Compte de stockage Azure : filtrage par IP

Jusqu’à présent, la seule option native pour appliquer un filtre IP sur un compte de stockage était de créer une signature d’accès partagé. Un L'inconvénient majeur de cette technique est qu’il n’est pas possible de gérer son cycle de vie, ce qui signifie qu’une fois partagée il n’est pas possible de la modifier ou supprimer.

Pour la désactiver, il faut soit attendre son expiration ou soit régénérer la clé d’accès qui a été utilisée pour créer cette signature. Mais cela a aussi pour conséquence de couper l’accès au compte de stockage pour les autres acteurs associés à cette même clé. Dans le cas où vous vous apercevez que la signature a été partagée en dehors du scope défini, la 1ère solution n’est pas envisageable et avec la 2nde solution cela peut conduire à des complications en production.

 

Depuis la version 3.3.1 du module PowerShell AzureRM.Storage ou la version 2.0.13 du module Azure CLI Storage, le compte de stockage Azure supporte le filtrage par IP. Il est donc désormais possible de décorréler la configuration IP des droits d’accès au compte de stockage Azure.

 

Pour le moment, cette fonctionnalité est uniquement disponible sur les régions Azure suivantes :

  • East US
  • West US
  • WestUS 2
  • West Central US
  • Australia East
  • Australia SouthEast

 

Ci-dessous les différentes propriétés disponibles:

  • DefaultAction: comportement par défaut lorsqu’aucune règle est applicable. Valeur possible : Allow (par défaut)  ou Deny.
  • Bypass: exception pour le trafic provenant des sources spécifiées. Valeurs possibles : AzureServices, Logging et Metrics.
  • IPRules : collection de plages d’adresses IP ou adresse IP avec l’action associée. Seule l’action « Allow » est autorisée.
  • VirtualNetworkRules : collection de réseaux virtuels avec l’état et l’action associés. Seule l’action « Allow » est autorisée et les états disponibles sont : Provisioning, Deprovisioning, Suceeded, Failed et NetworkSourceDeleted.

 

Dans le cas où client non autorisé tente d’accéder au compte de stockage, celui-ci recevra une réponse 403 Forbidden.

 

Filtrage IP via PowerShell

Update-AzureRmStorageAccountNetworkRuleSet -ResourceGroupName "[RG_Name]" `
                                           -AccountName "[Name]" `
                                           -Bypass Azure Services, Logging, Metrics `
                                           -DefaultAction Deny `
                                           -IpRule @(@{IPAddressOrRange="[IP_Address]";Action="allow"})

 

Filtrage IP via Azure CLI

az storage account update -n "[Name]" -g "[RG_Name]" --bypass AzureServices Logging Metrics --default-action "Deny" --add networkAcls.ipRules ip_address_or_range=[IP_Address] action="Allow"

 

Enjoy !

Ces billets pourraient aussi vous intéresser

Vous nous direz ?!

Commentaires

comments powered by Disqus