Résumé

Effectué

Dans ce module, vous avez sécurisé la configuration du secret d’une application dans Azure Key Vault. Votre code d’application s’authentifie sur le coffre avec une identité managée, puis charge automatiquement en mémoire les secrets du coffre au démarrage.

Nettoyage

Le bac à sable nettoie automatiquement vos ressources une fois que vous avez terminé ce module.

Il est important de vérifier à la fin d'un projet si les ressources que vous avez créées sont toujours nécessaires. Les ressources en fonctionnement peuvent engendrer des coûts supplémentaires. Vous pouvez supprimer les ressources individuellement, ou supprimer le groupe de ressources pour supprimer l’ensemble des ressources.

Pour nettoyer votre stockage Cloud Shell, supprimez le répertoire KeyVaultDemoApp.

Étapes suivantes

Si cette application était une application réelle, que se passerait-il ensuite ?

• Placez tous vos secrets d’application dans vos coffres ! Vous n’avez plus aucune raison de les placer dans des fichiers de configuration.
• Continuez à développer l’application. Votre environnement de production est entièrement configuré. Pour des déploiements futurs, vous n’avez pas besoin de répéter toute la configuration.
• Pour prendre en charge le développement, créez un coffre de développement-environnement contenant des secrets avec les mêmes noms, mais avec des valeurs différentes. Accordez des autorisations à l’équipe de développement et configurez le nom du coffre dans le fichier de configuration de l’environnement de développement de l’application. La configuration dépend de votre implémentation : pour ASP.NET Core, AddAzureKeyVault détecte automatiquement les installations locales de Visual Studio et l’interface Azure CLI, et utilise les informations d’identification Azure configurées dans ces applications pour se connecter et accéder au coffre. Pour ce qui est de Node.js, vous pouvez créer un principal de service de l’environnement de développement avec des autorisations vis-à-vis du coffre et faire en sorte que l’application s’authentifie avec loginWithServicePrincipalSecret.
• Créez plus d’environnements pour, par exemple, des tests d’acceptation utilisateur.
• Répartissez les coffres de stockage dans différents abonnements et groupes de ressources pour les isoler.
• Autorisez les personnes appropriées à accéder à d’autres coffres d’environnement.

Pour aller plus loin

• Documentation Key Vault
• Informations complémentaires sur AddAzureKeyVault et ses options avancées
• Ce tutoriel vous guide dans l’utilisation de SecretClient Key Vault, notamment de son authentification manuelle auprès de Microsoft Entra ID à l’aide d’une clé secrète client au lieu d’une identité managée.
• Documentation relative aux identités managées pour le service de jetons des ressources Azure, afin d’implémenter vous-même le workflow d’authentification.

Vérifiez vos connaissances

1.

Parmi les éléments suivants, lequel n’est pas un avantage essentiel d’Azure Key Vault ?

Le stockage sécurisé des informations utilisateurs privées.

La synchronisation des secrets d’application entre plusieurs instances d’une application.

Pour les développeurs d’applications, la réduction du besoin de gérer directement les secrets d’application.

Le contrôle de l’accès aux secrets d’application avec des autorisations pouvant être attribuées.

2.

Parmi les énoncés suivants, lequel décrit le mieux l’authentification d’Azure Key Vault et le processus d’autorisation ?

Les applications s’authentifient auprès d’un coffre avec le nom d’utilisateur et le mot de passe du développeur principal et ont un accès total à tous les secrets du coffre.

Les applications et les utilisateurs s’authentifient auprès d’un coffre avec un compte Microsoft, et ils sont autorisés à accéder à des secrets spécifiques.

Les applications et les utilisateurs s’authentifient auprès d’un coffre avec leurs identités Microsoft Entra. Ils sont autorisés à effectuer des actions sur tous les secrets du coffre.

Les applications s’authentifient auprès d’un coffre avec le nom et le mot de passe d’un utilisateur qui se connecte à l’application web et qui se voit accorder l’accès aux secrets appartenant à cet utilisateur.

3.

Comment Azure Key Vault permet-il de protéger vos secrets une fois qu’ils ont été chargés par votre application ?

Azure Key Vault génère automatiquement un nouveau secret après chaque utilisation.

La bibliothèque de client Azure Key Vault protège les régions de mémoire utilisées par votre application afin d’empêcher l’exposition accidentelle des secrets.

Azure Key Vault applique un chiffrement double aux secrets afin que votre application les déchiffre localement à chaque utilisation.

Il ne protège pas vos secrets. Les secrets ne sont plus protégés dès lors qu’ils sont chargés par votre application.

Vous devez répondre à toutes les questions avant de vérifier votre travail.