Warning
Pour améliorer la sécurité, utilisez le modèle de Contrôle d’Accès Basé sur les Rôles (RBAC) au lieu des politiques d'accès lors de la gestion d’Azure Key Vault. RBAC limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui garantit une séparation claire entre les tâches de sécurité et d’administration. Pour plus d’informations, consultez Qu’est-ce qu’Azure RBAC ? et le Guide RBAC key Vault.
Avec le modèle d'autorisation de stratégie d'accès, les utilisateurs disposant du rôle Contributor, Key Vault Contributor, ou de tout autre rôle incluant des autorisations Microsoft.KeyVault/vaults/write peuvent s'accorder un accès au plan de données en configurant une stratégie d'accès Key Vault. Cela peut entraîner un accès et une gestion non autorisés de vos coffres de clés, clés, secrets et certificats. Pour réduire ce risque, limitez l’accès du rôle Contributeur aux coffres de clés lorsque vous utilisez le modèle de stratégie d’accès.
Une stratégie d’accès Key Vault détermine si un principal de sécurité donné, à savoir un utilisateur, une application ou un groupe d’utilisateurs, peut effectuer différentes opérations sur des secrets, clés et certificats de Key Vault. Vous pouvez attribuer des stratégies d’accès à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.
Le coffre de clés prend en charge jusqu’à 1024 entrées de stratégie d’accès, chaque entrée accordant un ensemble distinct d’autorisations à un principal de sécurité particulier. En raison de cette limitation, nous vous recommandons d’attribuer des stratégies d’accès, autant que possible, à des groupes d’utilisateurs plutôt qu’à des utilisateurs individuels. L’utilisation de groupes facilite grandement la gestion des autorisations pour plusieurs personnes au sein de votre organisation. Pour plus d’informations, consultez Gérer l’accès aux applications et aux ressources en utilisant des groupes Microsoft Entra.
Attribuer une stratégie d’accès
Dans le portail Azure, accédez à la ressource Key Vault.
Sélectionnez Stratégies d’accès, puis Créer :
Sélectionnez les autorisations souhaitées sous Autorisations de clé, Autorisations de secret et Autorisations de certificat.
Sous le volet de sélection Principal, entrez le nom de l’utilisateur, de l’application ou du principal de service dans le champ de recherche, puis sélectionnez le résultat approprié.
Si vous utilisez une identité managée pour l’application, recherchez et sélectionnez le nom de l’application (Pour plus d’informations sur les principaux de sécurité, consultez Authentification Key Vault.
Passez en revue les modifications apportées à la stratégie d’accès et sélectionnez Créer pour enregistrer la stratégie d’accès.
De retour sur la page Stratégies d’accès, vérifiez que votre stratégie d’accès est listée.
Pour plus d’informations sur la création de groupes dans Microsoft Entra ID à l’aide d’Azure CLI, consultez az ad group create et az ad group member add.
Pour exécuter des commandes Azure CLI localement, installez Azure CLI.
Pour exécuter des commandes directement dans le cloud, utilisez le service Azure Cloud Shell.
CLI locale uniquement : connectez-vous à Azure à l’aide de la commande az login :
az login
La commande az login ouvre une fenêtre de navigateur pour recueillir les informations d’identification si nécessaire.
Acquérir l’ID d’objet
Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :
Applications et autres objets de service : utilisez la commande az ad sp list pour récupérer vos objets de service. Examinez la sortie de la commande pour déterminer l’ID d’objet du principal de sécurité auquel vous souhaitez attribuer la stratégie d’accès.
az ad sp list --show-mine
Groupes : utilisez la commande az ad group list, en filtrant les résultats avec le paramètre --display-name :
az ad group list --display-name <search-string>
Utilisateurs : utilisez la commande az ad user show, en passant l’adresse e-mail de l’utilisateur dans le paramètre --id :
az ad user show --id <email-address-of-user>
Attribuer la politique d’accès
Utilisez la commande az key vault set-policy pour attribuer les autorisations souhaitées :
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
Remplacez <object-id> par l’ID objet de votre principal de sécurité.
Vous avez uniquement besoin d’inclure --secret-permissions, --key-permissionset --certificate-permissions lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation de la commande az keyvault set-policy.
Pour plus d’informations sur la création de groupes dans Microsoft Entra ID à l’aide d’Azure PowerShell, consultez new-AzADGroup et Add-AzADGroupMember.
Pour exécuter des commandes localement, installez Azure PowerShell si ce n’est déjà fait.
Pour exécuter des commandes directement dans le cloud, utilisez le service Azure Cloud Shell.
PowerShell local uniquement :
Installez le module Azure Active Directory PowerShell.
Connectez-vous à Azure :
Connect-AzAccount
Acquérir l’ID d’objet
Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :
Applications et autres principaux de service : utilisez la cmdlet Get-AzADServicePrincipal avec le paramètre -SearchString pour filtrer les résultats sur le nom du principal de service souhaité :
Get-AzADServicePrincipal -SearchString <search-string>
Groupes : utilisez la cmdlet Get-AzADGroup avec le paramètre -SearchString pour filtrer les résultats sur le nom du groupe souhaité :
Get-AzADGroup -SearchString <search-string>
Dans la sortie, l’ID d’objet est indiqué en tant que Id.
Utilisateurs : utilisez la cmdlet Get-AzADUser, en transmettant l’adresse e-mail de l’utilisateur au paramètre -UserPrincipalName.
Get-AzAdUser -UserPrincipalName <email-address-of-user>
Dans la sortie, l’ID d’objet est indiqué en tant que Id.
Attribuer la politique d’accès
Utilisez la cmdlet Set-AzKeyVaultAccessPolicy pour attribuer la stratégie d’accès :
Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions
Vous avez uniquement besoin d’inclure -PermissionsToSecrets, -PermissionsToKeyset -PermissionsToCertificates lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation Set-AzKeyVaultAccessPolicy – Paramètres.
Étapes suivantes