Configurer des pare-feux et des réseaux virtuels dans Stockage Azure

Stockage Azure fournit un modèle de sécurité en couche. Ce modèle vous permet de contrôler le niveau d’accès à vos comptes de stockage selon les exigences de vos applications et environnements d’entreprise, en fonction du type et du sous-ensemble de réseaux ou de ressources que vous utilisez.

Quand vous configurez des règles de réseau, seules les applications qui demandent des données sur l’ensemble des réseaux spécifié ou via l’ensemble de ressources Azure spécifié peuvent accéder à un compte de stockage. Vous pouvez limiter l’accès à votre compte de stockage aux demandes provenant d’adresses IP, de plages d’adresses IP et de sous-réseaux spécifiés dans un réseau virtuel Azure, ou d’instances de ressource de certains services Azure.

Les comptes de stockage ont un point de terminaison publique accessible via Internet. Vous pouvez également créer des points de terminaison privés pour votre compte de stockage. La création de points de terminaison privés affecte une adresse IP privée de votre réseau virtuel au compte de stockage. Cela permet de sécuriser le trafic entre le réseau virtuel et le compte de stockage via une liaison privée.

Le pare-feu Stockage Azure fournit un contrôle d’accès pour le point de terminaison public de votre compte de stockage. Vous pouvez également utiliser le pare-feu pour bloquer tout accès via le point de terminaison publique lorsque vous utilisez des points de terminaison privés. La configuration de votre pare-feu permet aussi aux services approuvés de la plateforme Azure à accéder au compte de stockage.

Une application qui accède à un compte de stockage alors que des règles de réseau sont toujours activées requiert une autorisation appropriée pour la demande. L’autorisation est prise en charge avec les informations d’identification Microsoft Entra pour les objets blob, les tables, les partages de fichiers et les files d’attente, avec une clé d’accès de compte valide ou un jeton SAP (signature d'accès partagé). Lorsque vous configurez un conteneur d’objets blob pour un accès anonyme, il n’est pas nécessaire d’autoriser les demandes de lecture de données dans ce conteneur. Les règles de pare-feu demeurent effectives et bloquent le trafic anonyme.

L’activation des règles de pare-feu pour votre compte de stockage bloque les demandes entrantes pour les données par défaut, sauf si les demandes proviennent d’un service qui fonctionne au sein d’un réseau virtuel Azure ou à partir d’adresses IP publiques autorisées. Les demandes qui sont bloquées comprennent les demandes émanant d’autres services Azure, du portail Azure, et de services de journalisation et de métriques.

Vous pouvez accorder l’accès aux services Azure qui fonctionnent à partir d’un réseau virtuel en autorisant le trafic en provenance du sous-réseau qui héberge l’instance de service. Vous pouvez également activer un nombre limité de scénarios via le mécanisme d’exceptions décrit dans cet article. Pour accéder aux données du compte de stockage via le portail Azure, vous devez utiliser un ordinateur qui se trouve dans la limite de confiance (IP ou réseau virtuel) que vous avez définie.

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Scénarios

Pour sécuriser votre compte de stockage, vous devez commencer par configurer une règle pour refuser l’accès au trafic de tous les réseaux (y compris le trafic Internet) sur le point de terminaison public, par défaut. Vous devez ensuite configurer des règles qui autorisent l’accès au trafic en provenance de réseaux virtuels spécifiques. Vous pouvez également configurer des règles pour accorder l’accès au trafic en provenance de plages d’adresses IP Internet publiques sélectionnées, en autorisant des connexions à partir de clients Internet ou locaux spécifiques. Cette configuration vous aide à créer une limite de réseau sécurisée pour vos applications.

Vous pouvez combiner des règles de pare-feu qui autorisent l’accès à partir de réseaux virtuels spécifiques et de plages d’adresses IP publiques sur le même compte de stockage. Vous pouvez appliquer des règles de pare-feu de stockage aux comptes de stockage existant ou lorsque vous créez des comptes de stockage.

Les règles de pare-feu de stockage s’appliquent au point de terminaison public d’un compte de stockage. Vous n’avez pas besoin de règles d’accès de pare-feu pour autoriser le trafic via les points de terminaison privés d’un compte de stockage. Le processus d’approbation de la création d’un point de terminaison privé accorde un accès implicite au trafic à partir du sous-réseau qui héberge le point de terminaison privé.

Important

Les règles de pare-feu de Stockage Azure s’appliquent uniquement aux opérations de plan de données. Les opérations de plan de contrôle ne sont pas soumises aux restrictions spécifiées dans les règles de pare-feu.

Certaines opérations, telles que les opérations de conteneur d’objets blob, peuvent être effectuées via le plan de contrôle et le plan de données. Par conséquent, si vous tentez d’effectuer une opération telle que la liste des conteneurs du Portail Azure, l’opération réussit, sauf si elle est bloquée par un autre mécanisme. Les tentatives d’accès aux données blob à partir d’une application telle que l’Explorateur de stockage Azure sont contrôlées par les restrictions de pare-feu.

Pour obtenir la liste des opérations de plan de données, consultez la référence de l’API REST de Stockage Azure. Pour obtenir la liste des opérations de plan de contrôle, consultez la référence de l’API REST du fournisseur de ressources de Stockage Azure.

Configurer l’accès réseau à Stockage Azure

Vous pouvez contrôler l’accès aux données de votre compte de stockage sur des points de terminaison réseau, ou via des services ou des ressources approuvés dans n’importe quelle combinaison, y compris :

À propos des points de terminaison de réseau virtuel

Il existe deux types de points de terminaison de réseau virtuel pour les comptes de stockage :

Les points de terminaison de service de réseau virtuel sont publics et accessibles via Internet. Le pare-feu de Stockage Azure permet de contrôler l’accès à votre compte de stockage sur ces points de terminaison publics. Lorsque vous activez l’accès réseau public à votre compte de stockage, toutes les demandes entrantes de données sont bloquées par défaut. Seules les applications qui demandent des données à partir de sources autorisées que vous configurez dans les paramètres de pare-feu de votre compte de stockage pourront accéder à vos données. Les sources peuvent inclure l’adresse IP source ou le sous-réseau de réseau virtuel d’un client, ainsi qu'un service Azure ou une instance de ressource par lesquels les clients ou les services accèdent à vos données. Les demandes bloquées incluent celles provenant d’autres services Azure, du Portail Azure et des services de journalisation et de métriques, sauf si vous autorisez explicitement l’accès dans la configuration de votre pare-feu.

Un point de terminaison privé utilise une adresse IP privée de votre réseau virtuel pour accéder à un compte de stockage sur le réseau principal Microsoft. Avec un point de terminaison privé, le trafic entre votre réseau virtuel et le compte de stockage est sécurisé via une liaison privée. Les règles de pare-feu de stockage s’appliquent uniquement aux points de terminaison publics d’un compte de stockage, et non aux points de terminaison privés. Le processus d’approbation de la création d’un point de terminaison privé accorde un accès implicite au trafic à partir du sous-réseau qui héberge le point de terminaison privé. Vous pouvez utiliser des Stratégies réseau pour contrôler le trafic sur les points de terminaison privés si vous souhaitez affiner les règles d’accès. Si vous souhaitez utiliser des points de terminaison privés exclusivement, vous pouvez utiliser le pare-feu pour bloquer tout accès via le point de terminaison public.

Pour vous aider à décider quand utiliser chaque type de point de terminaison dans votre environnement, consultez Comparer des points de terminaison privés et des points de terminaison de service.

Comment aborder la sécurité réseau pour votre compte de stockage

Pour sécuriser votre compte de stockage et créer une limite réseau sécurisée pour vos applications :

  1. Commencez par désactiver tout accès réseau public pour le compte de stockage sous le paramètre Accès réseau public dans le pare-feu du compte de stockage.

  2. Si possible, configurez des liaisons privées vers votre compte de stockage à partir de points de terminaison privés sur des sous-réseaux de réseau virtuel où résident les clients qui doivent accéder à vos données.

  3. Si les applications clientes nécessitent un accès via les points de terminaison publics, modifiez le paramètre Accès au réseau public sur Activé à partir des réseaux virtuels et adresses IP sélectionnés. Ensuite, selon les besoins :

    1. Spécifiez les sous-réseaux de réseau virtuel à partir desquels vous souhaitez autoriser l’accès.
    2. Spécifiez les plages d’adresses IP publiques des clients à partir desquels vous souhaitez autoriser l’accès, comme celles des réseaux locaux.
    3. Autorisez l’accès à partir d’instances de ressources Azure sélectionnées.
    4. Ajoutez des exceptions pour autoriser l’accès à partir des services approuvés requis pour les opérations telles que la sauvegarde des données.
    5. Ajoutez des exceptions pour la journalisation et les métriques.

Une fois que vous avez appliqué des règles réseau, elles sont appliquées pour toutes les demandes. Les jetons SAS qui accordent l’accès à une adresse IP spécifique servent à limiter l’accès du détenteur du jeton, mais ils n’accordent pas d’accès au-delà des règles de réseau configurées.

Restrictions et considérations

Avant d’implémenter la sécurité réseau pour vos comptes de stockage, passez en revue les restrictions et considérations importantes décrites dans cette section.

  • Les règles de pare-feu de Stockage Azure s’appliquent uniquement aux opérations de plan de données. Les opérations de plan de contrôle ne sont pas soumises aux restrictions spécifiées dans les règles de pare-feu.
  • Passez en revue les restrictions pour les règles de réseau IP.
  • Pour accéder aux données à l’aide d’outils tels que le Portail Azure, l’Explorateur de stockage Azure et AzCopy, vous devez être sur un ordinateur dans la limite approuvée que vous établissez lors de la configuration des règles de sécurité réseau.
  • Les règles de réseau sont appliquées sur tous les protocoles réseau pour le stockage Azure, notamment REST et SMB.
  • Les règles de réseau n’ont pas d’impact sur le trafic des disques de machine virtuelle, comme les opérations de montage et démontage et les E/S de disque, mais elles aident à protéger l’accès REST aux objets blob de pages.
  • Vous pouvez utiliser des disques non managés dans les comptes de stockage avec des règles de réseau appliquées à la sauvegarde et la restauration de machines virtuelles en créant une exception. Les exceptions de pare-feu ne sont pas applicables aux disques managés, car Azure les gère déjà.
  • Les comptes de stockage Classic ne prennent pas en charge les pare-feux et les réseaux virtuels.
  • Si vous supprimez un sous-réseau qui est inclus dans une règle de réseau virtuel, il sera supprimé des règles réseau pour le compte de stockage. Si vous créez un sous-réseau portant le même nom, il n’aura pas accès au compte de stockage. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du compte de stockage.
  • Lors du référencement d’un point de terminaison de service dans une application cliente, nous vous recommandons d’éviter de prendre une dépendance sur une adresse IP mise en cache. L’adresse IP du compte de stockage est susceptible de changer et le fait de s’appuyer sur une adresse IP mise en cache peut entraîner un comportement inattendu. De plus, il est recommandé de respecter la durée de vie (TTL) de l’enregistrement DNS et d’éviter de le remplacer. La substitution de la durée de vie du DNS peut entraîner un comportement inattendu.
  • Par défaut, l’accès à un compte de stockage à partir de services approuvés a priorité sur les autres restrictions d’accès réseau. Si vous définissez l’accès au réseau public sur Désactivé après avoir précédemment défini la valeur Activé à partir de réseaux virtuels et d’adresses IP sélectionnés, toutes les instances de ressources et exceptions que vous avez précédemment configurées, y compris l’autorisation des services Azure dans la liste des services approuvés à accéder à ce compte de stockage, resteront en vigueur. Par conséquent, les ressources et services pourront toujours avoir accès au compte de stockage.

Autorisation

Les clients qui obtiennent un accès par le biais des règles de réseau doivent continuer à respecter les exigences d’autorisation du compte de stockage pour accéder aux données. L’autorisation est prise en charge avec les informations d’identification Microsoft Entra pour les objets blob et les files d’attente, avec une clé d’accès de compte valide ou un jeton SAS (signature d'accès partagé).

Quand vous configurez un conteneur d’objets blob pour un accès public anonyme, il n’est pas nécessaire que les demandes de lecture des données dans ce conteneur soient autorisées, mais les règles de pare-feu restent en vigueur et bloquent le trafic anonyme.

Changer la règle d’accès réseau par défaut

Par défaut, les comptes de stockage acceptent les connexions des clients sur n’importe quel réseau. Vous pouvez limiter l’accès aux réseaux sélectionnés ou empêcher le trafic provenant de tous les réseaux et autoriser l’accès uniquement via un point de terminaison privé.

Vous devez définir la règle par défaut sur refuser, sinon les règles de réseau n’ont aucun effet. Cependant, la modification de ce paramètre peut affecter la capacité de votre application à se connecter au Stockage Azure. Veillez à accorder l’accès à tous les réseaux autorisés ou à configurer l’accès via un point de terminaison privé avant de modifier ce paramètre.

Remarque

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

  1. Accédez au compte de stockage que vous voulez sécuriser.

  2. Localisez les paramètres Mise en réseau sous Sécurité + mise en réseau.

  3. Choisissez le type d’accès réseau public que vous souhaitez autoriser :

    • Pour autoriser le trafic provenant de tous les réseaux, sélectionnez Activé à partir de tous les réseaux.

    • Pour autoriser le trafic uniquement provenant de réseaux virtuels spécifiques, sélectionnez Activé à partir de réseaux virtuels et d’adresses IP sélectionnés.

    • Pour bloquer le trafic à partir de tous les réseaux, sélectionnez Désactivé.

  4. Sélectionnez Enregistrer pour enregistrer vos modifications.

Attention

Par défaut, l’accès à un compte de stockage à partir de services approuvés a priorité sur les autres restrictions d’accès réseau. Si vous définissez l’accès au réseau public sur Désactivé après avoir précédemment défini la valeur Activé à partir de réseaux virtuels et d’adresses IP sélectionnés, toutes les instances de ressources et exceptions que vous avez précédemment configurées, y compris l’autorisation des services Azure dans la liste des services approuvés à accéder à ce compte de stockage, resteront en vigueur. Par conséquent, les ressources et services pourront toujours avoir accès au compte de stockage.

Accorder l’accès à partir d’un réseau virtuel

Vous pouvez configurer des comptes de stockage pour autoriser l’accès uniquement à partir de sous-réseaux spécifiques. Les sous-réseaux autorisés peuvent appartenir à un réseau virtuel dans le même abonnement ou dans un autre abonnement, y compris ceux appartenant à un autre tenant (locataire/client) Microsoft Entra. Avec les points de terminaison de service inter-régions, les sous-réseaux autorisés peuvent également se trouver dans des régions différentes du compte de stockage.

Vous pouvez activer un point de terminaison de service pour Stockage Azure dans le réseau virtuel. Le point de terminaison de service achemine le trafic à partir du réseau virtuel via un chemin d’accès optimal vers le service Stockage Azure. Les identités du sous-réseau et du réseau virtuel sont également transmises avec chaque demande. Les administrateurs peuvent ensuite configurer des règles de réseau pour le compte de stockage qui autorisent la réception des demandes à partir de sous-réseaux spécifiques d’un réseau virtuel. Les clients qui obtiennent un accès par le biais de ces règles de réseau doivent continuer à respecter les exigences d’autorisation du compte de stockage pour accéder aux données.

Chaque compte de stockage prend en charge jusqu’à 400 règles de réseau virtuel. Vous pouvez combiner ces règles avec des règles de réseau IP.

Important

Lors du référencement d’un point de terminaison de service dans une application cliente, nous vous recommandons d’éviter de prendre une dépendance sur une adresse IP mise en cache. L’adresse IP du compte de stockage est susceptible de changer et le fait de s’appuyer sur une adresse IP mise en cache peut entraîner un comportement inattendu.

De plus, il est recommandé de respecter la durée de vie (TTL) de l’enregistrement DNS et d’éviter de le remplacer. La substitution de la durée de vie du DNS peut entraîner un comportement inattendu.

Autorisations requises

Pour appliquer une règle de réseau virtuel à un compte de stockage, l’utilisateur doit disposer des autorisations appropriées pour les sous-réseaux qui sont ajoutés. Un Contributeur de compte de stockage ou un utilisateur ayant reçu l’autorisation d’accès à l’Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionopération du fournisseur de ressources Azure peuvent appliquer une règle en utilisant un rôle Azure personnalisé.

Le compte de stockage et les réseaux virtuels auxquels l’accès est accordé peuvent se trouver dans différents abonnements, y compris des abonnements appartenant à un autre tenant Microsoft Entra.

La configuration de règles qui accordent l’accès à des sous-réseaux de réseaux virtuels qui font partie d’un autre tenant Microsoft Entra n’est actuellement possible que par le biais de PowerShell, de l’interface Azure CLI et des API REST. Vous ne pouvez pas configurer ces règles via le portail Azure, mais vous pouvez les afficher dans le portail.

Points de terminaison de service inter-régions Stockage Azure

Les points de terminaison de service inter-régions pour Stockage Azure ont été mis en disponibilité générale en avril 2023. Ils fonctionnent entre les réseaux virtuels et les instances de service de stockage dans n’importe quelle région. Grâce aux points de terminaison de service inter-régions, les sous-réseaux n’utilisent plus une adresse IP publique pour communiquer avec des comptes de stockage, y compris ceux d’une autre région. Au lieu de cela, tout le trafic des sous-réseaux vers des comptes de stockage utilise une adresse IP privée comme adresse IP source. Par conséquent, tous les comptes de stockage qui utilisent des règles de réseau IP pour autoriser le trafic à partir de ces sous-réseaux n’ont plus d’effet.

Il est possible qu’une configuration des points de terminaison de service entre des réseaux virtuels et des instances de service dans une région jumelée soit une partie importante de votre plan de récupération d’urgence. Les points de terminaison de service permettent une continuité des activités pendant un basculement régional ainsi qu’un accès sans interruption aux instances de stockage géoredondantes en lecture seule (RA-GRS). Les règles de réseau qui autorisent l’accès à un compte de stockage à partir d’un réseau virtuel accordent également l’accès à toutes les instances RA-GRS.

Lorsque vous planifiez une récupération d’urgence en cas de panne régionale, créez les réseaux virtuels à l’avance dans la région jumelée. Activez les points de terminaison de service pour le Stockage Azure, avec des règles de réseau accordant l’accès à partir de ces réseaux virtuels alternatifs. Appliquez ensuite ces règles à vos comptes de stockage géoredondants.

Les points de terminaison de service locaux et inter-régions ne peuvent pas coexister sur le même sous-réseau. Pour remplacer des points de terminaison de service existants par des points de terminaison inter-régions, supprimez les points de terminaison existants Microsoft.Storage et recréez-les en tant que points de terminaison inter-régions (Microsoft.Storage.Global).

Gestion des règles de réseau virtuel

Vous pouvez gérer les règles de réseau virtuel pour les comptes de stockage via le portail Azure, PowerShell ou Azure CLI v2.

Si vous souhaitez activer l’accès à votre compte de stockage à partir d’un réseau ou sous-réseau virtuel se trouvant dans un autre tenant Microsoft Entra, vous devez utiliser PowerShell ou Azure CLI. Le portail Azure n’affiche pas les sous-réseaux des autres tenants Microsoft Entra.

  1. Accédez au compte de stockage que vous voulez sécuriser.

  2. Sélectionnez Mise en réseau.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.

  4. Pour accorder l’accès à un réseau virtuel avec une nouvelle règle de réseau, sélectionnez Ajouter un réseau virtuel existant sous Réseaux virtuels. Sélectionnez les options Réseaux virtuels et Sous-réseaux, puis sélectionnez Ajouter.

    Pour créer un réseau virtuel et lui accorder l’accès, sélectionnez Ajouter un nouveau réseau virtuel. Fournissez les informations nécessaires pour créer le nouveau réseau virtuel, puis sélectionnez Créer.

    Si un point de terminaison de service pour le stockage Azure n’a pas déjà été configuré pour le réseau virtuel et les sous-réseaux sélectionnés, vous pouvez le configurer dans le cadre de cette opération.

    Actuellement, seuls des réseaux virtuels appartenant à un même tenant Microsoft Entra sont disponibles à la sélection lors de la création d’une règle. Pour accorder l’accès à un sous-réseau d’un réseau virtuel appartenant à un autre tenant, utilisez PowerShell, l’interface Azure CLI ou des API REST.

  5. Pour supprimer une règle de réseau ou sous-réseau virtuel, sélectionnez les points de suspension (...) pour ouvrir le menu contextuel du réseau ou sous-réseau virtuel, puis sélectionnez Supprimer.

  6. Sélectionnez Enregistrer pour enregistrer vos modifications.

Important

Si vous supprimez un sous-réseau qui est inclus dans une règle réseau, il sera supprimé des règles réseau pour le compte de stockage. Si vous créez un sous-réseau portant le même nom, il n’aura pas accès au compte de stockage. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du compte de stockage.

Accorder l’accès à partir d’une plage d’adresses IP Internet

Vous pouvez utiliser des règles réseau IP pour autoriser l’accès à partir des plages d'adresses IP de l’internet public en créant des règles de réseau IP. Chaque compte de stockage prend en charge jusqu’à 400 règles. Ces règles accordent l’accès à des services Internet et des réseaux locaux spécifiques et bloquent le trafic Internet général.

Restrictions pour les règles de réseau IP

Les restrictions suivantes s’appliquent aux plages d’adresses IP :

  • Les règles de réseau IP sont autorisées uniquement pour les adresses IP de l’internet public.

    Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP. Les réseaux privés incluent des adresses qui commencent par 10, 172.16 à 172.31, et 192.168.

  • Vous devez fournir des plages d’adresses Internet autorisées à l’aide de la notation CIDR sous la forme 16.17.18.0/24 ou sous la forme d’adresses IP individuelles de type 16.17.18.19.

  • Les petites plages d’adresses qui utilisent les tailles de préfixe /31 ou /32 ne sont pas prises en charge. Configurez ces plages avec des règles d’adresses IP individuelles.

  • Seules les adresses IPv4 sont prises en charge dans la configuration des règles de pare-feu de stockage.

Important

L’utilisation des règles de réseau IP est impossible dans les cas suivants :

  • Pour restreindre l’accès aux clients situés dans la même région Azure que le compte de stockage. Les règles de réseau IP n’ont aucun effet sur les requêtes provenant de la même région Azure que le compte de stockage. Utilisez des règles de réseau virtuel pour autoriser les requêtes de même région.
  • Pour restreindre l’accès aux clients dans une région jumelée qui se trouvent dans un réseau virtuel doté d’un point de terminaison de service.
  • Pour restreindre l’accès aux services Azure déployés dans la même région que le compte de stockage. Les services déployés dans la même région que le compte de stockage utilisent des adresses IP Azure privées pour la communication. Vous ne pouvez donc pas restreindre l’accès à des services Azure spécifiques en fonction de leur plage d’adresses IP sortantes publiques.

Configuration de l’accès à partir de réseaux locaux

Pour accorder l’accès à votre compte de stockage à partir de réseaux locaux à l’aide d’une règle de réseau IP, vous devez identifier les adresses IP Internet que votre réseau utilise. Contactez votre administrateur réseau pour obtenir de l’aide.

Si vous utilisez Azure ExpressRoute localement, pour le Peering public ou Microsoft, vous devez identifier les adresses IP NAT (traduction d’adresses réseau) utilisées. Pour le peering public, chaque circuit ExpressRoute utilise (par défaut) deux adresses IP NAT qui sont appliquées au trafic de service Azure lorsque le trafic entre dans le réseau principal de Microsoft Azure. Pour le peering Microsoft, le fournisseur de services ou le client fournit les adresses IP NAT.

Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu pour les IP de ressources. Pour trouver les adresses IP de votre circuit ExpressRoute de peering public, ouvrez un ticket de support avec ExpressRoute via le portail Azure. Découvrez d’autres informations sur le peering public et Microsoft NAT pour ExpressRoute.

Gestion des règles de réseau IP

Vous pouvez gérer les règles de réseau IP pour les comptes de stockage via le portail Azure, PowerShell ou Azure CLI v2.

  1. Accédez au compte de stockage que vous voulez sécuriser.

  2. Sélectionnez Mise en réseau.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.

  4. Pour accorder l’accès à une plage d’adresses IP Internet, entrez l’adresse IP ou la plage d’adresses IP (au format CIDR) sous Pare-feu>Plages d’adresses.

  5. Pour supprimer une règle de réseau IP, sélectionnez l’icône de suppression ( ) à côté de la plage d’adresses.

  6. Sélectionnez Enregistrer pour enregistrer vos modifications.

Accorder l’accès à partir d’instances de ressource Azure

Dans certains cas, une application peut dépendre de ressources Azure qui ne peuvent pas être isolées par le biais d’une règle de réseau virtuel ou d’adresse IP. Vous souhaitez tout de même toujours sécuriser et limiter l’accès au compte de stockage aux seules ressources Azure de votre application. Vous pouvez configurer les comptes de stockage pour permettre l’accès à des instances de ressource spécifiques des services Azure de confiance en créant une règle d’instance de ressource.

Les attributions de rôle Azure de l’instance de ressource déterminent les types d’opérations qu’une instance de ressource peut effectuer sur les données du compte de stockage. Les instances de ressource doivent provenir du même locataire que votre compte de stockage, mais elles peuvent appartenir à n’importe quel abonnement dans le locataire.

Vous pouvez ajouter ou supprimer des règles de réseau de ressources dans le portail Azure :

  1. Connectez-vous au portail Azure.

  2. Recherchez votre compte de stockage et affichez la vue d’ensemble du compte.

  3. Sélectionnez Mise en réseau.

  4. Sous Pare-feux et réseaux virtuels, dans Réseaux sélectionnés, sélectionnez l’option qui autorise l’accès.

  5. Faites défiler vers le bas jusqu’à ce que vous trouviez Instances de ressources. Dans la liste déroulante Type de ressource, sélectionnez le type de ressource de votre instance de ressource.

  6. Dans la liste déroulante Nom de l’instance, sélectionnez l’instance de ressource. Vous pouvez également choisir d’inclure toutes les instances de ressource dans le locataire, l’abonnement ou le groupe de ressources actif.

  7. Sélectionnez Enregistrer pour enregistrer vos modifications. L’instance de ressource s’affiche dans la section Instances de ressource de la page des paramètres réseau.

Pour supprimer l’instance de ressource, sélectionnez l’icône de suppression () à côté de l’instance de ressource.

Accorder l’accès aux services Azure approuvés

Certains services Azure fonctionnent à partir de réseaux que vous ne pouvez pas inclure dans vos règles de réseau. Vous pouvez accorder à une partie de ces services Azure approuvés l’accès au compte de stockage, mais conserver des règles de réseau pour d’autres applications. Ces services approuvés se connectent ensuite à votre compte de stockage à l’aide de l’authentification renforcée.

Vous pouvez accorder l’accès à des services Azure approuvés en créant une exception de règle de réseau. Consultez la section Gérer les exceptions de cet article pour obtenir des instructions pas-à-pas.

Accès approuvé pour les ressources inscrites dans votre abonnement

Les ressources de certains services inscrits dans votre abonnement peuvent accéder à votre compte de stockage dans le même abonnement pour des opérations spécifiées, comme la journalisation ou l’exécution de sauvegardes. Le tableau suivant décrit chaque service et les opérations autorisées.

Service Nom du fournisseur de ressources Opérations autorisées
Sauvegarde Azure Microsoft.RecoveryServices Exécutez des sauvegardes et des restaurations de disques non managés sur des machines virtuelles IaaS (infrastructure as a service) (non requis pour les disques managés). Plus d’informations
Azure Data Box Microsoft.DataBox Importez des données dans Azure. Plus d’informations
Azure DevTest Labs Microsoft.DevTestLab Créez des images personnalisées et installez des artefacts. Plus d’informations
Azure Event Grid Microsoft.EventGrid Permettez la publication d’événements Stockage Blob Azure et autorisez la publication dans les files d’attente de stockage.
Hubs d'événements Azure Microsoft.EventHub Archivage des données à l’aide d’Event Hubs Capture. En savoir plus
Azure File Sync Microsoft.StorageSync Transformez votre serveur de fichiers local en cache pour les partages de fichiers Azure. Cette fonctionnalité permet la synchronisation sur plusieurs sites, la récupération d’urgence rapide et la sauvegarde côté cloud. Plus d’informations
Azure HDInsight Microsoft.HDInsight Approvisionnez le contenu initial du système de fichiers par défaut pour un nouveau cluster HDInsight. Plus d’informations
Azure Import/Export Microsoft.ImportExport Importez des données dans Stockage Azure ou exportez des données à partir de Stockage Azure. Plus d’informations
Azure Monitor Microsoft.Insights Écrivez des données de supervision dans un compte de stockage sécurisé, comme des journaux de ressources, des journaux de connexion et d’audit Microsoft Entra et des journaux Microsoft Intune. Plus d’informations
Services de mise en réseau Azure Microsoft.Network Stockez et analysez les journaux du trafic réseau, notamment celui qui transite par les services Network Watcher Azure et Azure Traffic Manager. Plus d’informations
Azure Site Recovery Microsoft.SiteRecovery Activez la réplication pour la récupération d’urgence de machines virtuelles Azure IaaS lorsque vous utilisez des comptes de stockage de cache avec pare-feu activé, de stockage source ou de stockage cible. Plus d’informations

Accès approuvé basé sur une identité managée

Le tableau suivant répertorie les services qui peuvent accéder aux données de votre compte de stockage si les instances de ressource de ces services disposent de l’autorisation appropriée.

Service Nom du fournisseur de ressources Objectif
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Active l’accès aux comptes de stockage.
Gestion des API Azure Microsoft.ApiManagement/service Permet l’accès aux comptes de stockage derrière des pare-feux via des stratégies. Plus d’informations
Systèmes autonomes Microsoft Microsoft.AutonomousSystems/workspaces Active l’accès aux comptes de stockage.
Cache Azure pour Redis Microsoft.Cache/Redis Active l’accès aux comptes de stockage. Plus d’informations
Azure AI Search Microsoft.Search/searchServices Permet l’accès aux comptes de stockage pour l’indexation, le traitement et l’interrogation.
Azure AI services Microsoft.CognitiveService/accounts Active l’accès aux comptes de stockage. Plus d’informations
Azure Container Registry Microsoft.ContainerRegistry/registries Permet d’accéder aux comptes de stockage lorsque vous créez des images conteneur grâce à la suite de fonctionnalités ACR Tasks.
Microsoft Cost Management Microsoft.CostManagementExports Active l’exportation vers des comptes de stockage derrière un pare-feu. Plus d’informations
Azure Databricks Microsoft.Databricks/accessConnectors Active l’accès aux comptes de stockage.
Azure Data Factory Microsoft.DataFactory/factories Active l’accès aux comptes de stockage via le runtime Data Factory.
Coffre de sauvegarde Azure Microsoft.DataProtection/BackupVaults Active l’accès aux comptes de stockage.
Azure Data Share Microsoft.DataShare/accounts Active l’accès aux comptes de stockage.
Azure Database pour PostgreSQL Microsoft.DBForPostgreSQL Active l’accès aux comptes de stockage.
Azure IoT Hub Microsoft.Devices/IotHubs Autorise l’écriture des données d’un hub IoT dans Stockage Blob. Plus d’informations
Azure DevTest Labs Microsoft.DevTestLab/labs Active l’accès aux comptes de stockage.
Azure Event Grid Microsoft.EventGrid/domains Active l’accès aux comptes de stockage.
Azure Event Grid Microsoft.EventGrid/partnerTopics Active l’accès aux comptes de stockage.
Azure Event Grid Microsoft.EventGrid/systemTopics Active l’accès aux comptes de stockage.
Azure Event Grid Microsoft.EventGrid/topics Active l’accès aux comptes de stockage.
Microsoft Fabric Microsoft.Fabric Active l’accès aux comptes de stockage.
Azure Healthcare APIs Microsoft.HealthcareApis/services Active l’accès aux comptes de stockage.
Azure Healthcare APIs Microsoft.HealthcareApis/workspaces Active l’accès aux comptes de stockage.
Azure IoT Central Microsoft.IoTCentral/IoTApps Active l’accès aux comptes de stockage.
HSM géré par Azure Key Vault Microsoft.keyvault/managedHSMs Active l’accès aux comptes de stockage.
Azure Logic Apps Microsoft.Logic/integrationAccounts Permet aux applications logiques d’accéder aux comptes de stockage. Plus d’informations
Azure Logic Apps Microsoft.Logic/workflows Permet aux applications logiques d’accéder aux comptes de stockage. Plus d’informations
Azure Machine Learning Studio Microsoft.MachineLearning/registries Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. Plus d’informations
Azure Machine Learning Microsoft.MachineLearningServices Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. Plus d’informations
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Permet aux espaces de travail Azure Machine Learning autorisés d’écrire des sorties, des modèles et des journaux expérimentaux dans Stockage Blob et de lire les données. Plus d’informations
Azure Media Services Microsoft.Media/mediaservices Active l’accès aux comptes de stockage.
Azure Migrate Microsoft.Migrate/migrateprojects Active l’accès aux comptes de stockage.
Azure Spatial Anchors Microsoft.MixedReality/remoteRenderingAccounts Active l’accès aux comptes de stockage.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Active l’accès aux comptes de stockage.
Plateforme Microsoft Power Microsoft.PowerPlatform/enterprisePolicies Active l’accès aux comptes de stockage.
Microsoft Projet Arcadia Microsoft.ProjectArcadia/workspaces Active l’accès aux comptes de stockage.
Azure Data Catalog Microsoft.ProjectBabylon/accounts Active l’accès aux comptes de stockage.
Microsoft Purview Microsoft.Purview/accounts Active l’accès aux comptes de stockage.
Azure Site Recovery Microsoft.RecoveryServices/vaults Active l’accès aux comptes de stockage.
Security Center Microsoft.Security/dataScanners Active l’accès aux comptes de stockage.
Singularité Microsoft.Singularity/accounts Active l’accès aux comptes de stockage.
Azure SQL Database Microsoft.Sql Autorise l’écriture de données d’audit dans des comptes de stockage derrière un pare-feu.
Serveurs Azure SQL Microsoft.Sql/servers Autorise l’écriture de données d’audit dans des comptes de stockage derrière un pare-feu.
Azure Synapse Analytics Microsoft.Sql Autorise l’importation et l’exportation de données depuis et vers des bases de données SQL spécifiques à l’aide de l’instruction COPY ou de PolyBase (dans un pool dédié), ou à l’aide de la fonction openrowset et des tables externes dans un pool serverless. Plus d’informations
Azure Stream Analytics Microsoft.StreamAnalytics Autorise l’écriture des données d’une tâche de streaming dans Stockage Blob. Plus d’informations
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Autorise l’écriture des données d’une tâche de streaming dans Stockage Blob. Plus d’informations
Azure Synapse Analytics Microsoft.Synapse/workspaces Permet l’accès aux données dans Stockage Azure.
Azure Video Indexer Microsoft.VideoIndexer/Accounts Active l’accès aux comptes de stockage.

Si la fonctionnalité d’espace de noms hiérarchique n’est pas activée sur votre compte, vous pouvez accorder l’autorisation en attribuant explicitement un rôle Azure à l’identité managée de chaque instance de ressource. Dans ce cas, l’étendue de l’accès pour l’instance correspond au rôle Azure qui est affecté à l’identité managée.

Vous pouvez utiliser la même technique pour un compte sur lequel la fonctionnalité d’espace de noms hiérarchique est activée. Toutefois, vous n’êtes pas obligé d’attribuer un rôle Azure si vous ajoutez l’identité managée à la liste de contrôle d’accès (ACL) d’un répertoire ou d’un objet blob que le compte de stockage contient. Dans ce cas, l’étendue de l’accès pour l’instance correspond au répertoire ou au fichier auquel l’identité managée a accès.

Vous pouvez également combiner des rôles Azure et des ACL pour autoriser l’accès. Pour en savoir plus, voir Modèle de contrôle d’accès dans Azure Data Lake Storage Gen2.

Nous vous recommandons d’utiliser des règles d’instance de ressources pour accorder l’accès à des ressources spécifiques.

Gérer les exceptions

Dans certains cas, comme l’analyse du stockage, un accès en lecture aux journaux et aux métriques de ressources est nécessaire en dehors de la limite du réseau. Lorsque vous configurez l’accès au compte de stockage de services approuvés, vous pouvez autoriser l’accès en lecture aux fichiers journaux ou aux tables de métriques, ou aux deux, en créant une exception de règle de réseau. Vous pouvez gérer les exceptions de règle de réseau dans le portail Azure, PowerShell ou à l’interface Azure CLI v2.

Pour en savoir plus sur l’utilisation de Storage Analytics, consultez Utiliser Azure Storage Analytics pour collecter des données de journaux et de métriques.

  1. Accédez au compte de stockage que vous voulez sécuriser.

  2. Sélectionnez Mise en réseau.

  3. Vérifiez que vous avez choisi d’autoriser l’accès à partir des Réseaux sélectionnés.

  4. Sous Exceptions, sélectionnez les exceptions que vous souhaitez accorder.

  5. Sélectionnez Enregistrer pour enregistrer vos modifications.

Étapes suivantes

Découvrez-en davantage sur les points de terminaison de service de réseau virtuel Azure. Explorez la sécurité de Stockage Azure.