Configurer des pare-feux et des réseaux virtuels dans Stockage AzureConfigure Azure Storage firewalls and virtual networks

Stockage Azure fournit un modèle de sécurité en couche.Azure Storage provides a layered security model. Ce modèle vous permet de sécuriser et de contrôler le niveau d’accès à vos comptes de stockage selon les exigences de vos applications et environnements d’entreprise, en fonction du type et du sous-ensemble de réseaux ou de ressources utilisés.This model enables you to secure and control the level of access to your storage accounts that your applications and enterprise environments demand, based on the type and subset of networks or resources used. Quand des règles de réseau sont configurées, seules les applications demandant des données sur l’ensemble de réseaux spécifié ou via l’ensemble de ressources Azure spécifié peuvent accéder à un compte de stockage.When network rules are configured, only applications requesting data over the specified set of networks or through the specified set of Azure resources can access a storage account. Vous pouvez limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP spécifiées, de plages d’adresses IP, de sous-réseaux dans un réseau virtuel Azure (VNet) ou d’instances de ressource de certains services Azure.You can limit access to your storage account to requests originating from specified IP addresses, IP ranges, subnets in an Azure Virtual Network (VNet), or resource instances of some Azure services.

Les comptes de stockage ont un point de terminaison public accessible via Internet.Storage accounts have a public endpoint that is accessible through the internet. Vous pouvez également créer des points de terminaison privés pour votre compte de stockage, afin d’attribuer une adresse IP privée de votre réseau virtuel au compte de stockage, et de sécuriser tout le trafic entre votre réseau virtuel et le compte de stockage via un lien privé.You can also create Private Endpoints for your storage account, which assigns a private IP address from your VNet to the storage account, and secures all traffic between your VNet and the storage account over a private link. Le pare-feu de stockage Azure fournit un contrôle d’accès pour le point de terminaison public de votre compte de stockage.The Azure storage firewall provides access control for the public endpoint of your storage account. Vous pouvez également utiliser ce pare-feu pour bloquer tout accès via le point de terminaison public quand des points de terminaison privés sont utilisés.You can also use the firewall to block all access through the public endpoint when using private endpoints. La configuration de votre pare-feu de stockage permet aussi de sélectionner des services approuvés de la plateforme Azure pour accéder au compte de stockage de manière sécurisée.Your storage firewall configuration also enables select trusted Azure platform services to access the storage account securely.

Une application qui accède à un compte de stockage alors que des règles de réseau sont toujours activées requiert une autorisation appropriée pour la demande.An application that accesses a storage account when network rules are in effect still requires proper authorization for the request. L’autorisation est prise en charge avec les informations d’identification Azure Active Directory (Azure AD) pour les objets blob et les files d’attente, avec une clé d’accès de compte valide ou un jeton SAS.Authorization is supported with Azure Active Directory (Azure AD) credentials for blobs and queues, with a valid account access key, or with an SAS token.

Important

L’activation des règles de pare-feu pour votre compte de stockage bloque les demandes entrantes pour les données par défaut, sauf si les demandes proviennent d’un service qui fonctionne au sein d’un réseau virtuel (VNet) Azure ou à partir d’adresses IP publiques autorisées.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Les demandes qui sont bloquées comprennent les demandes émanant d’autres services Azure, du portail Azure, des services de journalisation et de métriques, etc.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on.

Vous pouvez accorder l’accès aux services Azure qui fonctionnent à partir d’un réseau virtuel en autorisant le trafic en provenance du sous-réseau hébergeant l’instance de service.You can grant access to Azure services that operate from within a VNet by allowing traffic from the subnet hosting the service instance. Vous pouvez également activer un nombre limité de scénarios via le mécanisme d’exceptions décrit ci-dessous.You can also enable a limited number of scenarios through the exceptions mechanism described below. Pour accéder aux données du compte de stockage via le portail Azure, vous devez utiliser un ordinateur qui se trouve dans la limite de confiance (IP ou réseau virtuel) que vous avez définie.To access data from the storage account through the Azure portal, you would need to be on a machine within the trusted boundary (either IP or VNet) that you set up.

Notes

Cet article a été mis à jour pour pouvoir utiliser le module Azure Az PowerShell.This article has been updated to use the Azure Az PowerShell module. Le module Az PowerShell est le module PowerShell qui est recommandé pour interagir avec Azure.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell.To get started with the Az PowerShell module, see Install Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

ScénariosScenarios

Pour sécuriser votre compte de stockage, vous devez commencer par configurer une règle pour refuser l’accès au trafic de tous les réseaux (y compris le trafic Internet) sur le point de terminaison public, par défaut.To secure your storage account, you should first configure a rule to deny access to traffic from all networks (including internet traffic) on the public endpoint, by default. Ensuite, vous devez configurer des règles qui autorisent l’accès au trafic en provenance de réseaux virtuels spécifiques.Then, you should configure rules that grant access to traffic from specific VNets. Vous pouvez également configurer des règles pour accorder l’accès au trafic en provenance de plages d’adresses IP Internet publiques sélectionnées, en autorisant des connexions à partir de clients Internet ou locaux spécifiques.You can also configure rules to grant access to traffic from selected public internet IP address ranges, enabling connections from specific internet or on-premises clients. Cette configuration vous permet de créer une limite de réseau sécurisée pour vos applications.This configuration enables you to build a secure network boundary for your applications.

Vous pouvez combiner des règles de pare-feu qui autorisent l’accès à partir de réseaux virtuels spécifiques et de plages d’adresses IP publiques sur le même compte de stockage.You can combine firewall rules that allow access from specific virtual networks and from public IP address ranges on the same storage account. Les règles de pare-feu de stockage peuvent être appliquées aux comptes de stockage existants ou à la création de comptes de stockage.Storage firewall rules can be applied to existing storage accounts, or when creating new storage accounts.

Les règles de pare-feu de stockage s’appliquent au point de terminaison public d’un compte de stockage.Storage firewall rules apply to the public endpoint of a storage account. Vous n’avez pas besoin de règles d’accès de pare-feu pour autoriser le trafic via les points de terminaison privés d’un compte de stockage.You don't need any firewall access rules to allow traffic for private endpoints of a storage account. Le processus d’approbation de la création d’un point de terminaison privé accorde un accès implicite au trafic à partir du sous-réseau qui héberge le point de terminaison privé.The process of approving the creation of a private endpoint grants implicit access to traffic from the subnet that hosts the private endpoint.

Les règles de réseau sont appliquées sur tous les protocoles réseau pour le stockage Azure, notamment REST et SMB.Network rules are enforced on all network protocols for Azure storage, including REST and SMB. Pour accéder aux données avec des outils tels que le portail Azure, l’Explorateur de stockage et AZCopy, vous devez configurer des règles de réseau explicites.To access data using tools such as the Azure portal, Storage Explorer, and AZCopy, explicit network rules must be configured.

Une fois appliquées, les règles de réseau concernent toutes les demandes.Once network rules are applied, they're enforced for all requests. Les jetons SAS qui accordent l’accès à une adresse IP spécifique servent à limiter l’accès du détenteur du jeton, mais n’accordent pas d’accès au-delà des règles de réseau configurées.SAS tokens that grant access to a specific IP address serve to limit the access of the token holder, but don't grant new access beyond configured network rules.

Le trafic des disques de machine virtuelle (notamment les opérations de montage et démontage et les E/S de disque) n’est pas affecté par les règles de réseau.Virtual machine disk traffic (including mount and unmount operations, and disk IO) is not affected by network rules. L’accès REST aux objets blob de pages est protégé par les règles de réseau.REST access to page blobs is protected by network rules.

Les comptes de stockage Classic ne prennent pas en charge les pare-feux et les réseaux virtuels.Classic storage accounts do not support firewalls and virtual networks.

Vous pouvez utiliser des disques non managés dans les comptes de stockage avec des règles de réseau appliquées à la sauvegarde et la restauration de machines virtuelles en créant une exception.You can use unmanaged disks in storage accounts with network rules applied to back up and restore VMs by creating an exception. Ce processus est décrit dans la section Gérer les exceptions de cet article.This process is documented in the Manage Exceptions section of this article. Les exceptions de pare-feu ne sont pas applicables avec disques managés dans la mesure où ils sont déjà managés par Azure.Firewall exceptions aren't applicable with managed disks as they're already managed by Azure.

Changer la règle d’accès réseau par défautChange the default network access rule

Par défaut, les comptes de stockage acceptent les connexions des clients sur n’importe quel réseau.By default, storage accounts accept connections from clients on any network. Pour limiter l’accès aux réseaux sélectionnés, vous devez d’abord changer l’action par défaut.To limit access to selected networks, you must first change the default action.

Avertissement

Le changement des règles de réseau peut impacter la capacité de vos applications à se connecter au stockage Azure.Making changes to network rules can impact your applications' ability to connect to Azure Storage. La définition de la règle de réseau par défaut sur Refuser bloque tout accès aux données, sauf si des règles de réseau spécifiques accordant l’accès sont également appliquées.Setting the default network rule to deny blocks all access to the data unless specific network rules that grant access are also applied. Accordez l’accès uniquement aux réseaux autorisés à l’aide des règles de réseau avant de changer la règle par défaut pour refuser l’accès.Be sure to grant access to any allowed networks using network rules before you change the default rule to deny access.

Gestion des règles d’accès réseau par défautManaging default network access rules

Vous pouvez gérer les règles d’accès réseau par défaut pour les comptes de stockage via le portail Azure, PowerShell ou CLIv2.You can manage default network access rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

  1. Accédez au compte de stockage à sécuriser.Go to the storage account you want to secure.

  2. Sélectionnez le menu des paramètres appelé Mise en réseau.Select on the settings menu called Networking.

  3. Pour refuser l’accès par défaut, choisissez d’autoriser l’accès à partir de Réseaux sélectionnés.To deny access by default, choose to allow access from Selected networks. Pour autoriser le trafic de tous les réseaux, choisissez d’autoriser l’accès à partir de Tous les réseaux.To allow traffic from all networks, choose to allow access from All networks.

  4. Sélectionnez Enregistrer pour enregistrer vos modifications.Select Save to apply your changes.

Accorder l’accès à partir d’un réseau virtuelGrant access from a virtual network

Vous pouvez configurer des comptes de stockage pour autoriser l’accès uniquement à partir de sous-réseaux spécifiques.You can configure storage accounts to allow access only from specific subnets. Les sous-réseaux autorisés peuvent appartenir à un réseau virtuel dans le même abonnement ou dans un autre abonnement, y compris dans un abonnement appartenant à un autre locataire Azure Active Directory.The allowed subnets may belong to a VNet in the same subscription, or those in a different subscription, including subscriptions belonging to a different Azure Active Directory tenant.

Activez un point de terminaison de service pour le stockage Azure dans le réseau virtuel.Enable a Service endpoint for Azure Storage within the VNet. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure.The service endpoint routes traffic from the VNet through an optimal path to the Azure Storage service. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande.The identities of the subnet and the virtual network are also transmitted with each request. Les administrateurs peuvent ensuite configurer des règles de réseau pour le compte de stockage qui autorisent la réception des demandes à partir de sous-réseaux spécifiques d’un réseau virtuel.Administrators can then configure network rules for the storage account that allow requests to be received from specific subnets in a VNet. Les clients qui obtiennent un accès par le biais de ces règles de réseau doivent continuer à respecter les exigences d’autorisation du compte de stockage pour accéder aux données.Clients granted access via these network rules must continue to meet the authorization requirements of the storage account to access the data.

Chaque compte de stockage prend en charge jusqu’à 200 règles de réseau virtuel qui peuvent être combinées avec des règles de réseau IP.Each storage account supports up to 200 virtual network rules, which may be combined with IP network rules.

Régions de réseau virtuel disponiblesAvailable virtual network regions

En général, les points de terminaison de service fonctionnent entre les réseaux virtuels et les instances de service d’une même région Azure.In general, service endpoints work between virtual networks and service instances in the same Azure region. Quand les points de terminaison de service sont utilisés avec Stockage Azure, cette étendue inclut aussi la région jumelée.When using service endpoints with Azure Storage, this scope grows to include the paired region. Les points de terminaison de service permettent une continuité des activités pendant un basculement régional ainsi qu’un accès sans interruption aux instances de stockage géoredondantes en lecture seule (RA-GRS).Service endpoints allow continuity during a regional failover and access to read-only geo-redundant storage (RA-GRS) instances. Les règles de réseau qui autorisent l’accès à un compte de stockage à partir d’un réseau virtuel accordent également l’accès à toutes les instances RA-GRS.Network rules that grant access from a virtual network to a storage account also grant access to any RA-GRS instance.

Quand vous planifiez une récupération d’urgence en cas de panne régionale, vous devez créer les réseaux virtuels à l’avance dans la région jumelée.When planning for disaster recovery during a regional outage, you should create the VNets in the paired region in advance. Activez les points de terminaison de service pour le Stockage Azure, avec des règles de réseau accordant l’accès à partir de ces réseaux virtuels alternatifs.Enable service endpoints for Azure Storage, with network rules granting access from these alternative virtual networks. Appliquez ensuite ces règles à vos comptes de stockage géoredondants.Then apply these rules to your geo-redundant storage accounts.

Notes

Les points de terminaison de service ne s’appliquent pas au trafic extérieur à la région du réseau virtuel et à la région jumelée désignée.Service endpoints don't apply to traffic outside the region of the virtual network and the designated region pair. Vous pouvez appliquer les règles de réseau accordant l’accès à partir de réseaux virtuels aux comptes de stockage dans la région principale d’un compte de stockage ou dans la région jumelée désignée.You can only apply network rules granting access from virtual networks to storage accounts in the primary region of a storage account or in the designated paired region.

Autorisations requisesRequired permissions

Pour appliquer une règle de réseau virtuel à un compte de stockage, l’utilisateur doit disposer des autorisations appropriées pour les sous-réseaux à ajouter.To apply a virtual network rule to a storage account, the user must have the appropriate permissions for the subnets being added. L’application de cette règle peut être effectuée par un Contributeur de compte de stockage ou un utilisateur ayant reçu l’autorisation d’accès à l’opération du fournisseur de ressources Azure Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action via un rôle Azure personnalisé.Applying a rule can be performed by a Storage Account Contributor or a user that has been given permission to the Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Azure resource provider operation via a custom Azure role.

Le compte de stockage et les réseaux virtuels auxquels l’accès est accordé peuvent se trouver dans des abonnements différents, y compris des abonnements appartenant à un autre locataire Azure AD.Storage account and the virtual networks granted access may be in different subscriptions, including subscriptions that are a part of a different Azure AD tenant.

Notes

La configuration de règles qui accordent l’accès à des sous-réseaux de réseaux virtuels qui font partie d’un autre locataire Azure Active Directory n’est actuellement possible que via PowerShell, l’interface de ligne de commande et des API REST.Configuration of rules that grant access to subnets in virtual networks that are a part of a different Azure Active Directory tenant are currently only supported through Powershell, CLI and REST APIs. S’il est possible de consulter ces règles sur le portail Azure, il est impossible de les y configurer.Such rules cannot be configured through the Azure portal, though they may be viewed in the portal.

Gestion des règles de réseau virtuelManaging virtual network rules

Vous pouvez gérer les règles de réseau virtuel pour les comptes de stockage via le portail Azure, PowerShell ou CLIv2.You can manage virtual network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

  1. Accédez au compte de stockage à sécuriser.Go to the storage account you want to secure.

  2. Sélectionnez le menu des paramètres appelé Mise en réseau.Select on the settings menu called Networking.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.Check that you've selected to allow access from Selected networks.

  4. Pour accorder l’accès à un réseau virtuel avec une nouvelle règle de réseau, sous Réseaux virtuels, sélectionnez Ajouter un réseau virtuel existant, sélectionnez les options Réseaux virtuels et Sous-réseaux, puis sélectionnez Ajouter.To grant access to a virtual network with a new network rule, under Virtual networks, select Add existing virtual network, select Virtual networks and Subnets options, and then select Add. Pour créer un réseau virtuel et lui accorder l’accès, sélectionnez Ajouter un nouveau réseau virtuel.To create a new virtual network and grant it access, select Add new virtual network. Fournissez les informations nécessaires pour créer le nouveau réseau virtuel, puis sélectionnez Créer.Provide the information necessary to create the new virtual network, and then select Create.

    Notes

    Si un point de terminaison de service pour le stockage Azure n’a pas déjà été configuré pour le réseau virtuel et les sous-réseaux sélectionnés, vous pouvez le configurer dans le cadre de cette opération.If a service endpoint for Azure Storage wasn't previously configured for the selected virtual network and subnets, you can configure it as part of this operation.

    Actuellement, seuls des réseaux virtuels appartenant à un même locataire Azure Active Directory s’affichent pour sélection lors de la création d’une règle.Presently, only virtual networks belonging to the same Azure Active Directory tenant are shown for selection during rule creation. Pour accorder l’accès à un sous-réseau d’un réseau virtuel appartenant à un autre locataire, utilisez PowerShell, l’interface de ligne de commande ou des API REST.To grant access to a subnet in a virtual network belonging to another tenant, please use Powershell, CLI or REST APIs.

  5. Pour supprimer une règle de réseau ou sous-réseau virtuel, sélectionnez ... pour ouvrir le menu contextuel du réseau ou sous-réseau virtuel, puis sélectionnez Supprimer.To remove a virtual network or subnet rule, select ... to open the context menu for the virtual network or subnet, and select Remove.

  6. Sélectionnez Enregistrer pour appliquer vos modifications.select Save to apply your changes.

Accorder l’accès à partir d’une plage d’adresses IP InternetGrant access from an internet IP range

Vous pouvez utiliser des règles réseau IP pour autoriser l’accès à partir des plages d'adresses IP de l’internet public en créant des règles de réseau IP.You can use IP network rules to allow access from specific public internet IP address ranges by creating IP network rules. Chaque compte de stockage prend en charge jusqu’à 200 règles.Each storage account supports up to 200 rules. Ces règles donnent l’accès à des services Internet et des réseaux locaux spécifiques et bloquent le trafic Internet général.These rules grant access to specific internet-based services and on-premises networks and blocks general internet traffic.

Les restrictions suivantes s’appliquent aux plages d’adresses IP.The following restrictions apply to IP address ranges.

  • Les règles de réseau IP sont autorisées uniquement pour les adresses IP de l’internet public.IP network rules are allowed only for public internet IP addresses.

    Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP.IP address ranges reserved for private networks (as defined in RFC 1918) aren't allowed in IP rules. Les réseaux privés incluent des adresses qui commencent par 10.* , 172.16.* - 172.31.* et 192.168.* .Private networks include addresses that start with 10.*, 172.16.* - 172.31.*, and 192.168.*.

  • Vous devez fournir des plages d’adresses Internet autorisées à l’aide de la notation CIDR sous la forme 16.17.18.0/24 ou sous la forme d’adresses IP individuelles de type 16.17.18.19.You must provide allowed internet address ranges using CIDR notation in the form 16.17.18.0/24 or as individual IP addresses like 16.17.18.19.

  • Les petites plages d’adresses qui utilisent les tailles de préfixe « /31 » ou « /32 » ne sont pas prises en charge.Small address ranges using "/31" or "/32" prefix sizes are not supported. Ces plages doivent être configurées à l’aide des règles d’adresses IP individuelles.These ranges should be configured using individual IP address rules.

  • Seules les adresses IPV4 sont prises en charge dans la configuration des règles de pare-feu de stockage.Only IPV4 addresses are supported for configuration of storage firewall rules.

Les règles de réseau IP ne peuvent pas être utilisées dans les cas suivants :IP network rules can't be used in the following cases:

  • Pour restreindre l’accès aux clients situés dans la même région Azure que le compte de stockage.To restrict access to clients in same Azure region as the storage account.

    Les règles de réseau IP n’ont aucun effet sur les requêtes provenant de la même région Azure que le compte de stockage.IP network rules have no effect on requests originating from the same Azure region as the storage account. Utilisez des règles de réseau virtuel pour autoriser les requêtes de même région.Use Virtual network rules to allow same-region requests.

  • Pour restreindre l’accès aux clients dans une région jumelée qui se trouvent dans un réseau virtuel doté d’un point de terminaison de service.To restrict access to clients in a paired region which are in a VNet that has a service endpoint.

  • Pour restreindre l’accès aux services Azure déployés dans la même région que le compte de stockage.To restrict access to Azure services deployed in the same region as the storage account.

    Les services déployés dans la même région que le compte de stockage utilisent des adresses IP Azure privées pour la communication.Services deployed in the same region as the storage account use private Azure IP addresses for communication. Vous ne pouvez donc pas restreindre l’accès à des services Azure spécifiques en fonction de leur plage d’adresses IP sortantes publiques.Thus, you can't restrict access to specific Azure services based on their public outbound IP address range.

Configuration de l’accès à partir de réseaux locauxConfiguring access from on-premises networks

Pour accorder l’accès à votre compte de stockage à partir de réseaux locaux avec une règle de réseau IP, vous devez identifier les adresses IP Internet utilisées par votre réseau.To grant access from your on-premises networks to your storage account with an IP network rule, you must identify the internet facing IP addresses used by your network. Contactez votre administrateur réseau pour obtenir de l’aide.Contact your network administrator for help.

Si vous utilisez ExpressRoute localement, pour le Peering public ou Microsoft, vous devez identifier les adresses IP NAT (traduction d’adresses réseau) utilisées.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Pour le peering public, chaque circuit ExpressRoute utilise par défaut deux adresses IP NAT qui sont appliquées au trafic de service Azure lorsque le trafic entre dans le réseau principal de Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Pour le peering Microsoft, les adresses IP NAT utilisées sont fournies par le client ou par le fournisseur du service.For Microsoft peering, the NAT IP addresses used are either customer provided or are provided by the service provider. Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu IP de ressource.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Pour trouver les adresses IP de votre circuit ExpressRoute de peering public, ouvrez un ticket de support avec ExpressRoute via le portail Azure.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Découvrez d’autres informations sur le peering public et Microsoft NAT pour ExpressRoute.Learn more about NAT for ExpressRoute public and Microsoft peering.

Gestion des règles de réseau IPManaging IP network rules

Vous pouvez gérer les règles de réseau IP pour les comptes de stockage via le portail Azure, PowerShell ou CLIv2.You can manage IP network rules for storage accounts through the Azure portal, PowerShell, or CLIv2.

  1. Accédez au compte de stockage à sécuriser.Go to the storage account you want to secure.

  2. Sélectionnez le menu des paramètres appelé Mise en réseau.Select on the settings menu called Networking.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.Check that you've selected to allow access from Selected networks.

  4. Pour accorder l’accès à une plage d’adresses IP Internet, entrez l’adresse IP ou la plage d’adresses IP (au format CIDR) sous Pare-feu > Plages d’adresses.To grant access to an internet IP range, enter the IP address or address range (in CIDR format) under Firewall > Address Range.

  5. Pour supprimer une règle de réseau IP, sélectionnez l’icône Corbeille à côté de la plage d’adresses.To remove an IP network rule, select the trash can icon next to the address range.

  6. Sélectionnez Enregistrer pour enregistrer vos modifications.Select Save to apply your changes.

Accorder l’accès à partir d’instances de ressource Azure (préversion)Grant access from Azure resource instances (preview)

Dans certains cas, une application peut dépendre de ressources Azure qui ne peuvent pas être isolées par le biais d’une règle de réseau virtuel ou d’adresse IP.In some cases, an application might depend on Azure resources that cannot be isolated through a virtual network or an IP address rule. Toutefois, vous souhaitez toujours sécuriser et limiter l’accès au compte de stockage aux seules ressources Azure de votre application.However, you'd still like to secure and restrict storage account access to only your application's Azure resources. Vous pouvez configurer les comptes de stockage pour permettre l’accès à des instances de ressource spécifiques de certains services Azure en créant une règle d’instance de ressource.You can configure storage accounts to allow access to specific resource instances of some Azure services by creating a resource instance rule.

Les types d’opérations qu’une instance de ressource peut effectuer sur les données du compte de stockage sont déterminés par les attributions de rôle Azure de l’instance de ressource.The types of operations that a resource instance can perform on storage account data is determined by the Azure role assignments of the resource instance. Les instances de ressource doivent provenir du même locataire que votre compte de stockage, mais elles peuvent appartenir à n’importe quel abonnement dans le locataire.Resource instances must be from the same tenant as your storage account, but they can belong to any subscription in the tenant.

Notes

Cette fonctionnalité est en préversion publique et est disponible dans toutes les régions de cloud public.This feature is in public preview and is available in all public cloud regions.

Notes

Les règles d’instance de ressource sont actuellement prises en charge uniquement pour Microsoft Azure Synapse Analytics.Resource instance rules are currently only supported for Azure Synapse. La prise en charge d’autres services Azure listés dans la section Accès approuvé basé sur l’identité managée affectée par le système de cet article sera disponible dans les semaines à venir.Support for other Azure services listed in the Trusted access based on system-assigned managed identity section of this article will be available in the coming weeks.

Vous pouvez ajouter ou supprimer des règles de réseau de ressources dans le portail Azure.You can add or remove resource network rules in the Azure portal.

  1. Pour commencer, connectez-vous au portail Azure.Sign in to the Azure portal to get started.

  2. Recherchez votre compte de stockage et affichez la vue d’ensemble du compte.Locate your storage account and display the account overview.

  3. Sélectionnez Mise en réseau pour afficher la page de configuration de la mise en réseau.Select Networking to display the configuration page for networking.

  4. Dans la liste déroulante Type de ressource, choisissez le type de ressource de votre instance de ressource.In the Resource type drop-down list, choose the resource type of your resource instance.

  5. Dans la liste déroulante Nom de l’instance, choisissez l’instance de ressource.In the Instance name drop-down list, choose the resource instance. Vous pouvez également choisir d’inclure toutes les instances de ressource dans le locataire, l’abonnement ou le groupe de ressources actif.You can also choose to include all resource instances in the active tenant, subscription, or resource group.

  6. Sélectionnez Enregistrer pour enregistrer vos modifications.Select Save to apply your changes. L’instance de ressource s’affiche dans la section Instances de ressource de la page des paramètres réseau.The resource instance appears in the Resource instances section of the network settings page.

Pour supprimer l’instance de ressource, sélectionnez l’icône de suppression ( ) à côté de l’instance de ressource.

Accorder l’accès aux services Azure approuvésGrant access to trusted Azure services

Certains services Azure fonctionnent à partir de réseaux qui ne peuvent pas être inclus dans vos règles de réseau.Some Azure services operate from networks that can't be included in your network rules. Vous pouvez accorder à une partie de ces services Azure approuvés l’accès au compte de stockage, mais conserver des règles de réseau pour d’autres applications.You can grant a subset of such trusted Azure services access to the storage account, while maintaining network rules for other apps. Ces services approuvés utilisent ensuite une authentification forte pour se connecter en toute sécurité à votre compte de stockage.These trusted services will then use strong authentication to securely connect to your storage account.

Vous pouvez accorder l’accès à des services Azure approuvés en créant une exception de règle de réseau.You can grant access to trusted Azure services by creating a network rule exception. Pour obtenir des instructions pas à pas, consultez la section Gérer les exceptions de cet article.For step-by-step guidance, see the Manage exceptions section of this article.

Lorsque vous accordez l’accès à des services Azure approuvés, vous accordez les types d’accès suivants :When you grant access to trusted Azure services, you grant the following types of access:

  • Accès approuvé pour certaines opérations aux ressources inscrites dans votre abonnement.Trusted access for select operations to resources that are registered in your subscription.
  • Accès approuvé aux ressources basé sur l’identité managée affectée par le système.Trusted access to resources based on system-assigned managed identity.

Accès approuvé pour les ressources inscrites dans votre abonnementTrusted access for resources registered in your subscription

Les ressources de certains services, quand ils sont inscrits dans votre abonnement, peuvent accéder à votre compte de stockage dans le même abonnement pour des opérations spécifiques, comme la journalisation ou la sauvegarde.Resources of some services, when registered in your subscription, can access your storage account in the same subscription for select operations, such as writing logs or backup. Le tableau suivant décrit chaque service et les opérations autorisées.The following table describes each service and the operations allowed.

ServiceService Nom du fournisseur de ressourcesResource Provider Name Opérations autoriséesOperations allowed
Sauvegarde AzureAzure Backup Microsoft.RecoveryServicesMicrosoft.RecoveryServices Effectuez des sauvegardes et des restaurations de disques non managés dans des machines virtuelles IAAS.Run backups and restores of unmanaged disks in IAAS virtual machines. (non requis pour les disques managés).(not required for managed disks). Plus d’informationsLearn more.
Azure Data BoxAzure Data Box Microsoft.DataBoxMicrosoft.DataBox Permet l’importation des données vers Azure à l’aide de Microsoft Azure Data Box.Enables import of data to Azure using Data Box. Plus d’informationsLearn more.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLabMicrosoft.DevTestLab Création d’une image personnalisée et installation de l’artefact.Custom image creation and artifact installation. Plus d’informationsLearn more.
Azure Event GridAzure Event Grid Microsoft.EventGridMicrosoft.EventGrid Permettez la publication d’événements Stockage Blob et autorisez Event Grid à effectuer des publications dans les files d’attente de stockage.Enable Blob Storage event publishing and allow Event Grid to publish to storage queues. En savoir plus sur les événements Stockage Blob et la publication dans les files d’attente.Learn about blob storage events and publishing to queues.
Hubs d'événements AzureAzure Event Hubs Microsoft.EventHubMicrosoft.EventHub Archivage des données avec Event Hubs Capture.Archive data with Event Hubs Capture. En savoir plusLearn More.
Azure File SyncAzure File Sync Microsoft.StorageSyncMicrosoft.StorageSync Vous permet de transformer votre serveur de fichiers local en cache pour les partages de fichiers Azure.Enables you to transform your on-prem file server to a cache for Azure File shares. Autoriser la synchronisation sur plusieurs sites, une récupération d’urgence rapide et une sauvegarde sur le cloud.Allowing for multi-site sync, fast disaster-recovery, and cloud-side backup. En savoir plusLearn more
Azure HDInsightAzure HDInsight Microsoft.HDInsightMicrosoft.HDInsight Approvisionnez le contenu initial du système de fichiers par défaut pour un nouveau cluster HDInsight.Provision the initial contents of the default file system for a new HDInsight cluster. Plus d’informationsLearn more.
Azure Import/ExportAzure Import Export Microsoft.ImportExportMicrosoft.ImportExport Permet l’importation de données dans le stockage Azure et l’exportation de données à partir du stockage Azure avec le service Import/Export du stockage Azure.Enables import of data to Azure Storage or export of data from Azure Storage using the Azure Storage Import/Export service. Plus d’informationsLearn more.
Azure MonitorAzure Monitor Microsoft.InsightsMicrosoft.Insights Autorise l’écriture de données de supervision dans un compte de stockage sécurisé, à savoir les journaux de ressources, les journaux de connexion et d’audit Azure Active Directory et les journaux Microsoft Intune.Allows writing of monitoring data to a secured storage account, including resource logs, Azure Active Directory sign-in and audit logs, and Microsoft Intune logs. Plus d’informationsLearn more.
Mise en réseau AzureAzure Networking Microsoft.NetworkMicrosoft.Network Stockez et analysez les journaux du trafic réseau, notamment celui qui transite par les services Network Watcher et Traffic Analytics.Store and analyze network traffic logs, including through the Network Watcher and Traffic Analytics services. Plus d’informationsLearn more.
Azure Site RecoveryAzure Site Recovery Microsoft.SiteRecoveryMicrosoft.SiteRecovery Activez la réplication pour la reprise d’activité des machines virtuelles Azure IaaS lors de l’utilisation de comptes de stockage de cache avec pare-feu activé, de stockage source ou de stockage cible.Enable replication for disaster-recovery of Azure IaaS virtual machines when using firewall-enabled cache, source, or target storage accounts. Plus d’informationsLearn more.

Accès approuvé basé sur l’identité managée affectée par le systèmeTrusted access based on system-assigned managed identity

Le tableau suivant répertorie les services qui peuvent avoir accès aux données de votre compte de stockage si les instances de ressource de ces services reçoivent l’autorisation appropriée.The following table lists services that can have access to your storage account data if the resource instances of those services are given the appropriate permission. Pour accorder l’autorisation, vous devez explicitement attribuer un rôle Azure à l’identité managée affectée par le système pour chaque instance de ressource.To grant permission, you must explicitly assign an Azure role to the system-assigned managed identity for each resource instance. Dans ce cas, l’étendue de l’accès pour l’instance correspond au rôle Azure affecté à l’identité managée.In this case, the scope of access for the instance corresponds to the Azure role assigned to the managed identity.

Conseil

La méthode recommandée pour accorder l’accès à des ressources spécifiques consiste à utiliser des règles d’instance de ressource.The recommended way to grant access to specific resources is to use resource instance rules. Pour accorder l’accès à des instances de ressource spécifiques, consultez la section Accorder l’accès à partir d’instances de ressource Azure (préversion) de cet article.To grant access to specific resource instances, see the Grant access from Azure resource instances (preview) section of this article.

ServiceService Nom du fournisseur de ressourcesResource Provider Name ObjectifPurpose
Gestion des API AzureAzure API Management Microsoft.ApiManagement/serviceMicrosoft.ApiManagement/service Active l’accès au service Gestion des API pour les comptes de stockage derrière un pare-feu à l’aide de stratégies.Enables Api Management service access to storage accounts behind firewall using policies. Plus d’informationsLearn more.
Recherche cognitive AzureAzure Cognitive Search Microsoft.Search/searchServicesMicrosoft.Search/searchServices Permet aux services Recherche cognitive d’accéder aux comptes de stockage pour l’indexation, le traitement et l’interrogation.Enables Cognitive Search services to access storage accounts for indexing, processing and querying.
Azure Cognitive ServicesAzure Cognitive Services Microsoft.CognitiveService/accountsMicrosoft.CognitiveService/accounts Permet à Cognitive Services d’accéder à des comptes de stockage.Enables Cognitive Services to access storage accounts.
Tâches Azure Container RegistryAzure Container Registry Tasks Microsoft.ContainerRegistry/registriesMicrosoft.ContainerRegistry/registries ACR Tasks peut accéder aux comptes de stockage lors de la génération d’images conteneur.ACR Tasks can access storage accounts when building container images.
Azure Data FactoryAzure Data Factory Microsoft.DataFactory/factoriesMicrosoft.DataFactory/factories Autorise l’accès aux comptes de stockage par le biais du Runtime ADF.Allows access to storage accounts through the ADF runtime.
Azure Data ShareAzure Data Share Microsoft.DataShare/accountsMicrosoft.DataShare/accounts Autorise l’accès aux comptes de stockage par le biais de Data Share.Allows access to storage accounts through Data Share.
Azure DevTest LabsAzure DevTest Labs Microsoft.DevTestLab/labsMicrosoft.DevTestLab/labs Autorise l’accès aux comptes de stockage par le biais de DevTest Labs.Allows access to storage accounts through DevTest Labs.
Azure IoT HubAzure IoT Hub Microsoft.Devices/IotHubsMicrosoft.Devices/IotHubs Autorise l’écriture des données d’un IoT Hub dans le stockage d’objets blob.Allows data from an IoT hub to be written to Blob storage. En savoir plusLearn more
Azure Logic AppsAzure Logic Apps Microsoft.Logic/workflowsMicrosoft.Logic/workflows Permet aux applications logiques d’accéder aux comptes de stockage.Enables logic apps to access storage accounts. Plus d’informationsLearn more.
Service Azure Machine LearningAzure Machine Learning Service Microsoft.MachineLearningServicesMicrosoft.MachineLearningServices Les espaces de travail Azure Machine Learning autorisés écrivent des sorties, des modèles et des journaux expérimentaux dans le stockage d’objets blob et lisent les données.Authorized Azure Machine Learning workspaces write experiment output, models, and logs to Blob storage and read the data. Plus d’informationsLearn more.
Azure Media ServicesAzure Media Services Microsoft.Media/mediaservicesMicrosoft.Media/mediaservices Autorise l’accès aux comptes de stockage par le biais de Media Services.Allows access to storage accounts through Media Services.
Azure MigrateAzure Migrate Microsoft.Migrate/migrateprojectsMicrosoft.Migrate/migrateprojects Autorise l’accès aux comptes de stockage par le biais d’Azure Migrate.Allows access to storage accounts through Azure Migrate.
Azure PurviewAzure Purview Microsoft.Purview/accountsMicrosoft.Purview/accounts Autorise Purview à accéder aux comptes de stockage.Allows Purview to access storage accounts.
Azure Remote RenderingAzure Remote Rendering Microsoft.MixedReality/remoteRenderingAccountsMicrosoft.MixedReality/remoteRenderingAccounts Autorise l’accès aux comptes de stockage par le biais de Remote Rendering.Allows access to storage accounts through Remote Rendering.
Azure Site RecoveryAzure Site Recovery Microsoft.RecoveryServices/vaultsMicrosoft.RecoveryServices/vaults Autorise l’accès aux comptes de stockage par le biais de Site Recovery.Allows access to storage accounts through Site Recovery.
Azure SQL DatabaseAzure SQL Database Microsoft.SqlMicrosoft.Sql Autorise l’écriture de données d’audit dans des comptes de stockage derrière le pare-feu.Allows writing audit data to storage accounts behind firewall.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft.SqlMicrosoft.Sql Autorise l’importation et l’exportation de données depuis et vers des bases de données SQL spécifiques à l’aide de l’instruction COPY ou de PolyBase (dans un pool dédié), ou à l’aide de la fonction openrowset et des tables externes dans le pool serverless.Allows import and export of data from specific SQL databases using the COPY statement or PolyBase (in dedicated pool), or the openrowset function and external tables in serverless pool. Plus d’informationsLearn more.
Azure Stream AnalyticsAzure Stream Analytics Microsoft.StreamAnalyticsMicrosoft.StreamAnalytics Autorise l’écriture des données d’une tâche de streaming dans le stockage d’objets blob.Allows data from a streaming job to be written to Blob storage. Plus d’informationsLearn more.
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft.Synapse/workspacesMicrosoft.Synapse/workspaces Permet l’accès aux données dans Stockage Azure à partir d’Azure Synapse Analytics.Enables access to data in Azure Storage from Azure Synapse Analytics.

Accorder l’accès à Storage AnalyticsGrant access to storage analytics

Dans certains cas, un accès en lecture aux journaux et aux métriques de ressources est nécessaire en dehors de la limite du réseau.In some cases, access to read resource logs and metrics is required from outside the network boundary. Quand vous configurez l’accès aux services approuvés pour le compte de stockage, vous pouvez autoriser l’accès en lecture aux fichiers journaux ou aux tables de métriques, ou aux deux, en créant une exception de règle de réseau.When configuring trusted services access to the storage account, you can allow read-access for the log files, metrics tables, or both by creating a network rule exception. Pour obtenir des instructions pas à pas, consultez la section Gérer les exceptions ci-dessous.For step-by-step guidance, see the Manage exceptions section below. Pour en savoir plus sur l’utilisation de Storage Analytics, consultez Utiliser Azure Storage Analytics pour collecter des données de journaux et de métriques.To learn more about working with storage analytics, see Use Azure Storage analytics to collect logs and metrics data.

Gérer les exceptionsManage exceptions

Vous pouvez gérer les exceptions de règle de réseau dans le portail Azure, PowerShell ou Azure CLI v2.You can manage network rule exceptions through the Azure portal, PowerShell, or Azure CLI v2.

  1. Accédez au compte de stockage à sécuriser.Go to the storage account you want to secure.

  2. Sélectionnez le menu des paramètres appelé Mise en réseau.Select on the settings menu called Networking.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.Check that you've selected to allow access from Selected networks.

  4. Sous Exceptions, sélectionnez les exceptions que vous voulez accorder.Under Exceptions, select the exceptions you wish to grant.

  5. Sélectionnez Enregistrer pour enregistrer vos modifications.Select Save to apply your changes.

Étapes suivantesNext steps

Découvrez plus d’informations sur les points de terminaison de service du réseau Azure dans Points de terminaison de service.Learn more about Azure Network service endpoints in Service endpoints.

Explorez en détail la sécurité de Stockage Azure dans Guide de sécurité de Stockage Azure.Dig deeper into Azure Storage security in Azure Storage security guide.