Configurer l’accès à Key Vault, y compris les stratégies d’accès au coffre et le contrôle d’accès en fonction du rôle Azure
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) est un système d’autorisation basé sur Azure Resource Manager qui fournit une gestion affinée des accès des ressources Azure.
Azure RBAC permet aux utilisateurs de gérer les autorisations clés, secrets et certificats. Il fournit un emplacement unique pour gérer toutes les autorisations sur tous les coffres de clés.
Le modèle RBAC Azure permet de définir des autorisations sur différents niveaux d’étendue : groupe d’administration, abonnement, groupe de ressources ou ressources individuelles. Azure RBAC pour key vault permet également aux utilisateurs d’avoir des autorisations distinctes sur des clés, des secrets et des certificats individuels.
Meilleures pratiques pour les attributions de rôles de clés, de secrets et de certificats individuels
Notre recommandation est d’utiliser un coffre par application par environnement (développement, préproduction et production).
Les autorisations de clés individuelles, de secrets et de certificats doivent être utilisées uniquement pour des scénarios spécifiques :
- Partage de secrets individuels entre plusieurs applications, par exemple, une application doit accéder aux données de l’autre application
Rôles intégrés Azure pour les opérations de plan de données Key Vault
Note
Le rôle de Contributeur de coffre de clés est destiné uniquement aux opérations du plan de gestion pour gérer les coffres de clés. Il n’autorise pas l’accès aux clés, aux secrets et aux certificats.
| Rôle intégré | Description | id de |
|---|---|---|
| Administrateur du coffre de clés | Effectuez toutes les opérations de plan de données sur un coffre de clés et tous les objets qu’il contient, y compris les certificats, les clés et les secrets. Impossible de gérer les ressources du coffre de clés ou de gérer les attributions de rôles. Cette fonctionnalité est uniquement applicable aux coffres de clés qui utilisent le modèle de permissions « Contrôle d’accès en fonction du rôle Azure ». | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Agent des certificats Key Vault | Effectuez une action sur les certificats d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Agent de chiffrement Key Vault | Effectuez une action sur les clés d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Utilisateur du service de cryptographie Key Vault pour le chiffrement | Lisez les métadonnées des clés et effectuez des opérations wrap/unwrap. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d'autorisation « Contrôle d’accès basé sur les rôles Azure ». | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Utilisateur de chiffrement Key Vault | Effectuez des opérations de chiffrement à l’aide de clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Lecteur Key Vault | Lit les métadonnées des coffres de clés et leurs certificats, clés et secrets. Impossible de lire des valeurs sensibles telles que le contenu secret ou le matériel de clé. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Responsable des secrets Key Vault | Effectuez une action sur les secrets d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Utilisateur des secrets de Key Vault | Lire les contenus secrets, y compris la partie privée d’un certificat avec une clé privée. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 4633458b-17de-408a-b874-0445c86b69e6 |
Note
Il n’existe aucun utilisateur de certificat Key Vault, car les applications nécessitent une partie secrète du certificat avec une clé privée. Le rôle utilisateur des secrets Key Vault doit être utilisé pour que les applications récupèrent le certificat.
Gestion des attributions de rôles du plan de données intégrées de Key Vault (version préliminaire)
| rôle intégré | Description | ID de |
|---|---|---|
| Administrateur d’accès aux données Key Vault (préversion) | Gérez l’accès à Azure Key Vault en ajoutant ou en supprimant des attributions de rôle pour l’Administrateur Key Vault, l’Agent de Certificats Key Vault, l’Agent de Chiffrement Key Vault, l’Utilisateur de Service de Chiffrement Key Vault, l’Utilisateur de Chiffrement Key Vault, le Lecteur Key Vault, l’Agent des Secrets Key Vault ou l’Utilisateur des Secrets Key Vault. Inclut une condition ABAC pour limiter les attributions de rôles. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Utilisation des autorisations de secret, de clé et de certificat Azure RBAC avec Key Vault
Le nouveau modèle d’autorisation RBAC Azure pour le coffre à clés offre une alternative au modèle d’autorisations basé sur les stratégies d’accès au coffre.
Conditions préalables
Vous devez disposer d’un abonnement Azure. Si ce n’est pas le cas, vous pouvez créer un compte gratuit avant de commencer.
Pour ajouter des attributions de rôles, vous devez disposer des autorisations Microsoft.Authorization/roleAssignments/write et Microsoft.Authorization/roleAssignments/delete, telles qu'Administrateur des données Key Vault (aperçu), Administrateur de l'accès utilisateur ou Propriétaire.