Configurer l’accès à Key Vault, y compris les stratégies d’accès au coffre et le contrôle d’accès en fonction du rôle Azure

Effectué

Le contrôle d’accès en fonction du rôle (RBAC Azure) est un système d’autorisation basé sur Azure Resource Manager, qui permet une gestion précise des accès des ressources Azure.

Le RBAC Azure permet aux utilisateurs de gérer les autorisations de clé, de secrets et de certificats. Il fournit un emplacement unique pour gérer toutes les autorisations sur tous les coffres de clés.

Le modèle RBAC Azure permet aux utilisateurs de définir des autorisations pour différents niveaux d’étendue : groupe d’administration, abonnement, groupe de ressources ou ressources individuelles. RBAC Azure pour coffre de clés permet également aux utilisateurs d’avoir des autorisations distinctes sur des clés, des secrets et des certificats individuels.

Meilleures pratiques pour les attribution de rôle de clés, secrets et certificats individuels

Nous recommandons d’utiliser un coffre par application et par environnement (développement, préproduction et production).

Vous ne devez utiliser des autorisations sur des clés, secrets et certificats individuels que pour des scénarios spécifiques :

  • Partage de secrets individuels entre plusieurs applications, par exemple quand une application doit accéder aux données de l’autre application

Rôles intégrés Azure pour les opérations de plan de données d’Azure Key Vault

Remarque

Le rôle Contributeur de coffre de clés est réservé aux opérations du plan de gestion seulement pour gérer les coffres de clés. Il n’autorise pas l’accès aux clés, aux secrets et aux certificats.

Rôle intégré Description Identifiant
Administrateur Key Vault Permet d’effectuer toutes les opération du plan de données sur un coffre de clés et tous les objets qu’il contient, notamment les certificats, les clés et les secrets. Ne peut pas gérer les ressources du coffre de clés ni gérer les attributions de rôles. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». 00482a5a-887f-4fb3-b363-3b7fe8e74483
Agent des certificats Key Vault Permet d’effectuer une action sur les certificats d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». a4417e6f-fecd-4de8-b567-7b0420556985
Agent de chiffrement Key Vault Permet d’effectuer une action sur les clés d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Utilisateur du service de chiffrement de Key Vault Permet de lire les métadonnées des clés et d’effectuer des opérations visant à envelopper/désenvelopper. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». e147488a-f6f5-4113-8e2d-b22465e65bf6
Utilisateur de chiffrement Key Vault Permet d’effectuer des opérations de chiffrement à l’aide de clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». 12338af0-0e69-4776-bea7-57ae8d297424
Lecteur Key Vault Permet de lire les métadonnées de coffres de clés et de leurs certificats, clés et secrets. Ne peut pas lire les valeurs sensibles, telles que les contenus secrets ou les documents clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». 21090545-7ca7-4776-b22c-e363652d74d2
Agent des secrets Key Vault Permet d’effectuer une action sur les secrets d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Utilisateur des secrets Key Vault Lire le contenu du secret, y compris la partie secrète d’un certificat avec une clé privée. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». 4633458b-17de-408a-b874-0445c86b69e6

Remarque

Il n’existe pas d’utilisateur de certificat de coffre de clés, car les applications ont besoin de la partie des secrets du certificat avec une clé privée. Le rôle Utilisateur de secrets de coffre de clés doit être utilisé pour que les applications puissent récupérer le certificat.

Gestion des attributions de rôle de plan de données Key Vault intégrées (préversion)

Rôle intégré Description Identifiant
Administrateur de l’accès aux données Key Vault (préversion) Gérez l’accès à Azure Key Vault en ajoutant ou en supprimant des attributions de rôle pour les rôles Administrateur Key Vault, Agent de certificats Key Vault, Agent de chiffrement Key Vault, Utilisateur de chiffrement du service de chiffrement Key Vault, Lecteur Key Vault, Agent des secrets Key Vault ou Utilisateur des secrets Key Vault. Comprend une condition ABAC pour limiter les attributions de rôle. 8b54135c-b56d-4d72-a534-26097cfdc8d8

Utilisation des autorisations de secret, de clé et de certificat de RBAC Azure avec Key Vault

Le nouveau modèle d’autorisation de RBAC Azure pour le coffre de clés fournit une alternative au modèle d’autorisations de stratégie d’accès au coffre.

Prérequis

Vous devez avoir un abonnement Azure. Si vous n’avez pas d’abonnement Azure, vous pouvez créer un compte gratuit avant de commencer.

Pour ajouter des attributions de rôles, vous devez disposer des autorisations Microsoft.Authorization/roleAssignments/write et Microsoft.Authorization/roleAssignments/delete, comme Administrateur de l’accès aux données Key Vault (préversion), Administrateur de l’accès utilisateur ou Propriétaire.