autoriser les demandes à stockage Azure

Chaque demande effectuée sur une ressource sécurisée dans l’objet BLOB, le fichier, la file d’attente ou le service de table doit être autorisée. L’autorisation garantit que les ressources de votre compte de stockage sont accessibles uniquement lorsque vous le souhaitez, et uniquement aux utilisateurs ou applications auxquels vous accordez l’accès.

Le tableau suivant décrit les options offertes par Stockage Azure pour autoriser l’accès aux ressources :

Artefact Azure Clé partagée (clé de compte de stockage) Signature d’accès partagé (SAP) Azure Active Directory (Azure AD) Active Directory Domain Services en local Accès en lecture public anonyme
Objets blob Azure Pris en charge Pris en charge Pris en charge Non pris en charge Pris en charge
Azure Files (SMB) Pris en charge Non pris en charge Pris en charge, uniquement avec les services de domaine AAD Pris en charge, les informations d'identification doivent être synchronisées avec Azure AD Non pris en charge
Azure Files (REST) Pris en charge Pris en charge Non pris en charge Non pris en charge Non pris en charge
Files d'attente Azure Pris en charge Pris en charge Pris en charge Non pris en charge Non pris en charge
Tables Azure Pris en charge Pris en charge Pris en charge Non pris en charge Non pris en charge

Chaque option d’autorisation est décrite brièvement ci-dessous :

  • Azure Active Directory (Azure AD) : Azure AD est le service de gestion des identités et de l’accès basé sur le cloud de Microsoft. Azure AD intégration est disponible pour les services BLOB, de file d’attente et de table. Avec Azure AD, vous pouvez attribuer un accès affiné aux utilisateurs, groupes ou applications via le contrôle d’accès en fonction du rôle (RBAC). pour plus d’informations sur l’intégration de Azure AD à stockage Azure, consultez authorize with Azure Active Directory.

  • autorisation des Services de domaine Azure Active Directory (Azure AD DS) pour Azure Files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB (Server Message Block) via Azure AD DS. Vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) pour contrôler l’accès d’un client aux ressources Azure Files dans un compte de stockage. Pour plus d’informations sur l’authentification Azure Files à l’aide des services de domaine, consultez Azure files de l’autorisation basée sur l’identité.

  • Autorisation Active Directory (AD) pour les Azure files. Azure Files prend en charge l’autorisation basée sur l’identité sur SMB via AD. Votre service de domaine AD peut être hébergé sur des machines locales ou des machines virtuelles Azure. L’accès SMB à Files est pris en charge en utilisant les informations d’identification AD des machines jointes à un domaine, localement ou dans Azure. Vous pouvez utiliser RBAC pour le contrôle d’accès au niveau du partage et les DACL NTFS pour l’application des autorisations au niveau des répertoires et des fichiers. Pour plus d’informations sur l’authentification Azure Files à l’aide des services de domaine, consultez Azure files de l’autorisation basée sur l’identité.

  • Clé partagée : L’autorisation Shared Key s’appuie sur les clés d’accès de votre compte et d’autres paramètres pour produire une chaîne de signature chiffrée qui est transmise à la demande dans l’en-tête authorization . Pour plus d’informations sur l’autorisation des clés partagées, consultez Authorize with Shared Key.

  • Signatures d’accès partagé : Les signatures d’accès partagé (SAP) délèguent l’accès à une ressource particulière de votre compte avec les autorisations spécifiées et sur un intervalle de temps spécifié. Pour plus d’informations sur SAP, consultez délégation de l’accès avec une signature d’accès partagé.

  • Accès anonyme aux conteneurs et aux objets BLOB : Vous pouvez éventuellement rendre publiques des ressources BLOB au niveau du conteneur ou de l’objet BLOB. Un conteneur public ou un objet blob est accessible à tout utilisateur pour l’accès en lecture anonyme. Les requêtes de lecture sur les conteneurs publics et les objets BLOB ne nécessitent pas d’autorisation. Pour plus d’informations, consultez activer l’accès en lecture public pour les conteneurs et les objets BLOB dans le stockage d’objets BLOB Azure.

Conseil

L’authentification et l’autorisation de l’accès aux données d’objet BLOB, de file d’attente et de table avec Azure AD offrent une sécurité et une facilité d’utilisation supérieures à celles des autres options d’autorisation. Par exemple, en utilisant Azure AD, vous évitez d’avoir à stocker votre clé d’accès de compte avec votre code, comme vous le feriez avec l’autorisation de clé partagée. Bien que vous puissiez continuer à utiliser une autorisation de clé partagée avec vos applications d’objet BLOB et de file d’attente, Microsoft recommande de passer à Azure AD dans la mesure du possible.

De même, vous pouvez continuer à utiliser des signatures d’accès partagé (SAP) pour accorder un accès affiné aux ressources dans votre compte de stockage, mais Azure AD offre des fonctionnalités similaires sans avoir à gérer les jetons SAP ou se soucier de révoquer une SAP compromise.

pour plus d’informations sur l’intégration d’Azure AD dans stockage Azure, consultez autoriser l’accès aux objets blob et files d’attente Azure à l’aide de Azure Active Directory.