Créer et associer des stratégies de point de terminaison de service

• Compte Azure avec un abonnement actif. Vous pouvez créer un compte gratuitement.

• Compte Azure avec un abonnement actif. Vous pouvez créer un compte gratuitement.

Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser dans votre navigateur. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour utiliser les services Azure. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.

Pour démarrer Azure Cloud Shell :

Option	Exemple/Lien
Sélectionnez Essayer dans le coin supérieur droite d’un bloc de codes ou de commandes. La sélection de Essayer ne copie pas automatiquement le code ni la commande dans Cloud Shell.
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur.
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure.

Pour utiliser Azure Cloud Shell :

1. Démarrez Cloud Shell.

2. Sélectionnez le bouton Copier sur un bloc de codes (ou un bloc de commandes) pour copier le code ou la commande.

3. Collez le code ou la commande dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux ou en sélectionnant Cmd+Maj+V sur macOS.

4. Sélectionnez Entrée pour exécuter le code ou la commande.

Si vous choisissez d’installer et d’utiliser PowerShell en local, vous devez exécuter le module Azure PowerShell version 1.0.0 ou ultérieure pour les besoins de cet article. Exécutez Get-Module -ListAvailable Az pour rechercher la version installée. Si vous devez effectuer une mise à niveau, consultez Installer le module Azure PowerShell. Si vous exécutez PowerShell en local, vous devez également exécuter Connect-AzAccount pour créer une connexion avec Azure.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

• Cet article nécessite la version 2.0.28 ou ultérieure d’Azure CLI. Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.

1. Dans la zone de recherche du portail, entrez Réseaux virtuels. Sélectionnez Réseaux virtuels dans les résultats de la recherche.

2. Sélectionnez + Créer pour créer un réseau virtuel.

3. Sous l’onglet Informations de base dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez Créer nouveau. Entrez test-rg dans Nom. Sélectionnez OK.
   Nom	Entrez vnet-1.
   Région	Sélectionnez USA Ouest 2.

4. Cliquez sur Suivant.

5. Cliquez sur Suivant.

6. Sous l’onglet Adresses IP, dans Sous-réseaux, sélectionnez le sous-réseau par défaut.

7. Dans Modifier le sous-réseau, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Nom	Entrez subnet-1.
   Points de terminaison de service
   Services
   Dans le menu déroulant, sélectionnez Microsoft.Storage.

8. Cliquez sur Enregistrer.

9. Sélectionnez Vérifier + créer.

10. Sélectionnez Créer.

Avant de créer un réseau virtuel, vous devez créer un groupe de ressources pour le réseau virtuel et toutes les autres ressources créées dans cet article. Créez un groupe de ressources avec New-AzResourceGroup. L’exemple suivant crée un groupe de ressources nommé test-rg :

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Créez un réseau virtuel avec New-AzVirtualNetwork. L’exemple suivant crée un réseau virtuel nommé vnet-1 avec le préfixe d’adresse 10.0.0.0/16.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Créez une configuration de sous-réseau avec New-AzVirtualNetworkSubnetConfig, puis écrivez la configuration du sous-réseau dans le réseau virtuel avec Set-AzVirtualNetwork. L’exemple suivant ajoute un sous-réseau nommé subnet-1 au réseau virtuel et crée le point de terminaison de service pour Microsoft.Storage.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

Avant de créer un réseau virtuel, vous devez créer un groupe de ressources pour le réseau virtuel et toutes les autres ressources créées dans cet article. Créez un groupe de ressources avec la commande az group create. L’exemple suivant crée un groupe de ressources nommé test-rg à l’emplacement westus2.

az group create \
  --name test-rg \
  --location westus2

Créez un réseau virtuel avec un sous-réseau en utilisant la commande az network vnet create.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

Dans cet exemple, un point de terminaison de service pour Microsoft.Storage est créé pour le sous-réseau subnet-1 :

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

1. Dans la zone de recherche du portail, entrez Groupes de sécurité réseau. Dans les résultats de la recherche, sélectionnez Groupe de sécurité réseau.

2. Sélectionnez + Créer pour créer un groupe de sécurité réseau.

3. Dans l’onglet Informations de base de Créer un groupe de sécurité réseau, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Nom	Entrez nsg-1.
   Région	Sélectionnez USA Ouest 2.

4. Sélectionnez Vérifier + créer.

5. Sélectionnez Créer.

Créer des règles pour le groupe de sécurité réseau

1. Dans la zone de recherche du portail, entrez Groupes de sécurité réseau. Dans les résultats de la recherche, sélectionnez Groupe de sécurité réseau.

2. Sélectionnez nsg-1.

3. Développer Paramètres. Sélectionnez Règles de sécurité de trafic sortant.

4. Sélectionnez + Ajouter pour ajouter une nouvelle règle de sécurité sortante.

5. Dans Ajouter une règle de sécurité de trafic entrant, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Source	Sélectionnez Balise du service.
   Balise du service source	Sélectionnez VirtualNetwork.
   Plages de ports source	Entrez *.
   Destination	Sélectionnez Balise du service.
   Identification de destination	Sélectionnez Stockage.
   Service	Sélectionnez Personnalisé.
   Plages de ports de destination	Entrez *.
   Protocol	sélectionnez N'importe laquelle.
   Action	Sélectionnez Autoriser.
   Priorité	Entrez 100.
   Nom	Entrez allow-storage-all.

6. Sélectionnez Ajouter.

7. Sélectionnez + Ajouter pour ajouter une autre règle de sécurité sortante.

8. Dans Ajouter une règle de sécurité de trafic entrant, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Source	Sélectionnez Balise du service.
   Balise du service source	Sélectionnez VirtualNetwork.
   Plages de ports source	Entrez *.
   Destination	Sélectionnez Balise du service.
   Identification de destination	Sélectionnez Internet.
   Service	Sélectionnez Personnalisé.
   Plages de ports de destination	Entrez *.
   Protocol	sélectionnez N'importe laquelle.
   Action	Sélectionner Rejeter.
   Priorité	Entrez 110.
   Nom	Entrez deny-internet-all.

9. Sélectionnez Ajouter.

10. Développer Paramètres. Sélectionner Sous-réseaux.

11. Sélectionnez Associer.

12. Dans Associer un sous-réseau, entrez ou sélectionnez les informations suivantes.

    Paramètre	Valeur
    Réseau virtuel	Sélectionnez vnet-1 (test-rg).
    Subnet	Sélectionnez subnet-1.

13. Cliquez sur OK.

Créez des règles de sécurité de groupe de sécurité réseau avec New-AzNetworkSecurityRuleConfig. La règle suivante autorise un accès sortant vers les adresses IP publiques affectées au service Stockage Azure :

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

La règle suivante refuse l’accès à toutes les adresses IP publiques. La règle précédente remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux adresses IP publiques du Stockage Azure.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Créez un groupe de sécurité réseau avec New-AzNetworkSecurityGroup. L’exemple suivant crée un groupe de sécurité réseau nommé nsg-1.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Associez le groupe de sécurité réseau au sous-réseau subnet-1 avec Set-AzVirtualNetworkSubnetConfig, puis écrivez la configuration du sous-réseau dans le réseau virtuel. L’exemple suivant associe le groupe de sécurité réseau nsg-1 au sous-réseau subnet-1 :

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

Créez un groupe de sécurité réseau avec la commande az network nsg create. L’exemple suivant crée un groupe de sécurité réseau nommé nsg-1.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Pour associer le groupe de sécurité réseau au sous-réseau subnet-1, utilisez az network vnet subnet update. L’exemple suivant associe le groupe de sécurité réseau nsg-1 au sous-réseau subnet-1 :

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Créez des règles de sécurité avec az network nsg rule create. La règle qui suit autorise un accès sortant vers les adresses IP publiques affectées au service Stockage Azure :

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Chaque groupe de sécurité réseau contient plusieurs règles de sécurité par défaut. La règle qui suit remplace une règle de sécurité par défaut, qui autorise l’accès de trafic sortant à toutes les adresses IP publiques. L’option destination-address-prefix "Internet" refuse l’accès sortant à toutes les adresses IP publiques. La règle précédente remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux adresses IP publiques du Stockage Azure.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

1. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

2. Sélectionnez + Créer pour créer un compte de stockage.

3. Dans Créer un compte de stockage, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Détails de l’instance
   Nom du compte de stockage	Entrez allowedaccount(random-number). Remarque : le nom du compte de stockage doit être unique. Ajoutez un nombre aléatoire à la fin du nom allowedaccount.
   Région	Sélectionnez USA Ouest 2.
   Performances	Sélectionnez Standard.
   Redondance	Sélectionner Stockage localement redondant (LRS)

4. Sélectionnez Suivant jusqu’à atteindre l’onglet Protection des données.

5. Dans Recovery, désélectionnez toutes les options.

6. Sélectionnez Vérifier + créer.

7. Sélectionnez Créer.

8. Répétez les étapes précédentes pour créer un autre compte de stockage avec les informations suivantes.

   Paramètre	Valeur
   Nom du compte de stockage	Entrez deniedaccount(random-number).

Créez le compte de stockage Azure autorisé avec New-AzStorageAccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Utilisez la même commande pour créer le compte de stockage Azure refusé, mais remplacez le nom par deniedaccount.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Créez deux comptes Stockage Azure avec la commande az storage account create.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Utilisez la même commande pour créer le compte de stockage Azure refusé, mais remplacez le nom par deniedaccount.

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

1. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

2. Sélectionnez allowedaccount(random-number).

3. Développez la section Stockage de données et sélectionnez Partages de fichiers.

4. Sélectionner +Partage de fichiers.

5. Dans Nouveau partage de fichiers, saisissez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Nom	Entrez partage de fichiers.

6. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.

7. Sélectionnez Créer.

8. Répétez les étapes précédentes pour créer un partage de fichiers dans deniedaccount(random-number).

Créer un partage de fichiers de compte de stockage autorisé

Utilisez Get-AzStorageAccountKey pour obtenir la clé de compte de stockage pour le compte de stockage autorisé. Vous allez utiliser cette clé à l’étape suivante pour créer un partage de fichiers dans le compte de stockage autorisé.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Créez un contexte pour votre compte de stockage et votre clé avec New-AzStorageContext. Celui-ci encapsule le nom et la clé du compte de stockage.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Créez un partage de fichiers avec New-AzStorageShare.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Créer un partage de fichiers de compte de stockage refusé

Utilisez Get-AzStorageAccountKey pour obtenir la clé de compte de stockage pour le compte de stockage autorisé. Vous allez utiliser cette clé à l’étape suivante pour créer un partage de fichiers dans le compte de stockage refusé.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Créez un contexte pour votre compte de stockage et votre clé avec New-AzStorageContext. Celui-ci encapsule le nom et la clé du compte de stockage.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Créez un partage de fichiers avec New-AzStorageShare.

$share2 = New-AzStorageShare file-share -Context $storageContext2

Créer un partage de fichiers de compte de stockage autorisé

Récupérez la chaîne de connexion des comptes de stockage dans une variable avec az storage account show-connection-string. La chaîne de connexion sera utilisée pour créer un partage de fichiers lors d’une prochaine étape.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Créez un partage de fichiers dans le compte de stockage avec az storage share create. Dans une étape ultérieure, ce partage de fichiers sera monté pour vérifier qu’il est possible d’y accéder via le réseau.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Créer un partage de fichiers de compte de stockage refusé

Récupérez la chaîne de connexion des comptes de stockage dans une variable avec az storage account show-connection-string. La chaîne de connexion sera utilisée pour créer un partage de fichiers lors d’une prochaine étape.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Créez un partage de fichiers dans le compte de stockage avec az storage share create. Dans une étape ultérieure, ce partage de fichiers sera monté pour vérifier qu’il est possible d’y accéder via le réseau.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

1. Dans la zone de recherche du portail, entrez Comptes de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

2. Sélectionnez allowedaccount(random-number).

3. Développez Sécurité et mise en réseau, puis sélectionnez Mise en réseau.

4. Dans Pare-feu et réseaux virtuels, dans Accès au réseau public sélectionnez Activé à partir des réseaux virtuels et des adresses IP sélectionnés.

5. Sous Réseaux virtuels, sélectionnez + Ajouter un réseau virtuel existant.

6. Dans Ajouter des réseaux, saisissez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Abonnement	Sélectionnez votre abonnement.
   Réseaux virtuels	Sélectionnez vnet-1.
   Sous-réseaux	Sélectionnez subnet-1.

7. Sélectionnez Ajouter.

8. Cliquez sur Enregistrer.

9. Répétez les étapes précédentes pour refuser l’accès réseau à denyaccount(random-number).

Utilisez Update-AzStorageAccountNetworkRuleSet pour refuser l’accès aux comptes de stockage, à l’exception du réseau virtuel et du sous-réseau que vous avez créés précédemment. Une fois l’accès réseau refusé, le compte de stockage n’est plus accessible par aucun des réseaux.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Activer l’accès réseau uniquement à partir du sous-réseau de réseau virtuel

Récupérez le réseau virtuel créé avec Get-AzVirtualNetwork, puis récupérez l’objet de sous-réseau privé dans une variable avec Get-AzVirtualNetworkSubnetConfig :

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Autorisez l’accès réseau au compte de stockage à partir du sous-réseau subnet-1 avec Add-AzStorageAccountNetworkRule.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

Par défaut, les comptes de stockage acceptent les connexions réseau provenant des clients de n’importe quel réseau. Pour limiter l’accès aux réseaux sélectionnés, définissez l’action par défaut sur Refuser avec az storage account update. Une fois l’accès réseau refusé, le compte de stockage n’est plus accessible par aucun des réseaux.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Activer l’accès réseau uniquement à partir du sous-réseau de réseau virtuel

Autorisez l’accès réseau au compte de stockage à partir du sous-réseau subnet-1 avec az storage account network-rule add.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

1. Dans la zone de recherche du portail, entrez Stratégie de point de terminaison de service. Sélectionnez Stratégies de point de terminaison de service dans les résultats de la recherche.

2. Sélectionnez + Créer pour créer une stratégie de point de terminaison de service.

3. Sous l’onglet Informations de base de la page Créer une stratégie de point de terminaison de service, saisissez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Détails de l’instance
   Nom	Saisissez service-endpoint-policy.
   Emplacement	Sélectionnez USA Ouest 2.

4. Sélectionnez Suivant : Définitions de stratégie.

5. Sélectionnez + Ajouter une ressource dans Ressources.

6. Dans Ajouter un sous-réseau, saisissez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Service	Sélectionnez Microsoft.Storage.
   Étendue	Sélectionner Compte unique
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Ressource	Sélectionnerallowedaccount(random-number)

7. Sélectionnez Ajouter.

8. Sélectionnez Vérifier + créer.

9. Sélectionnez Créer.

Pour récupérer l’ID de ressource du premier compte de stockage (autorisé), utilisez Get-AzStorageAccount.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Pour créer la définition de stratégie pour autoriser la ressource précédente, utilisez New-AzServiceEndpointPolicyDefinition.

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

Utilisez New-AzServiceEndpointPolicy pour créer la stratégie de point de terminaison de service avec la définition de stratégie.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

Les stratégies de points de terminaison de service sont appliquées sur les points de terminaison de service. Commencez par créer une stratégie de point de terminaison de service. Après quoi, créez les définitions de stratégie dans le cadre de cette stratégie pour les comptes Stockage Azure à approuver pour ce sous-réseau.

Utilisez az storage account show pour obtenir l’ID de ressource du compte de stockage autorisé.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Créer une stratégie de point de terminaison de service

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Créer et ajouter une définition de stratégie pour autoriser le compte Stockage Azure précédent dans la stratégie de point de terminaison de service

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

1. Dans la zone de recherche du portail, entrez Stratégie de point de terminaison de service. Sélectionnez Stratégies de point de terminaison de service dans les résultats de la recherche.

2. Sélectionnez service-endpoint-policy.

3. Développez Paramètres et sélectionnez Sous-réseaux associés.

4. Sélectionnez + Modifier l’association de sous-réseau.

5. Dans Modifier l’association de sous-réseau, sélectionnez vnet-1 et subnet-1.

6. Sélectionnez Appliquer.

Utilisez Set-AzVirtualNetworkSubnetConfig pour associer la stratégie de point de terminaison de service au sous-réseau.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

Utilisez az network vnet subnet update pour associer la stratégie de point de terminaison de service au sous-réseau.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

1. Dans la zone de recherche du portail, entrez Machines virtuelles. Sélectionnez Machines virtuelles dans les résultats de la recherche.

2. Sous l’onglet Informations de base de la page Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes :

   Paramètre	Valeur
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Resource group	Sélectionnez test-rg.
   Détails de l’instance
   Nom de la machine virtuelle	Entrez vm-1.
   Région	Sélectionnez (USA) USA Ouest 2.
   Options de disponibilité	Sélectionnez Aucune redondance d’infrastructure requise.
   Type de sécurité	Sélectionnez Standard.
   Image	Sélectionnez Windows Server 2022 Datacenter - x64 Gen2.
   Taille	Sélectionnez une taille.
   Compte administrateur
   Nom d’utilisateur	Entrez un nom d’utilisateur.
   Mot de passe	Entrez un mot de passe.
   Confirmer le mot de passe	Entrez de nouveau le mot de passe.
   Règles des ports d’entrée

3. Sélectionnez Suivant : Disques, puis sélectionnez Suivant : Réseaux.

4. Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes.

   Paramètre	Valeur
   Interface réseau
   Réseau virtuel	Sélectionnez vnet-1.
   Subnet	Sélectionnez subnet-1 (10.0.0.0/24).
   Adresse IP publique	Sélectionnez Aucun.
   Groupe de sécurité réseau de la carte réseau	Sélectionnez Aucun.

5. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.

6. Sélectionnez Créer.

Créez une machine virtuelle dans le sous-réseau subnet-1 avec New-AzVM. Lors de l’exécution de la commande qui suit, vous êtes invité à saisir vos informations d’identification. Les valeurs que vous saisissez sont configurées comme le nom d’utilisateur et le mot de passe pour la machine virtuelle.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

Créez une machine virtuelle dans le sous-réseau subnet-1 avec az vm create.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Lorsque vous avez terminé d’utiliser les ressources que vous avez créées, vous pouvez supprimer le groupe de ressources et toutes ses ressources.

1. Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.

2. Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.

3. Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.

4. Entrez test-rg dans Entrez le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.

Quand vous n’avez plus besoin d’un groupe de ressources, vous pouvez utiliser Remove-AzResourceGroup pour le supprimer ainsi que toutes les ressources qu’il contient :

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

Quand vous n’avez plus besoin d’un groupe de ressources, utilisez az group delete pour le supprimer, ainsi que toutes les ressources qu’il contient.

az group delete \
    --name test-rg \
    --yes \
    --no-wait