Configurer l’accès à Key Vault, y compris les stratégies d’accès au coffre et le contrôle d’accès en fonction du rôle Azure
Le contrôle d’accès en fonction du rôle (RBAC Azure) est un système d’autorisation basé sur Azure Resource Manager, qui permet une gestion précise des accès des ressources Azure.
Le RBAC Azure permet aux utilisateurs de gérer les autorisations de clé, de secrets et de certificats. Il fournit un emplacement unique pour gérer toutes les autorisations sur tous les coffres de clés.
Le modèle RBAC Azure permet aux utilisateurs de définir des autorisations pour différents niveaux d’étendue : groupe d’administration, abonnement, groupe de ressources ou ressources individuelles. RBAC Azure pour coffre de clés permet également aux utilisateurs d’avoir des autorisations distinctes sur des clés, des secrets et des certificats individuels.
Meilleures pratiques pour les attribution de rôle de clés, secrets et certificats individuels
Nous recommandons d’utiliser un coffre par application et par environnement (développement, préproduction et production).
Vous ne devez utiliser des autorisations sur des clés, secrets et certificats individuels que pour des scénarios spécifiques :
- Partage de secrets individuels entre plusieurs applications, par exemple quand une application doit accéder aux données de l’autre application
Rôles intégrés Azure pour les opérations de plan de données d’Azure Key Vault
Remarque
Le rôle Contributeur de coffre de clés est réservé aux opérations du plan de gestion seulement pour gérer les coffres de clés. Il n’autorise pas l’accès aux clés, aux secrets et aux certificats.
Rôle intégré | Description | Identifiant |
---|---|---|
Administrateur Key Vault | Permet d’effectuer toutes les opération du plan de données sur un coffre de clés et tous les objets qu’il contient, notamment les certificats, les clés et les secrets. Ne peut pas gérer les ressources du coffre de clés ni gérer les attributions de rôles. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
Agent des certificats Key Vault | Permet d’effectuer une action sur les certificats d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | a4417e6f-fecd-4de8-b567-7b0420556985 |
Agent de chiffrement Key Vault | Permet d’effectuer une action sur les clés d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
Utilisateur du service de chiffrement de Key Vault | Permet de lire les métadonnées des clés et d’effectuer des opérations visant à envelopper/désenvelopper. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
Utilisateur de chiffrement Key Vault | Permet d’effectuer des opérations de chiffrement à l’aide de clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 12338af0-0e69-4776-bea7-57ae8d297424 |
Lecteur Key Vault | Permet de lire les métadonnées de coffres de clés et de leurs certificats, clés et secrets. Ne peut pas lire les valeurs sensibles, telles que les contenus secrets ou les documents clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 21090545-7ca7-4776-b22c-e363652d74d2 |
Agent des secrets Key Vault | Permet d’effectuer une action sur les secrets d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
Utilisateur des secrets Key Vault | Lire le contenu du secret, y compris la partie secrète d’un certificat avec une clé privée. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ». | 4633458b-17de-408a-b874-0445c86b69e6 |
Remarque
Il n’existe pas d’utilisateur de certificat de coffre de clés, car les applications ont besoin de la partie des secrets du certificat avec une clé privée. Le rôle Utilisateur de secrets de coffre de clés doit être utilisé pour que les applications puissent récupérer le certificat.
Gestion des attributions de rôle de plan de données Key Vault intégrées (préversion)
Rôle intégré | Description | Identifiant |
---|---|---|
Administrateur de l’accès aux données Key Vault (préversion) | Gérez l’accès à Azure Key Vault en ajoutant ou en supprimant des attributions de rôle pour les rôles Administrateur Key Vault, Agent de certificats Key Vault, Agent de chiffrement Key Vault, Utilisateur de chiffrement du service de chiffrement Key Vault, Lecteur Key Vault, Agent des secrets Key Vault ou Utilisateur des secrets Key Vault. Comprend une condition ABAC pour limiter les attributions de rôle. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Utilisation des autorisations de secret, de clé et de certificat de RBAC Azure avec Key Vault
Le nouveau modèle d’autorisation de RBAC Azure pour le coffre de clés fournit une alternative au modèle d’autorisations de stratégie d’accès au coffre.
Prérequis
Vous devez avoir un abonnement Azure. Si vous n’avez pas d’abonnement Azure, vous pouvez créer un compte gratuit avant de commencer.
Pour ajouter des attributions de rôles, vous devez disposer des autorisations Microsoft.Authorization/roleAssignments/write
et Microsoft.Authorization/roleAssignments/delete
, comme Administrateur de l’accès aux données Key Vault (préversion), Administrateur de l’accès utilisateur ou Propriétaire.