Autoriser les demandes d’Azure StorageAuthorize requests to Azure Storage

Toute demande présentée contre une ressource sécurisée dans le service Blob, File, File, File ou Table doit être autorisée.Every request made against a secured resource in the Blob, File, Queue, or Table service must be authorized. L’autorisation garantit que les ressources de votre compte de stockage ne sont accessibles que lorsque vous voulez qu’elles soient, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès.Authorization ensures that resources in your storage account are accessible only when you want them to be, and only to those users or applications to whom you grant access.

Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :The following table describes the options that Azure Storage offers for authorizing access to resources:

Clé partagée (clé de compte de stockage)Shared Key (storage account key) Signature d’accès partagé (SAP)Shared access signature (SAS) Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) Annuaire actif (avant-première)Active Directory (preview) Accès en lecture public anonymeAnonymous public read access
Objets blob AzureAzure Blobs Pris en chargeSupported Pris en chargeSupported Pris en chargeSupported Non pris en chargeNot supported Pris en chargeSupported
Azure Files (SMB)Azure Files (SMB) Pris en chargeSupported Non pris en chargeNot supported Pris en charge, uniquement avec Azure AD Domain ServicesSupported, only with Azure AD Domain Services Pris en charge, les informations d’identification doivent être synchronisées avec Azure ADSupported, credentials must be synced to Azure AD Non pris en chargeNot supported
Azure Files (REST)Azure Files (REST) Pris en chargeSupported Pris en chargeSupported Non pris en chargeNot supported Non pris en chargeNot supported Non pris en chargeNot supported
Files d'attente AzureAzure Queues Pris en chargeSupported Pris en chargeSupported Pris en chargeSupported Non pris en chargeNot Supported Non pris en chargeNot supported
Tables AzureAzure Tables Pris en chargeSupported Pris en chargeSupported Non pris en chargeNot supported Non pris en chargeNot supported Non pris en chargeNot supported

Chaque option d’autorisation est décrite brièvement ci-dessous :Each authorization option is briefly described below:

  • Azure Active Directory (Azure AD) : Azure AD est le service de gestion de l’identité et de l’accès basé sur le cloud de Microsoft.Azure Active Directory (Azure AD): Azure AD is Microsoft's cloud-based identity and access management service. L’intégration Azure AD est disponible pour les services Blob et Queue.Azure AD integration is available for the Blob and Queue services. Avec Azure AD, vous pouvez affecter un accès à grain fin aux utilisateurs, groupes ou applications via le contrôle d’accès basé sur les rôles (RBAC).With Azure AD, you can assign fine-grained access to users, groups, or applications via role-based access control (RBAC). Pour plus d’informations sur l’intégration Azure AD avec Azure Storage, voir Authorize with Azure Active Directory.For information about Azure AD integration with Azure Storage, see Authorize with Azure Active Directory.

  • Azure Active Directory Domain Services (Azure AD DS) autorisation pour les fichiers Azure.Azure Active Directory Domain Services (Azure AD DS) authorization for Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB (Server Message Block) via Azure AD DS.Azure Files supports identity-based authorization over Server Message Block (SMB) through Azure AD DS. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès d’un client aux ressources Azure Files dans un compte de stockage.You can use RBAC for fine-grained control over a client's access to Azure Files resources in a storage account. Pour plus d’informations sur l’authentification des fichiers Azure à l’aide des services de domaine, consultez l’autorisation d’identité Azure Files.For more information regarding Azure Files authentication using domain services, see Azure Files identity-based authorization.

  • Autorisation active d’annuaire (AD) (aperçu) pour les fichiers Azure.Active Directory (AD) authorization (preview) for Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD.Azure Files supports identity-based authorization over SMB through AD. Votre service de domaine AD peut être hébergé sur des machines sur place ou dans des machines azuréennes.Your AD domain service can be hosted on on-premises machines or in Azure VMs. L’accès aux fichiers SMB est pris en charge à l’aide d’informations d’identification AD à partir de machines jointes au domaine, que ce soit sur place ou en Azure.SMB access to Files is supported using AD credentials from domain joined machines, either on-premises or in Azure. Vous pouvez utiliser RBAC pour le contrôle d’accès au niveau des actions et les DACLs NTFS pour l’exécution des autorisations d’annuaire et de niveau de fichier.You can use RBAC for share level access control and NTFS DACLs for directory and file level permission enforcement. Pour plus d’informations sur l’authentification des fichiers Azure à l’aide des services de domaine, consultez l’autorisation d’identité Azure Files.For more information regarding Azure Files authentication using domain services, see Azure Files identity-based authorization.

  • Clé partagée : L’autorisation de clé partagée repose sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature cryptée qui est transmise sur la demande dans l’en-tête d’autorisation.Shared Key: Shared Key authorization relies on your account access keys and other parameters to produce an encrypted signature string that is passed on the request in the Authorization header. Pour plus d’informations sur l’autorisation de clé partagée, voir Autoriser avec la clé partagée.For more information about Shared Key authorization, see Authorize with Shared Key.

  • Signatures d’accès partagés : Les signatures d’accès partagé (SAS) délèguent l’accès à une ressource particulière de votre compte avec des autorisations spécifiées et sur un intervalle de temps spécifié.Shared access signatures: Shared access signatures (SAS) delegate access to a particular resource in your account with specified permissions and over a specified time interval. Pour plus d’informations sur SAS, voir l’accès délégué avec une signature d’accès partagé.For more information about SAS, see Delegate access with a shared access signature.

  • Accès anonyme aux conteneurs et aux blobs : Vous pouvez en option rendre les ressources blob publiques au niveau du conteneur ou de l’objet blob.Anonymous access to containers and blobs: You can optionally make blob resources public at the container or blob level. Un conteneur public ou un blob est accessible à tout utilisateur pour un accès anonyme à la lecture.A public container or blob is accessible to any user for anonymous read access. Lire les demandes de conteneurs publics et les blobs ne nécessitent pas d’autorisation.Read requests to public containers and blobs do not require authorization. Pour plus d’informations, voir Activez l’accès au public pour les conteneurs et les blobs dans le stockage Azure Blob.For more information, see Enable public read access for containers and blobs in Azure Blob storage.

Conseil

L’authentification et l’autorisation de l’accès aux données de blob et de file d’attente avec Azure AD offre une sécurité supérieure et une facilité d’utilisation par rapport à d’autres options d’autorisation.Authenticating and authorizing access to blob and queue data with Azure AD provides superior security and ease of use over other authorization options. Par exemple, en utilisant Azure AD, vous évitez d’avoir à stocker votre clé d’accès à votre compte avec votre code, comme vous le faites avec l’autorisation De clé partagée.For example, by using Azure AD, you avoid having to store your account access key with your code, as you do with Shared Key authorization. Alors que vous pouvez continuer à utiliser l’autorisation De clé partagée avec vos applications blob et file d’attente, Microsoft recommande de passer à Azure AD dans la mesure du possible.While you can continue to use Shared Key authorization with your blob and queue applications, Microsoft recommends moving to Azure AD where possible.

De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAP) pour accorder un accès affiné aux ressources dans votre compte de stockage, mais Azure AD offre des fonctionnalités similaires sans avoir à gérer les jetons SAP ou se soucier de révoquer une SAP compromise.Similarly, you can continue to use shared access signatures (SAS) to grant fine-grained access to resources in your storage account, but Azure AD offers similar capabilities without the need to manage SAS tokens or worry about revoking a compromised SAS.

Pour plus d’informations sur l’intégration Azure AD dans Azure Storage, voir Autoriser l’accès aux blobs Azure et aux files d’attente à l’aide d’Azure Active Directory.For more information about Azure AD integration in Azure Storage, see Authorize access to Azure blobs and queues using Azure Active Directory.