations nécessaires pour utiliser la clé d’accès pour répertorier les données.
Autorisation par défaut de Microsoft Entra dans le portail Microsoft Azure
Lorsque vous créez un compte de stockage, vous pouvez spécifier que le portail Azure autorise par défaut l’autorisation avec l’ID Microsoft Entra lorsqu’un utilisateur accède aux données de fichier. Vous pouvez également configurer ce paramètre pour un compte de stockage existant. Ce paramètre spécifie uniquement la méthode d’autorisation par défaut. N’oubliez pas qu’un utilisateur peut remplacer ce paramètre et choisir d’autoriser l’accès aux données avec la clé de compte de stockage.
{! REMARQUE] Activez ce paramètre pour encourager les utilisateurs à s’authentifier avec l’ID Microsoft Entra par défaut, ce qui réduit la dépendance sur les clés de compte de stockage et améliore votre posture de sécurité globale.
Pour spécifier que le portail utilisera l’autorisation Microsoft Entra par défaut pour l’accès aux données lorsque vous créez un compte de stockage, procédez comme suit :
- Créez un compte de stockage en suivant les instructions de Créer un compte de stockage.
- Sous l’onglet Avancé, dans la section Sécurité, cochez la case près de Autorisation par défaut de Microsoft Entra dans le portail Azure.
- Sélectionnez Vérifier + créer pour exécuter la validation et créer le compte de stockage.
Pour mettre à jour ce paramètre pour un compte de stockage existant, procédez comme suit :
Accédez à la vue d’ensemble du compte de stockage dans le portail Azure.
Sous Paramètres, sélectionnez Configuration.
Définissez Autorisation par défaut de Microsoft Entra dans le portail Azure sur Activé.
Bonnes pratiques de sécurité pour l’accès à Azure Files
Lors de la configuration de l’accès à Azure Files, suivez ces recommandations de sécurité :
- Préférer l’authentification basée sur l’identité : utilisez toujours l’authentification Microsoft Entra ID par rapport aux clés de compte de stockage si possible. Cela offre de meilleures pistes d’audit, un contrôle d’accès granulaire et une intégration aux stratégies d’accès conditionnel.
- Utilisez les rôles RBAC appropriés : attribuez le rôle le plus restrictif qui répond aux exigences de l’utilisateur. Utilisez le lecteur privilégié des données de fichier de stockage pour l’accès en lecture seule plutôt que pour des rôles permissifs.
- Activer l'autorisation par défaut de Microsoft Entra : configurez les comptes de stockage afin de passer par l’authentification par l’ID Microsoft Entra par défaut dans le portail pour réduire l’utilisation accidentelle des clés de compte.
- Tirez parti des identités managées : pour les applications s’exécutant dans Azure, utilisez des identités managées pour accéder à Azure Files sans stocker d’informations d’identification.
- Implémenter l’accès conditionnel : utilisez des stratégies d’accès conditionnel Microsoft Entra pour appliquer des exigences supplémentaires telles que l’authentification multifacteur ou les vérifications d’appareil conformes pour l’accès aux fichiers.
- Surveiller l’accès : passez régulièrement en revue les journaux Azure Monitor pour suivre qui accède à vos partages de fichiers et identifier les tentatives d’accès non autorisées.
- Envisagez de désactiver la clé partagée : si tous vos scénarios prennent en charge l’authentification basée sur l’identité, envisagez de désactiver l’autorisation de clé partagée au niveau du compte de stockage pour empêcher entièrement son utilisation.