Rôles, autorisations et sécurité dans Azure MonitorRoles, permissions, and security in Azure Monitor

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

De nombreuses équipes ont besoin de réglementer strictement l’accès aux données et aux paramètres d’analyse.Many teams need to strictly regulate access to monitoring data and settings. Par exemple, si des membres de votre équipe travaillent exclusivement sur l’analyse (ingénieurs du support technique, ingénieurs DevOps) ou si vous utilisez un fournisseur de services gérés, vous souhaiterez leur accorder l’accès à l’analyse des données tout en limitant leur capacité à créer, modifier ou supprimer des ressources.For example, if you have team members who work exclusively on monitoring (support engineers, DevOps engineers) or if you use a managed service provider, you may want to grant them access to only monitoring data while restricting their ability to create, modify, or delete resources. Cet article montre comment appliquer un rôle RBAC d’analyse intégré à un utilisateur dans Azure ou créer vos propres rôles personnalisés pour un utilisateur qui a rapidement besoin d’autorisations limitées pour l’analyse.This article shows how to quickly apply a built-in monitoring RBAC role to a user in Azure or build your own custom role for a user who needs limited monitoring permissions. Il évoque ensuite les considérations de sécurité pour vos ressources liées à Azure Monitor et comment vous pouvez restreindre l’accès aux données contenues.It then discusses security considerations for your Azure Monitor-related resources and how you can limit access to the data they contain.

Rôles de surveillance intégrésBuilt-in monitoring roles

Les rôles intégrés d’Azure Monitor sont conçus pour vous aider à limiter l’accès aux ressources dans un abonnement tout en permettant au responsable de l’infrastructure d’analyse d’obtenir et de configurer les données nécessaires.Azure Monitor’s built-in roles are designed to help limit access to resources in a subscription while still enabling those responsible for monitoring infrastructure to obtain and configure the data they need. Azure Monitor propose deux rôles prêts à l’emploi : un lecteur d’analyse et un contributeur d’analyse.Azure Monitor provides two out-of-the-box roles: A Monitoring Reader and a Monitoring Contributor.

Lecteur d’analyseMonitoring Reader

Les personnes affectées au rôle de lecteur d’analyse peuvent afficher toutes les données d’analyse dans un abonnement, mais ne peuvent pas modifier de ressource ou modifier les paramètres relatifs à l’analyse des ressources.People assigned the Monitoring Reader role can view all monitoring data in a subscription but cannot modify any resource or edit any settings related to monitoring resources. Ce rôle est approprié pour les utilisateurs dans une organisation, tels que les ingénieurs de support ou d’opération, qui doivent être en mesure de faire ce qui suit :This role is appropriate for users in an organization, such as support or operations engineers, who need to be able to:

  • Afficher des tableaux de bord d’analyse dans le portail et créer leurs propres tableaux de bord privés d’analyse.View monitoring dashboards in the portal and create their own private monitoring dashboards.
  • Afficher les règles d’alerte définies dans Alertes AzureView alert rules defined in Azure Alerts
  • Requête de mesures avec l’API REST Azure Monitor, les applets de commande PowerShell ou le CLI multiplateforme.Query for metrics using the Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • Interroger le journal d’activité via le portail, l’API REST Azure Monitor, les applets de commande PowerShell ou le CLI multiplateforme.Query the Activity Log using the portal, Azure Monitor REST API, PowerShell cmdlets, or cross-platform CLI.
  • Affichez les Paramètres de diagnostic pour une ressource.View the diagnostic settings for a resource.
  • Afficher le profil de journalisation pour un abonnement.View the log profile for a subscription.
  • Affichez les paramètres de mise à l’échelle automatique.View autoscale settings.
  • Afficher les activités et paramètres d’alerte.View alert activity and settings.
  • Accéder aux données Application Insights et affichez les données dans AI Analytics.Access Application Insights data and view data in AI Analytics.
  • Rechercher des données d’espace de travail Log Analytics, notamment les données d’utilisation de l’espace de travail.Search Log Analytics workspace data including usage data for the workspace.
  • Afficher les groupes de gestion Log Analytics.View Log Analytics management groups.
  • Récupérer le schéma de recherche dans l’espace de travail Log Analytics.Retrieve the search schema in Log Analytics workspace.
  • Répertorier les packs de surveillance dans l’espace de travail Log Analytics.List monitoring packs in Log Analytics workspace.
  • Récupérer et exécuter des recherches enregistrées dans l’espace de travail Log Analytics.Retrieve and execute saved searches in Log Analytics workspace.
  • Récupérer la configuration du stockage de l’espace de travail Log Analytics.Retrieve the Log Analytics workspace storage configuration.

Notes

Ce rôle ne donne pas l’accès en lecture aux données de journal diffusées vers un hub d’événements ou stockées dans un compte de stockage.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Consultez ce qui suit pour plus d’informations sur la configuration de l’accès à ces ressources.See below for information on configuring access to these resources.

Contributeur d’analyseMonitoring Contributor

Les personnes affectées au rôle de contributeur d’analyse peuvent afficher toutes les données d’analyse dans un abonnement, et créer ou modifier des paramètres d’analyse, mais ne peuvent pas modifier d’autres ressources.People assigned the Monitoring Contributor role can view all monitoring data in a subscription and create or modify monitoring settings, but cannot modify any other resources. Ce rôle est un surensemble du rôle lecteur d’analyse et est approprié pour les membres de l’équipe d’analyse d’une organisation ou les fournisseurs de services gérés qui, outre les autorisations ci-dessus, doivent également être en mesure de faire ce qui suit :This role is a superset of the Monitoring Reader role, and is appropriate for members of an organization’s monitoring team or managed service providers who, in addition to the permissions above, also need to be able to:

  • Publier des tableaux de bord d’analyse en tant que tableau de bord partagé.Publish monitoring dashboards as a shared dashboard.
  • Définir les paramètres de diagnostic pour une ressource.*Set diagnostic settings for a resource.*
  • Définir le profil de journalisation pour un abonnement.*Set the log profile for a subscription.*
  • Définir l’activité et les paramètres de règles d’alerte via Alertes Azure.Set alert rules activity and settings via Azure Alerts.
  • Créer des tests web et composants Application Insights.Create Application Insights web tests and components.
  • Répertorier les clés partagées d’espace de travail Log Analytics.List Log Analytics workspace shared keys.
  • Activer ou désactiver les packs de surveillance dans l’espace de travail Log Analytics.Enable or disable monitoring packs in Log Analytics workspace.
  • Créer, supprimer et exécuter des recherches enregistrées dans l’espace de travail Log Analytics.Create and delete and execute saved searches in Log Analytics workspace.
  • Créer et supprimer la configuration du stockage de l’espace de travail Log Analytics.Create and delete the Log Analytics workspace storage configuration.

*L’utilisateur doit également obtenir séparément l’autorisation ListKeys sur la ressource cible (compte de stockage ou espace de noms d’Event Hub) pour définir un profil de journalisation ou un paramètre de diagnostic.*user must also separately be granted ListKeys permission on the target resource (storage account or event hub namespace) to set a log profile or diagnostic setting.

Notes

Ce rôle ne donne pas l’accès en lecture aux données de journal diffusées vers un hub d’événements ou stockées dans un compte de stockage.This role does not give read access to log data that has been streamed to an event hub or stored in a storage account. Consultez ce qui suit pour plus d’informations sur la configuration de l’accès à ces ressources.See below for information on configuring access to these resources.

Autorisations de supervision et rôles personnalisés AzureMonitoring permissions and Azure custom roles

Si les rôles intégrés ci-dessus ne répondent pas aux besoins exacts de votre équipe, vous pouvez créer un rôle personnalisé Azure avec des autorisations plus précises.If the above built-in roles don’t meet the exact needs of your team, you can create an Azure custom role with more granular permissions. Voici les opérations RBAC d’Azure Monitor courantes avec leurs descriptions.Below are the common Azure Monitor RBAC operations with their descriptions.

OpérationOperation DescriptionDescription
Microsoft.Insights/ActionGroups/[Read, Write, Delete]Microsoft.Insights/ActionGroups/[Read, Write, Delete] Lire/écrire/supprimer des groupes d’actions.Read/write/delete action groups.
Microsoft.Insights/ActivityLogAlerts/[Read, Write, Delete]Microsoft.Insights/ActivityLogAlerts/[Read, Write, Delete] Lire/écrire/supprimer des alertes de journal d’activité.Read/write/delete activity log alerts.
Microsoft.Insights/AlertRules/[Read, Write, Delete]Microsoft.Insights/AlertRules/[Read, Write, Delete] Lire/écrire/supprimer des règles d’alerte (à partir d’alertes classiques).Read/write/delete alert rules (from alerts classic).
Microsoft.Insights/AlertRules/Incidents/ReadMicrosoft.Insights/AlertRules/Incidents/Read Liste d’incidents (historique de la règle d’alerte déclenchée) pour les règles d’alerte.List incidents (history of the alert rule being triggered) for alert rules. Cela s’applique uniquement au portail.This only applies to the portal.
Microsoft.Insights/AutoscaleSettings/[Read, Write, Delete]Microsoft.Insights/AutoscaleSettings/[Read, Write, Delete] Paramètres de mise à l’échelle automatique en lecture/écriture/suppression.Read/write/delete autoscale settings.
Microsoft.Insights/DiagnosticSettings/[Read, Write, Delete]Microsoft.Insights/DiagnosticSettings/[Read, Write, Delete] Paramètres de diagnostic en lecture/écriture/suppression.Read/write/delete diagnostic settings.
Microsoft.Insights/EventCategories/ReadMicrosoft.Insights/EventCategories/Read Énumérer toutes les catégories possibles dans le journal d’activité.Enumerate all categories possible in the Activity Log. Utilisé par le Portail Azure.Used by the Azure portal.
Microsoft.Insights/eventtypes/digestevents/ReadMicrosoft.Insights/eventtypes/digestevents/Read Cette autorisation est nécessaire pour les utilisateurs qui doivent accéder aux journaux d’activité via le portail.This permission is necessary for users who need access to Activity Logs via the portal.
Microsoft.Insights/eventtypes/values/ReadMicrosoft.Insights/eventtypes/values/Read Événements du journal d’activité, (événements de gestion) dans un abonnement.List Activity Log events (management events) in a subscription. Cette autorisation est applicable pour l’accès par programme et portail dans le journal d’activité.This permission is applicable to both programmatic and portal access to the Activity Log.
Microsoft.Insights/ExtendedDiagnosticSettings/[Read, Write, Delete]Microsoft.Insights/ExtendedDiagnosticSettings/[Read, Write, Delete] Lire/écrire/supprimer des paramètres de diagnostic pour les journaux de flux réseau.Read/write/delete diagnostic settings for network flow logs.
Microsoft.Insights/LogDefinitions/ReadMicrosoft.Insights/LogDefinitions/Read Cette autorisation est nécessaire pour les utilisateurs qui doivent accéder aux journaux d’activité via le portail.This permission is necessary for users who need access to Activity Logs via the portal.
Microsoft.Insights/LogProfiles/[Read, Write, Delete]Microsoft.Insights/LogProfiles/[Read, Write, Delete] Lire/écrire/supprimer des profils de journal (diffusion en continu du journal d’activité vers le Event Hub ou le compte de stockage).Read/write/delete log profiles (streaming Activity Log to event hub or storage account).
Microsoft.Insights/MetricAlerts/[Read, Write, Delete]Microsoft.Insights/MetricAlerts/[Read, Write, Delete] Lire/écrire/supprimer des alertes métriques quasiment en temps réelRead/write/delete near real-time metric alerts
Microsoft.Insights/MetricDefinitions/ReadMicrosoft.Insights/MetricDefinitions/Read Lire des définitions de mesure (liste de types de mesure disponibles pour une ressource).Read metric definitions (list of available metric types for a resource).
Microsoft.Insights/Metrics/ReadMicrosoft.Insights/Metrics/Read Lire des mesures pour une ressource.Read metrics for a resource.
Microsoft.Insights/Register/ActionMicrosoft.Insights/Register/Action Inscrire le fournisseur de ressources Azure Monitor.Register the Azure Monitor resource provider.
Microsoft.Insights/ScheduledQueryRules/[Read, Write, Delete]Microsoft.Insights/ScheduledQueryRules/[Read, Write, Delete] Alertes de lecture/écriture/suppression dans le journal Azure Monitor.Read/write/delete log alerts in Azure Monitor.

Notes

Accéder aux alertes, aux paramètres de diagnostic et aux mesures pour une ressource nécessite que l’utilisateur ait accès en lecture au type de ressource et à la portée de la ressource.Access to alerts, diagnostic settings, and metrics for a resource requires that the user has Read access to the resource type and scope of that resource. La création (« écriture ») d’un profil de journalisation ou de paramètre de diagnostic qui archive sur un compte de stockage ou diffuse vers des hubs d’événements exige que l’utilisateur dispose également de l’autorisation ListKeys sur la ressource cible.Creating (“write”) a diagnostic setting or log profile that archives to a storage account or streams to event hubs requires the user to also have ListKeys permission on the target resource.

Par exemple, en utilisant le tableau ci-dessus, vous pouvez créer un rôle personnalisé Azure pour un « lecteur de journal d’activité » comme suit :For example, using the above table you could create an Azure custom role for an “Activity Log Reader” like this:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Activity Log Reader"
$role.Description = "Can view activity logs."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Insights/eventtypes/*")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription")
New-AzRoleDefinition -Role $role 

Considérations de sécurité pour l’analyse des donnéesSecurity considerations for monitoring data

Les données d’analyse (les fichiers journaux en particulier) peuvent contenir des informations sensibles, comme des adresses IP ou des noms d’utilisateur.Monitoring data—particularly log files—can contain sensitive information, such as IP addresses or user names. La surveillance de données dans Azure se présente sous trois formes de base :Monitoring data from Azure comes in three basic forms:

  1. Le journal d’activité qui décrit toutes les actions de plan de contrôle sur votre abonnement Azure.The Activity Log, which describes all control-plane actions on your Azure subscription.
  2. Les journaux de ressources, qui sont des journaux émis par une ressource.resource logs, which are logs emitted by a resource.
  3. Les mesures, qui sont émises par les ressources.Metrics, which are emitted by resources.

Ces trois types de données peuvent être stockés dans un compte de stockage ou diffusés vers un hub d’événements, qui sont tous deux des ressources Azure à usage général.All three of these data types can be stored in a storage account or streamed to Event Hub, both of which are general-purpose Azure resources. Étant donné qu’il s’agit de ressources à usage général, leur création, leur suppression et leur accès sont des opérations privilégiées réservées à un administrateur.Because these are general-purpose resources, creating, deleting, and accessing them is a privileged operation reserved for an administrator. Nous vous conseillons d’utiliser les pratiques suivantes pour les ressources liées à l’analyse afin d’éviter une mauvaise utilisation :We suggest that you use the following practices for monitoring-related resources to prevent misuse:

  • Utilisez un compte de stockage unique, dédié pour l’analyse des données.Use a single, dedicated storage account for monitoring data. Si vous devez séparer les données d’analyse sur plusieurs comptes de stockage, ne partagez jamais l’utilisation d’un compte de stockage entre les données d’analyse et les données hors analyse, car cela peut donner par inadvertance l’accès aux données hors analyse à ceux qui doivent uniquement accéder aux données d’analyse (par ex. un SIEM (Security Information and Event Management) tiers).If you need to separate monitoring data into multiple storage accounts, never share usage of a storage account between monitoring and non-monitoring data, as this may inadvertently give those who only need access to monitoring data (for example, a third-party SIEM) access to non-monitoring data.
  • Utilisez un espace de noms de hub d’événements ou Service Bus unique pour tous les paramètres de diagnostic pour la même raison que ci-dessus.Use a single, dedicated Service Bus or Event Hub namespace across all diagnostic settings for the same reason as above.
  • Limitez l’accès aux comptes de stockage liés à l’analyse et aux hubs d’événements en les conservant dans un groupe de ressources distinct et utilisez les étendues sur vos rôles d’analyse pour limiter l’accès à ce groupe de ressources uniquement.Limit access to monitoring-related storage accounts or event hubs by keeping them in a separate resource group, and use scope on your monitoring roles to limit access to only that resource group.
  • N’accordez jamais l’autorisation ListKeys aux comptes de stockage ou hubs d’événements dont la portée comprend l’abonnement lorsqu’un utilisateur doit uniquement accéder aux données d’analyse.Never grant the ListKeys permission for either storage accounts or event hubs at subscription scope when a user only needs access to monitoring data. Au lieu de cela, accordez ces autorisations à l’utilisateur sur une ressource ou un groupe de ressources (si vous avez un groupe de ressources d’analyse).Instead, give these permissions to the user at a resource or resource group (if you have a dedicated monitoring resource group) scope.

Lorsqu’un utilisateur ou une application doit accéder à l’analyse des données dans un compte de stockage, vous devez Générer un SAP de compte sur le compte de stockage qui contient les données d’analyse avec un accès en lecture au niveau de service pour le stockage d’objets Blob.When a user or application needs access to monitoring data in a storage account, you should generate an Account SAS on the storage account that contains monitoring data with service-level read-only access to blob storage. Dans PowerShell, cela pourrait ressembler à :In PowerShell, this might look like:

$context = New-AzStorageContext -ConnectionString "[connection string for your monitoring Storage Account]"
$token = New-AzStorageAccountSASToken -ResourceType Service -Service Blob -Permission "rl" -Context $context

Vous pouvez ensuite donner le jeton à l’entité qui doit lire à partir de ce compte de stockage, et elle pourra alors répertorier et lire à partir de tous les objets Blob dans ce compte de stockage.You can then give the token to the entity that needs to read from that storage account, and it can list and read from all blobs in that storage account.

Si vous avez besoin de contrôler cette autorisation avec RBAC, vous pouvez également accorder à cette entité l’autorisation Microsoft.Storage/storageAccounts/listkeys/action sur ce compte de stockage particulier.Alternatively, if you need to control this permission with RBAC, you can grant that entity the Microsoft.Storage/storageAccounts/listkeys/action permission on that particular storage account. Cela est nécessaire pour les utilisateurs qui doivent être en mesure de définir un paramètre de diagnostic ou un profil de journalisation pour l’archivage sur un compte de stockage.This is necessary for users who need to be able to set a diagnostic setting or log profile to archive to a storage account. Par exemple, vous pouvez créer le rôle personnalisé Azure suivant pour un utilisateur ou une application qui a uniquement besoin de lire à partir d’un compte de stockage :For example, you could create the following Azure custom role for a user or application that only needs to read from one storage account:

$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Monitoring Storage Account Reader"
$role.Description = "Can get the storage account keys for a monitoring storage account."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Storage/storageAccounts/listkeys/action")
$role.Actions.Add("Microsoft.Storage/storageAccounts/Read")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myMonitoringStorageAccount")
New-AzRoleDefinition -Role $role 

Avertissement

L’autorisation ListKeys permet à l’utilisateur de répertorier les clés de compte de stockage principales et secondaires.The ListKeys permission enables the user to list the primary and secondary storage account keys. Ces clés accordent à l’utilisateur toutes les autorisations signées (lecture, écriture, création d’objets Blob, suppression d’objets Blob, etc.) sur l’ensemble des services signés (Blob, file d’attente, table, fichier) sur ce compte de stockage.These keys grant the user all signed permissions (read, write, create blobs, delete blobs, etc.) across all signed services (blob, queue, table, file) in that storage account. Nous vous recommandons d’utiliser un SAP de compte comme décrit ci-dessus, lorsque cela est possible.We recommend using an Account SAS described above when possible.

Un modèle similaire peut être suivi avec les hubs d’événements, mais vous devez d’abord créer une règle d’autorisation d’écoute dédiée.A similar pattern can be followed with event hubs, but first you need to create a dedicated Listen authorization rule. Si vous souhaitez accorder l’accès à une application qui doit seulement écouter les hubs d’événements liés à l’analyse, procédez comme suit :If you want to grant, access to an application that only needs to listen to monitoring-related event hubs, do the following:

  1. Créez une stratégie d’accès partagé sur les concentrateurs d’événements qui ont été créés pour la diffusion des données d’analyse avec uniquement les demandes d’écoute.Create a shared access policy on the event hub(s) that were created for streaming monitoring data with only Listen claims. Vous pouvez le faire dans le portail.This can be done in the portal. Par exemple, vous pouvez l’appeler « monitoringReadOnly ».For example, you might call it “monitoringReadOnly.” Si possible, donnez cette clé directement au consommateur et ignorez l’étape suivante.If possible, you will want to give that key directly to the consumer and skip the next step.

  2. Si le consommateur doit être en mesure d’obtenir la clé ad hoc, accordez à l’utilisateur l’action ListKeys pour cet Event Hub.If the consumer needs to be able to get the key ad hoc, grant the user the ListKeys action for that event hub. Cela est également nécessaire pour les utilisateurs qui doivent être en mesure de définir un paramètre de diagnostic ou un profil de journalisation pour diffuser vers les hubs d’événements.This is also necessary for users who need to be able to set a diagnostic setting or log profile to stream to event hubs. Par exemple, vous pouvez créer une règle RBAC :For example, you might create an RBAC rule:

    $role = Get-AzRoleDefinition "Reader"
    $role.Id = $null
    $role.Name = "Monitoring Event Hub Listener"
    $role.Description = "Can get the key to listen to an event hub streaming monitoring data."
    $role.Actions.Clear()
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/authorizationrules/listkeys/action")
    $role.Actions.Add("Microsoft.ServiceBus/namespaces/Read")
    $role.AssignableScopes.Clear()
    $role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.ServiceBus/namespaces/mySBNameSpace")
    New-AzRoleDefinition -Role $role 
    

Supervision au sein d’un réseau virtuel sécuriséMonitoring within a secured Virtual Network

Azure Monitor a besoin d’accéder à vos ressources Azure pour fournir les services que vous activez.Azure Monitor needs access to your Azure resources to provide the services you enable. Si vous souhaitez surveiller vos ressources Azure tout en continuant à les protéger contre tout accès sur l’Internet public, vous pouvez activer les paramètres suivants.If you would like to monitor your Azure resources while still securing them from access to the Public Internet, you can enable the following settings.

Comptes de stockage sécurisésSecured Storage Accounts

Les données de supervision sont souvent écrites dans un compte de stockage.Monitoring data is often written to a storage account. Vous souhaitez peut-être vous assurer que les données copiées dans un compte de stockage ne sont pas accessibles aux utilisateurs non autorisés.You may want to make sure that the data copied to a Storage Account cannot be accessed by unauthorized users. Pour plus de sécurité, vous pouvez verrouiller l’accès réseau pour permettre uniquement à vos ressources autorisées et services Microsoft approuvés d’accéder à un compte de stockage. Pour cela, vous pouvez forcer un compte de stockage à utiliser uniquement les « réseaux sélectionnés ».For additional security, you can lock down network access to only allow your authorized resources and trusted Microsoft services access to a storage account by restricting a storage account to use "selected networks". Boîte de dialogue des paramètres du Stockage Azure Azure Monitor est considéré comme l’un de ces « services Microsoft approuvés ». Si vous autorisez les services Microsoft approuvés à accéder à votre stockage sécurisé, Azure Monitor peut accéder à votre compte de stockage sécurisé. Ceci permettra l’écriture de métriques, journaux d’activité et journaux de ressources Azure Monitor dans votre compte de stockage conformément à ces conditions de protection.Azure Storage Settings Dialog Azure Monitor is considered one of these "trusted Microsoft services" If you allow trusted Microsoft services to access your Secured Storage, Azure monitor will have access to your secured Storage Account; enabling writing Azure Monitor resource logs, activity log, and metrics to your Storage Account under these protected conditions. Ceci permet également à Log Analytics de lire les journaux d’activité à partir du stockage sécurisé.This will also enable Log Analytics to read logs from secured storage.

Pour plus d’informations, consultez Network security and Azure Storage (Sécurité réseau et Stockage Azure).For more information, see Network security and Azure Storage

Étapes suivantesNext steps