Partager via

Utiliser des identités managées pour accéder aux certificats Azure Key Vault

  • Article

Identité managée fournie par Microsoft Entra ID autorise votre instance Azure Front Door à accéder en toute sécurité à d’autres ressources protégées par Microsoft Entra, telles qu’Azure Key Vault, sans le besoin de gérer les informations d'identification. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ?.

Remarque

La prise en charge des identités managées dans Azure Front Door est limitée à l’accès à Azure Key Vault. Il ne peut pas être utilisé pour s’authentifier de Front Door à des origines telles que le Stockage Blob ou Web Apps.

Après avoir activé l’identité managée pour Azure Front Door et accordé les autorisations nécessaires à votre Key Vault Azure, Front Door utilisera l’identité managée pour accéder aux certificats. Sans ces autorisations, l’auto-rotation de certificat personnalisée et l’ajout de nouveaux certificats échouent. Si l’identité managée est désactivée, Azure Front Door revient à utiliser l’application Microsoft Entra configurée d’origine, qui n’est pas recommandée et sera déconseillée à l’avenir.

Azure Front Door prend en charge deux types d’identités managées :

  • Identité affectée par le système : cette identité est liée à votre service et est supprimée si le service est supprimé. Chaque service ne peut avoir qu’une seule identité attribuée par le système.
  • Identité affectée par l’utilisateur : il s’agit d’une ressource Azure autonome qui peut être affectée à votre service. Chaque service peut avoir plusieurs identités affectées par l’utilisateur.

Les identités managées sont propres au locataire Microsoft Entra où votre abonnement Azure est hébergé. Si un abonnement est déplacé vers un répertoire différent, vous devez recréer et configurer l’identité.

Vous pouvez configurer l’accès Azure Key Vault à l’aide du contrôle d’accès en fonction du rôle (RBAC) ou de la stratégie d'accès.

Prérequis

Avant de configurer l’identité managées pour Azure Front Door, assurez-vous de disposer d’un profil Azure Front Door Standard ou Premium crée. Pour créer un nouveau profil, consultez Créer un Azure Front Door.

Activer une identité managée

  1. Accédez à votre profil Azure Front Door existant. Sélectionnez Identité sous Sécurité dans le menu de gauche.

    Capture d’écran du bouton Identité sous les paramètres d’un profil Front Door.

  2. Choisissez l’identité managée affectée par le système ou par l’utilisateur.

    • Affectée par le système : une identité managée attachée au cycle de vie du profil Azure Front Door, utilisée pour accéder à une instance Azure Key Vault.

    • Affectée par l’utilisateur : ressource d’identité managée autonome avec son propre cycle de vie, utilisée pour s’authentifier auprès de Azure Key Vault.

    Attribuée par le système

    1. Basculez État sur Activé, puis sélectionnez Enregistrer.

      Capture d’écran montrant la page de configuration des identités managées affectées par le système.

    2. Confirmez la création d’une identité managée système pour votre profil Front Door en sélectionnant Oui lorsque vous y êtes invité.

      Capture d’écran montrant le message de confirmation de création d’une identité managée affectée par le système.

    3. Une fois créée et inscrite auprès de Microsoft Entra ID, utilisez l’ID d’objet (principal) pour permettre à Azure Front Door d’accéder à votre Azure Key Vault.

      Capture d’écran de l’identité managée affectée par le système qui est inscrite auprès de Microsoft Entra ID.

    Attribuée par l'utilisateur

    Pour utiliser une identité managée affectée par l’utilisateur, vous devez en avoir une déjà créée. Pour les instructions sur la création d’une identité, consultez créer une identité managée affectée par l’utilisateur.

    1. Sous l’onglet Utilisateur affecté, sélectionnez + Ajouter pour ajouter une identité managée affectée par l’utilisateur.

      Capture d’écran montrant la page de configuration des identités managées affectées par l’utilisateur.

    2. Recherchez et sélectionnez l’identité managée affectée par l’utilisateur. Sélectionnez ensuite Ajouter pour l’attacher au profil Azure Front Door.

      Capture d’écran de la page d’ajout d’une identité managée affectée par l’utilisateur.

    3. Le nom de l’identité managée sélectionnée affectée par l’utilisateur apparaît dans le profil Azure Front Door.

      Capture d’écran de l’identité managée affectée par l’utilisateur au profil Front Door.

Configurer l’accès aux coffres de clés

Vous pouvez configurer l’accès Azure Key Vault à l’aide de l’une des méthodes suivantes :

Pour plus d'informations, consultez Contrôle d'accès en fonction du rôle (Azure RBAC) et stratégie d'accès.

Contrôle d’accès en fonction du rôle (RBAC)

  1. Accédez à votre coffre de clés Azure Key Vault. Sélectionnez Contrôle d’accès (IAM) depuis le menu Paramètres, puis sélectionnez + Ajouter et choisissez Ajouter une attribution de rôle.

    Capture d’écran de la page du contrôle d’accès (IAM) pour un Key Vault.

  2. Dans la page Ajouter une attribution de rôle, recherchez l’Utilisateur secret Key Vault et sélectionnez le depuis les résultats de la recherche.

    Capture d’écran de la page Ajouter une attribution de rôle pour un Key Vault.

  3. Accédez à l’onglet Membres, sélectionnez Identité managée, puis + Sélectionner des membres.

    Capture d’écran de l’onglet Membres de la page Ajouter une attribution de rôle pour un Key Vault.

  4. Choisissez l’identité managée affectée par le système ou affectée par l’utilisateur associée à votre instance Azure Front Door, puis sélectionnez Sélectionner.

    Capture d’écran de la page Membres sélectionnés de la page Ajouter une attribution de rôle pour un Key Vault.

  5. Sélectionnez Vérifier + attribuer pour finaliser l’attribution de rôle.

    Capture d’écran de la page Vérifier et attribuer de la page Ajouter une attribution de rôle pour un Key Vault.

Stratégie d’accès

  1. Accédez à votre coffre de clés Azure Key Vault. Sous Paramètres, sélectionnez Stratégies d’accès, puis sélectionnez + Créer.

    Capture d’écran de la page Stratégies d’accès de Key Vault.

  2. Dans la page Créer une stratégie d’accès, accédez à l’onglet Autorisations. Sous Autorisations du secret, sélectionnez Lister et Obtenir. Ensuite, sélectionnez Suivant pour accéder à l’onglet principal.

    Capture d’écran de l’onglet Autorisations pour la stratégie d’accès Key Vault.

  3. Sous l’onglet Principal, saisissez l’ID d’objet (principal) pour une identité managée affectée par le système, ou le nom pour une identité managée affectée par l’utilisateur. Sélectionnez ensuite Passer en revue + créer . L’onglet Application est ignoré, car Azure Front Door est automatiquement sélectionné.

    Capture d’écran de l’onglet Principal pour la stratégie d’accès Key Vault.

  4. Passez en revue les paramètres de stratégie d’accès et sélectionnez Créer pour finaliser la stratégie d’accès.

    Capture d’écran de l’onglet de révision et de création de la stratégie d’accès Key Vault.

Vérifier l’accès

  1. Accédez au profil Azure Front Door où vous avez activé l’identité managée, puis sélectionnez Secret sous Sécurité.

    Capture d’écran de l’accès aux secrets dans les paramètres d’un profil Front Door.

  2. Vérifiez que Identité managée s’affiche bien sous la colonne Rôle d’accès pour le certificat utilisé dans Front Door. Si vous configurez l’identité managée pour la première fois, ajoutez un certificat à Front Door afin d’afficher cette colonne.

    Capture d’écran d’Azure Front Door utilisant une identité managée pour accéder au certificat dans Key Vault.

Étapes suivantes