Maîtriser Azure Storage : Storage Account, Blob (Hot/Cool/Archive), Files (SMB/NFS), Disks (Managed Disks), Tables, Queues. Lifecycle, immutability blob, encryption, AzCopy, Storage Explorer, Storage Account types.
📍 À lire d’abord : Pilier Azure AZ-104 · Tenant Azure gratuit.
Introduction
Azure Storage est l’équivalent S3 + EBS + EFS combinés en un service. Domaine 2 Implement and Manage Storage (15-20 % AZ-104). Ce tutoriel couvre les 5 services Azure Storage et leurs use cases.
Prérequis
- Tenant Azure configuré.
- Azure CLI fonctionnel.
- Niveau intermédiaire.
- Temps : 2 heures.
Étape 1 — Storage Account et types
Tout dans Azure Storage passe par un Storage Account. Le SA contient : Containers (Blob), Shares (Files), Tables, Queues.
Performance tier : Standard (HDD, économique) | Premium (SSD, low latency)
Replication :
LRS (Locally Redundant) : 3 copies dans 1 datacenter
ZRS (Zone Redundant) : 3 copies dans 3 AZ d'1 région
GRS (Geo Redundant) : LRS + 1 copie async dans région paired
RA-GRS (Read-Access GRS) : GRS avec accès lecture sur secondaire
GZRS : ZRS + GRS (le plus durable)
RA-GZRS : RA + GZRS
Account kind :
StorageV2 (recommended) : tous services, tous tiers
BlobStorage (legacy) : Blob seul
FileStorage : Premium Files
BlockBlobStorage : Premium Blob
# Créer Storage Account
az storage account create \
--resource-group lab-storage \
--name labstorageacct2026 \
--location francecentral \
--sku Standard_LRS \
--kind StorageV2 \
--access-tier Hot
À l’examen : choix replication selon RTO/RPO. GRS pour DR cross-region. ZRS pour HA même région. LRS pour économie.
Étape 2 — Blob Storage : tiers et lifecycle
Hot : haute fréquence accès. ~0.018 USD/Go/mois
Cool : >30 jours. ~0.01 USD/Go + frais retrieval
Cold : >90 jours. ~0.0036 USD/Go (depuis 2023)
Archive: >180 jours. ~0.00099 USD/Go, retrieval 1-15h
# Container Blob
az storage container create --account-name labstorageacct2026 --name documents
# Upload
az storage blob upload --account-name labstorageacct2026 --container-name documents --file ./contract.pdf --name contract.pdf
# Set tier
az storage blob set-tier --account-name labstorageacct2026 --container-name documents --name contract.pdf --tier Cool
Lifecycle policy automatique :
cat > lifecycle.json <<EOF
{
"rules": [{
"name": "moveToCoolThenArchive",
"type": "Lifecycle",
"definition": {
"filters": { "blobTypes": ["blockBlob"] },
"actions": {
"baseBlob": {
"tierToCool": { "daysAfterModificationGreaterThan": 30 },
"tierToArchive": { "daysAfterModificationGreaterThan": 180 },
"delete": { "daysAfterModificationGreaterThan": 2555 }
}
}
}
}]
}
EOF
az storage account management-policy create \
--resource-group lab-storage \
--account-name labstorageacct2026 \
--policy @lifecycle.json
Étape 3 — Immutability et soft delete
Pour conformité réglementaire (SEC 17a-4, banking) :
# Activer immutable storage avec versioning
az storage account update --name labstorageacct2026 --enable-versioning true
# Time-based retention policy
az storage container immutability-policy create \
--account-name labstorageacct2026 \
--container-name compliance-logs \
--period 2555 \
--allow-protected-append-writes true
Soft delete blob : retention configurable 1-365 jours. Soft delete container/share : récupération de containers supprimés accidentellement.
Étape 4 — Azure Files
SMB / NFS storage as a service, partageable sur multi-VM.
# Créer share
az storage share-rm create \
--resource-group lab-storage \
--storage-account labstorageacct2026 \
--name shared-data \
--quota 100
# Mount sur Linux
SAS_KEY=$(az storage account keys list -g lab-storage -n labstorageacct2026 --query "[0].value" -o tsv)
sudo mount -t cifs //labstorageacct2026.file.core.windows.net/shared-data /mnt/azure-share \
-o vers=3.0,username=labstorageacct2026,password=$SAS_KEY,dir_mode=0777,file_mode=0777,serverino,nosharesock
# Mount sur Windows
# net use Z: \\labstorageacct2026.file.core.windows.net\shared-data /user:labstorageacct2026 <KEY>
NFS : nécessite Premium FileStorage account, pas dispo en Standard.
Étape 5 — Managed Disks (rappel tutoriel VM)
Disques attachés aux VMs. Cf. tutoriel VM Azure pour les détails. Performance tiers : Standard HDD, Standard SSD, Premium SSD v1/v2, Ultra Disk.
Étape 6 — Tables et Queues
Services NoSQL legacy Azure (avant Cosmos DB).
Tables : key-value NoSQL, schémaless, scalable
⚠️ Cosmos DB Table API recommandé en 2026 (mêmes patterns, plus features)
Queues : message queue simple
⚠️ Service Bus Queues recommandé en 2026 pour features enterprise
À l’examen : connaître l’existence, mais Cosmos DB et Service Bus sont les choix modernes.
Étape 7 — AzCopy : copie haute performance
# Installer AzCopy
wget -O azcopy.tar.gz https://aka.ms/downloadazcopy-v10-linux
tar -xf azcopy.tar.gz
sudo mv ./azcopy*/azcopy /usr/local/bin/
# Copy fichier vers blob
azcopy login
azcopy copy ./large-file.zip "https://labstorageacct2026.blob.core.windows.net/documents/"
# Sync dossier
azcopy sync ./local-folder "https://labstorageacct2026.blob.core.windows.net/backup/" --recursive
# Copie cross-region (server-to-server)
azcopy copy "https://source.blob.core.windows.net/container/" "https://dest.blob.core.windows.net/container/" --recursive
10x plus rapide que CLI standard pour gros volumes.
Étape 8 — SAS et Access Control
Shared Access Signatures = URLs signées avec permissions limitées dans le temps.
# SAS pour blob spécifique, expire 24h, lecture seule
az storage blob generate-sas \
--account-name labstorageacct2026 \
--container-name documents --name contract.pdf \
--permissions r --expiry $(date -d "+24 hours" +%Y-%m-%dT%H:%MZ) \
--auth-mode key
À l’examen : User delegation SAS (recommandé, basé Microsoft Entra ID) > Service SAS > Account SAS (à éviter, trop permissif).
Étape 9 — Encryption et keys
Microsoft-managed keys (default) : Azure gère, pas de configuration
Customer-managed keys (CMK) : tu fournis clé via Azure Key Vault
Audit, rotation contrôlés
Customer-provided keys (Blob) : clé jamais stockée Azure
Compliance maximale
Infrastructure encryption : double encryption (FIPS 140-3)
Toujours encryption at rest activée par défaut. Encryption in transit via HTTPS obligatoire.
Étape 10 — Storage Explorer (GUI)
Application desktop gratuite Microsoft pour gérer Storage : drag-and-drop, browse, edit, ACL. Disponible Windows/Mac/Linux. Idéal pour non-CLI users.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| 403 Forbidden | Vérifier RBAC + Storage Account access keys + firewall settings |
| Lifecycle ne s’applique pas | Wait 24h, certaines transitions sont async |
| Premium Files SMB ne mount pas | Vérifier port 445 ouvert (FAI bloque parfois) |
| AzCopy lent | Utiliser --block-size-mb 64 et --cap-mbps adapté |
| Cross-region replication payante surprise | GRS double le coût stockage |
Adaptation au contexte ouest-africain
Backup PME : Storage Account GRS + lifecycle vers Cool/Archive = 1-3 USD/mois pour 100 Go.
E-commerce : Premium Blob pour assets statiques + CDN Azure Front Door = latence ms en Afrique.
Banques : Immutable storage avec time-based retention pour conformité audit. CMK avec rotation automatique.
FAQ
Storage Account name unicité ?
Globalement unique sur Azure. Choisir nom + suffix random.
Combien de Storage Accounts par subscription ?
250 par région par défaut. Augmentable.
Blob vs Files vs Disks ?
Blob = object storage, REST API. Files = SMB/NFS, partageable. Disks = block storage attaché VM.
Pour aller plus loin
- 🔝 Pilier Azure AZ-104
- ➡️ Suite : Microsoft Entra ID (gestion identités) (à venir).
- Documentation : Azure Storage docs, AzCopy docs.
Mots-clés : Azure Storage, Blob Hot Cool Archive, Files SMB NFS, Managed Disks, AzCopy, SAS user delegation, immutability blob, encryption CMK Key Vault.
Approfondissement et cas pratiques
Études de cas réelles Azure en Afrique de l’Ouest
Cas 1 — Banque pan-africaine, déploiement Microsoft 365 + Azure 2024. Banque avec 8 filiales en Afrique de l’Ouest et Centrale, 2 800 employés. Migration Exchange on-prem vers Microsoft 365 E5 puis extension Azure. Stack : Microsoft Entra ID Premium P2 avec Conditional Access par filiale, Intune pour gestion 6 000 endpoints (laptops + smartphones BYOD), Azure Information Protection pour classification documents, Microsoft Defender for Cloud + Sentinel pour SIEM unifié. Déploiement progressif 16 mois, ROI cybersec mesuré : -65 % d’incidents phishing en 12 mois post-déploiement.
Cas 2 — Opérateur télécom, refonte legacy 2025. Opérateur ivoirien avec datacenter Plateau et apps Windows Server 2008 critiques pour CRM clients. Stratégie : Azure Migrate pour assessment, lift-and-shift de 120 VMs vers Azure (eu-west-3 France Central), modernisation progressive vers Azure Container Apps + Azure SQL Managed Instance. Hybrid via Azure Arc pour gestion centralisée serveurs on-prem encore en place. Économie matérielle : 1,8 milliards FCFA évités vs renouvellement datacenter. Coût Azure 38 000 USD/mois.
Cas 3 — Startup edtech, Senegal/Mali/Burkina, 2024-2026. Startup éducative cloud-native dès création. Stack 100 % Azure : Azure Kubernetes Service (AKS) pour app multi-tenant, Azure Front Door pour CDN + WAF, Azure SQL Hyperscale pour DB élastique, Cosmos DB pour catalogue cours, Azure OpenAI Service pour IA pédagogique (GPT-4 Turbo). Coût initial 1 200 USD/mois, scale à 8 500 USD/mois après 18 mois et 40 000 utilisateurs. Architecture validée par audit Microsoft for Startups (crédits 150 000 USD obtenus).
Cinq scénarios AZ-104 type examen détaillés
Scénario 1 : RBAC granulaire pour équipe DevOps. Équipe de 8 développeurs doit pouvoir déployer dans RG-Dev mais pas Prod. Réponse : custom role « Junior DevOps Operator » avec actions limitées + Resource Locks « ReadOnly » sur RG-Prod + PIM pour élévation temporaire en Contributor avec approval.
Scénario 2 : conformité RGPD données EU. App SaaS hébergée Azure doit garantir données restent en UE. Réponse : Azure Policy « Allowed Locations » appliquée au Management Group, restriction à France Central + North Europe + West Europe. Audit Compliance dashboard + alertes si tentative déploiement hors zone.
Scénario 3 : DR cross-region + RTO 1h. Workload critique RDS-équivalent + 50 VMs dans France Central. Réponse : Azure Site Recovery configuré vers West Europe (region pair), réplication continue avec lag < 15 min, runbook documenté pour failover en 30-45 min. Tests DR semestriels obligatoires.
Scénario 4 : optimisation coût Storage 50 To. Backups dispersés Hot tier coûtent 1 200 USD/mois. Réponse : lifecycle management policy migration vers Cool après 30j, Archive après 180j. Coût attendu après lifecycle : 180 USD/mois (-85 %).
Scénario 5 : intégration Active Directory hybride. Forêt AD on-prem 15 000 users à intégrer Azure pour SSO Office 365. Réponse : Microsoft Entra Connect avec Password Hash Sync (le plus simple), filtrage scope OU « Employees », écriture passwords back-prop si user reset depuis Office 365 portal, MFA via Conditional Access sur cloud apps.
Architecture hybride enterprise Azure 2026
[Bureau on-prem] [Azure cloud]
│
[Active Directory] ──── Entra Connect ──→ [Microsoft Entra ID]
│
[Datacenter Plateau] │
│ ExpressRoute │
└─── (10 Gbps privé) ──────────────→ [vNet hub]
│ ↑
│ └── Azure Firewall
│
┌───────────┼───────────┐
↓ ↓ ↓
[vNet spoke1] [vNet spoke2] [vNet spoke3]
Production Dev/Test Workloads
spécifiques
│ │ │
↓ ↓ ↓
[VMs + AKS] [VMs Dev] [Azure SQL MI]
Identité : Entra Connect → Entra ID + Conditional Access + MFA
Sécurité : Azure Firewall + Microsoft Defender for Cloud + Sentinel
Backup : Azure Backup vault GRS + Site Recovery vers West Europe
Monitor : Azure Monitor + Log Analytics central + Application Insights
Coût : 18 000 USD/mois pour stack complète enterprise 500 employés
Ce pattern est l’architecture de référence pour les grandes entreprises africaines avec investissement on-prem significatif qu’elles ne veulent pas abandonner immédiatement.
Coûts détaillés en FCFA pour PME africaine
PME 50 employés, infrastructure Microsoft (AD, file server, SQL Server, Office), migration progressive vers Azure :
Service Coût/mois
------- ---------
50× licences Microsoft 365 Business Premium 1 100 USD (22 USD/user)
Azure VM hosting AD DC + file server 85 USD (D2s_v3 reserved 1y)
Azure VM hosting SQL Server (B4ms) 120 USD
Azure Files (NAS) 500 Go Premium 130 USD
Azure Backup vault GRS 45 USD
Microsoft Sentinel (200 Go logs/mois) 95 USD
Bandwidth + IP 30 USD
---------
Total 1 605 USD/mois
≈ 965 000 FCFA/mois
≈ 11 500 000 FCFA/an
Vs maintien datacenter on-prem : 18-25 millions FCFA/an (matériel amortis + climatisation + sécurité physique + admin temps plein). Migration Azure ROI 1,5-2 ans.
Pour une fintech ou startup partant from scratch : Microsoft for Startups crédits 25 000-150 000 USD couvrent les 12-24 premiers mois entièrement.
Plan de carrière post-AZ-104
0-12 mois : poste Azure administrator junior dans entreprise Microsoft (banque, opérateur, ESN partenaire Microsoft). Salaire 700 000-1 100 000 FCFA. Activités : gestion VMs/storage/backup, support utilisateurs, monitoring CloudWatch-équivalent (Azure Monitor), résolution tickets N1/N2.
12-30 mois : pivoter selon affinité. Cybersec : AZ-500 (Security Engineer). DevOps : AZ-400 (DevOps Engineer Expert). Architecture : AZ-305 (Solutions Architect Expert). Salaire 1 200 000-1 800 000 FCFA. Activités : design solutions, automation Bicep/Terraform/PowerShell, governance Management Groups + Policy.
30-60 mois : Azure Architect senior ou consulting. Profil très demandé en remote pour clients européens (Microsoft écosystème). Salaire 2 500 000-4 500 000 FCFA local, 5-9 millions en remote international.
60+ mois : positions Principal Architect, Microsoft MVP, Engineering Manager Cloud, ou consulting indépendant. Possibilité partenariat Microsoft (Microsoft Partner Network — Solutions Partner status pour ESN).
Évolution alternative — Microsoft 365 + Power Platform : combiner Azure avec Power Platform (Power Apps, Power Automate, Power BI) ouvre les rôles « Solutions Architect Microsoft 365 + Azure », très recherché 2026-2030. Salaires premium en remote 6-12 millions FCFA.
Outils complémentaires Azure 2026
IaC : Bicep (DSL Microsoft moderne, recommandé 2026), Terraform AzureRM provider, ARM templates JSON (legacy), Pulumi.
Automation : Azure Automation (runbooks PowerShell), Azure Logic Apps (workflows low-code), Azure Functions (serverless), GitHub Actions Azure tasks.
Security : Microsoft Defender for Cloud (CSPM + workload protection), Microsoft Sentinel (SIEM/SOAR), Microsoft Purview (data governance + DLP), Microsoft Entra ID Governance (lifecycle + access reviews).
Observability : Azure Monitor + Log Analytics (natif), Application Insights, Datadog Azure integration, Grafana Cloud.
Migration : Azure Migrate (assessment + replication), Azure Database Migration Service, Azure Arc (gestion ressources hybrides + multi-cloud).
FinOps : Azure Cost Management + Billing, Azure Advisor recommendations, Microsoft Cost Management Connector pour Power BI.