Gérer les clés d’accès au compte de stockageManage storage account access keys

Quand vous créez un compte de stockage, Azure génère deux clés d’accès 512 bits pour ce compte.When you create a storage account, Azure generates two 512-bit storage account access keys. Ces clés peuvent être utilisées pour autoriser l’accès aux données de votre compte de stockage par le biais de l’autorisation de clé partagée.These keys can be used to authorize access to data in your storage account via Shared Key authorization.

Microsoft vous recommande d’utiliser Azure Key Vault pour gérer vos clés d’accès, ainsi que de permuter et de regénérer régulièrement vos clés.Microsoft recommends that you use Azure Key Vault to manage your access keys, and that you regularly rotate and regenerate your keys. L’utilisation d’Azure Key Vault facilite la permutation de vos clés sans interruption de vos applications.Using Azure Key Vault makes it easy to rotate your keys without interruption to your applications. Vous pouvez également permuter manuellement vos clés.You can also manually rotate your keys.

Protégez vos clés d’accèsProtect your access keys

Vos clés d’accès de compte de stockage sont similaires au mot de passe racine pour votre compte de stockage.Your storage account access keys are similar to a root password for your storage account. Veillez toujours à protéger vos clés d’accès.Always be careful to protect your access keys. Utilisez Azure Key Vault pour gérer et effectuer la rotation de vos clés en toute sécurité.Use Azure Key Vault to manage and rotate your keys securely. Évitez de distribuer des clés d’accès à d’autres utilisateurs, de les coder en dur ou de les enregistrer en texte brut dans un emplacement accessible à d’autres personnes.Avoid distributing access keys to other users, hard-coding them, or saving them anywhere in plain text that is accessible to others. Effectuez une rotation de vos clés si vous pensez qu’elles ont pu être compromises.Rotate your keys if you believe they may have been compromised.

Notes

Microsoft recommande d’utiliser dans la mesure du possible Azure Active Directory (Azure AD) plutôt que des clés partagées pour autoriser les demandes effectuées sur les données Blob et File d’attente.Microsoft recommends using Azure Active Directory (Azure AD) to authorize requests against blob and queue data if possible, instead of Shared Key. Azure AD offre une sécurité et une facilité d’utilisation supérieures sur les clés partagées.Azure AD provides superior security and ease of use over Shared Key. Pour plus d’informations sur l’autorisation de l’accès aux données avec Azure AD, consultez Autoriser l’accès aux objets blob et files d’attente Azure à l’aide d’Azure Active Directory.For more information about authorizing access to data with Azure AD, see Authorize access to Azure blobs and queues using Azure Active Directory.

Afficher les clés d’accès au compteView account access keys

Vous pouvez afficher et copier les clés d’accès à votre compte avec le portail Azure, PowerShell ou Azure CLI.You can view and copy your account access keys with the Azure portal, PowerShell, or Azure CLI. Le portail Azure fournit également une chaîne de connexion pour votre compte de stockage, que vous pouvez copier.The Azure portal also provides a connection string for your storage account that you can copy.

Pour afficher et copier les clés d’accès ou la chaîne de connexion de votre compte de stockage à partir du portail Azure :To view and copy your storage account access keys or connection string from the Azure portal:

  1. Accédez à votre compte de stockage dans le Portail Azure.Navigate to your storage account in the Azure portal.

  2. Sous Paramètres, sélectionnez Clés d’accès.Under Settings, select Access keys. Vos clés d’accès au compte s’affichent, ainsi que la chaîne de connexion complète de chaque clé.Your account access keys appear, as well as the complete connection string for each key.

  3. Recherchez la valeur de Key sous key1, puis cliquez sur le bouton Copier pour copier la clé du compte.Locate the Key value under key1, and click the Copy button to copy the account key.

  4. Vous pouvez aussi copier la chaîne de connexion complète.Alternately, you can copy the entire connection string. Recherchez la valeur de Chaîne de connexion sous clé1, puis cliquez sur le bouton Copier pour copier la chaîne de connexion.Find the Connection string value under key1, and click the Copy button to copy the connection string.

    Capture d’écran montrant comment afficher les clés d’accès dans le portail Azure

Vous pouvez utiliser la clé de votre choix pour accéder au Stockage Azure, mais il est en général conseillé d’utiliser la première et de réserver la deuxième pour le rotation des clés.You can use either of the two keys to access Azure Storage, but in general it's a good practice to use the first key, and reserve the use of the second key for when you are rotating keys.

Pour visualiser ou lire les clés d’accès d’un compte, l’utilisateur doit être administrateur de service ou titulaire d’un rôle Azure qui comprend Microsoft.Storage/storageAccounts/listkeys/action.To view or read an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/listkeys/action. Voici quelques rôles AZURE intégrés qui incluent cette action : Propriétaire, Contributeur et Rôle de service d’opérateur de clé de compte de stockage.Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Pour plus d’informations sur le rôle d’administrateur de service, consultez Rôles d’administrateur d’abonnement classique, rôles Azure et rôles Azure AD.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Pour plus d’informations sur les rôles intégrés pour Stockage Azure, consultez la section Stockage dans Rôles intégrés Azure pour Azure RBAC.For detailed information about built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Utiliser Azure Key Vault pour gérer vos clés d’accèsUse Azure Key Vault to manage your access keys

Microsoft recommande d’utiliser Azure Key Vault pour gérer et permuter vos clés d’accès.Microsoft recommends using Azure Key Vault to manage and rotate your access keys. Votre application peut accéder de manière sécurisée à vos clés dans Key Vault, afin que vous puissiez éviter de les stocker avec votre code d’application.Your application can securely access your keys in Key Vault, so that you can avoid storing them with your application code. Pour plus d’informations sur l’utilisation de Key Vault pour la gestion des clés, consultez les articles suivants :For more information about using Key Vault for key management, see the following articles:

Permuter des clés d’accès manuellementManually rotate access keys

Microsoft vous recommande de permuter vos clés d’accès régulièrement pour garantir une sécurité optimale de votre compte de stockage.Microsoft recommends that you rotate your access keys periodically to help keep your storage account secure. Si possible, utilisez Azure Key Vault pour gérer vos clés d’accès.If possible, use Azure Key Vault to manage your access keys. Si vous n’utilisez pas Key Vault, vous devrez permuter vos clés manuellement.If you are not using Key Vault, you will need to rotate your keys manually.

Deux clés d’accès sont assignées pour vous permettre de les permuter.Two access keys are assigned so that you can rotate your keys. L’existence de deux clés permet de garantir que votre application maintient l’accès au Stockage Azure tout au long du processus.Having two keys ensures that your application maintains access to Azure Storage throughout the process.

Avertissement

La regénération des clés d’accès peut impacter des applications ou des services Azure qui ont une dépendance avec la clé du compte de stockage.Regenerating your access keys can affect any applications or Azure services that are dependent on the storage account key. Tous les clients qui utilisent la clé de compte pour accéder au compte de stockage doivent être mis à jour afin d’utiliser la nouvelle clé, y compris les services multimédias, les applications cloud, de bureau et mobiles, et les applications d’interface utilisateur graphique pour le stockage Azure, comme l’Explorateur Stockage Azure.Any clients that use the account key to access the storage account must be updated to use the new key, including media services, cloud, desktop and mobile applications, and graphical user interface applications for Azure Storage, such as Azure Storage Explorer.

Pour opérer la rotation des clés d’accès de votre compte de stockage dans le portail Azure :To rotate your storage account access keys in the Azure portal:

  1. Mettez à jour les chaînes de connexion dans votre code d’application pour désigner la clé d’accès secondaire du compte de stockage.Update the connection strings in your application code to reference the secondary access key for the storage account.
  2. Accédez à votre compte de stockage dans le Portail Azure.Navigate to your storage account in the Azure portal.
  3. Sous Paramètres, sélectionnez Clés d’accès.Under Settings, select Access keys.
  4. Pour régénérer la clé d’accès primaire de votre compte de stockage, sélectionnez le bouton Régénérer en regard de la clé d’accès primaire.To regenerate the primary access key for your storage account, select the Regenerate button next to the primary access key.
  5. Mettez à jour les chaînes de connexion dans votre code pour désigner la nouvelle clé d’accès principale.Update the connection strings in your code to reference the new primary access key.
  6. Régénérez la clé d’accès secondaire de la même manière.Regenerate the secondary access key in the same manner.

Notes

Microsoft recommande d’utiliser uniquement l’une des clés dans toutes vos applications en même temps.Microsoft recommends using only one of the keys in all of your applications at the same time. Si vous utilisez parfois la clé 1 et parfois la clé 2, vous ne pouvez effectuer aucune rotation de vos clés sans qu’une application ne perde l’accès.If you use Key 1 in some places and Key 2 in others, you will not be able to rotate your keys without some application losing access.

Pour effectuer la rotation des clés d’accès d’un compte, l’utilisateur doit être administrateur de service ou titulaire d’un rôleAzure qui comprend Microsoft.Storage/storageAccounts/regeneratekey/action.To rotate an account's access keys, the user must either be a Service Administrator, or must be assigned an Azure role that includes the Microsoft.Storage/storageAccounts/regeneratekey/action. Voici quelques rôles AZURE intégrés qui incluent cette action : Propriétaire, Contributeur et Rôle de service d’opérateur de clé de compte de stockage.Some Azure built-in roles that include this action are the Owner, Contributor, and Storage Account Key Operator Service Role roles. Pour plus d’informations sur le rôle d’administrateur de service, consultez Rôles d’administrateur d’abonnement classique, rôles Azure et rôles Azure AD.For more information about the Service Administrator role, see Classic subscription administrator roles, Azure roles, and Azure AD roles. Pour plus d’informations sur les rôles Azure intégrés pour Stockage Azure, consultez la section Stockage dans Rôles intégrés Azure pour Azure RBAC.For detailed information about Azure built-in roles for Azure Storage, see the Storage section in Azure built-in roles for Azure RBAC.

Étapes suivantesNext steps