Points de terminaison de service de réseau virtuel pour Azure Key Vault

  • Article

Les points de terminaison de service de réseau virtuel pour Azure Key Vault permettent de restreindre l’accès à un réseau virtuel spécifié. Les points de terminaison vous permettent également de restreindre l’accès à une liste de plages d’adresses IPv4 (Internet Protocol version 4). L’accès est refusé à tout utilisateur se connectant à votre coffre de clés en dehors de ces sources.

Il existe une exception importante à cette restriction. Si un utilisateur a choisi d’autoriser les services Microsoft approuvés, les connexions à partir de ces services se font à travers le pare-feu. Par exemple, ces services incluent Office 365 Exchange Online, Office 365 SharePoint Online, Calcul Azure, Azure Resource Manager et Sauvegarde Azure. Ces utilisateurs doivent néanmoins toujours présenter un jeton Microsoft Entra valide et disposer d’autorisations (configurées en tant que stratégies d’accès) pour effectuer l’opération demandée. Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel.

Scénarios d’usage

Vous pouvez configurer des pare-feux et réseaux virtuels Key Vault pour refuser par défaut l’accès au trafic en provenance de tous les réseaux (y compris le trafic Internet). Vous pouvez accorder l’accès au trafic en provenance de réseaux virtuels Azure ou de plages d’adresses IP Internet publiques spécifiques, ce qui vous permet de créer une limite réseau sécurisée pour vos applications.

Notes

Les règles de pare-feu et de réseau virtuel Key Vault s’appliquent seulement au plan de données de Key Vault. Les opérations du plan de contrôle Key Vault (comme les opérations de création, de suppression et de modification, la définition de stratégies d’accès, la définition de pare-feu et de règles de réseau virtuel ainsi que le déploiement de secrets et de clés par le biais de modèles ARM) ne sont pas affectées par les règles de pare-feu et de réseau virtuel.

Voici quelques exemples d’utilisation de points de terminaison de service :

  • Vous utilisez Key Vault pour stocker des clés de chiffrement, des secrets d’application et des certificats, et vous voulez bloquer l’accès à votre coffre de clés depuis l’Internet public.
  • Vous voulez verrouiller l’accès à votre coffre de clés, afin que seule votre application ou une liste restreinte d’hôtes désignés puissent se connecter à votre coffre de clés.
  • Vous avez une application s’exécutant dans votre réseau virtuel Azure, qui est verrouillé pour tout trafic entrant et sortant. Votre application doit néanmoins toujours se connecter au coffre de clés pour extraire des secrets ou certificats, ou pour utiliser des clés de chiffrement.

Accorder l’accès aux services Azure approuvés

Vous pouvez aux services Azure approuvés l’accès au coffre de clés, mais conserver des règles de réseau pour d’autres applications. Ces services approuvés utilisent ensuite une authentification forte pour se connecter en toute sécurité à votre coffre de clés.

Vous pouvez accorder l’accès aux services Azure approuvés en configurant les paramètres de mise en réseau. Pour obtenir des instructions détaillées, consultez les options de configuration réseau de cet article.

Lorsque vous accordez l’accès à des services Azure approuvés, vous accordez les types d’accès suivants :

  • Accès approuvé pour certaines opérations aux ressources inscrites dans votre abonnement.
  • Accès approuvé aux ressources basé sur une identité managée.
  • Accès approuvé entre locataires à l’aide d’informations d’identification d’identité fédérée

Services approuvés

Voici une liste de services approuvés qui sont autorisés à accéder à un coffre de clés si l’option Autoriser les services approuvés est activée.

Service approuvé Scénarios d’utilisation pris en charge
Gestion des API Azure Déployer des certificats pour un domaine personnalisé à partir de Key Vault à l’aide de MSI
Azure App Service App Service est approuvé uniquement pour le Déploiement d’un certificat Azure Web Apps avec Key Vault pour une application individuelle. Les adresses IP sortantes peuvent être ajoutées dans les règles IP du coffre de clés
Azure Application Gateway Utilisation de certificats Key Vault pour les écouteurs compatibles HTTPS
Sauvegarde Azure Autoriser la sauvegarde et restauration des clés et des secrets pertinents lors de la sauvegarde de Machines virtuelles Azure avec Sauvegarde Azure.
Azure Batch Configurer des clés gérées par le client pour les comptes Batch et Key Vault pour les comptes Batch d’abonnement utilisateur
Azure Bot Service Chiffrement Azure AI Bot Service pour les données au repos
Azure CDN Configurer HTTPS sur un domaine personnalisé Azure CDN : accorder à Azure CDN l’accès à votre coffre de clés
Azure Container Registry Chiffrement du registre à l’aide de clés gérées par le client
Azure Data Factory Récupérer les informations d’identification du magasin de données dans Key Vault à partir de Data Factory
Azure Data Lake Store Chiffrement de données dans Azure Data Lake Store avec une clé gérée par le client.
Serveur unique Azure Database pour MySQL Chiffrement des données pour le serveur unique Azure Database pour MySQL
Serveur flexible Azure Database pour MySQL Chiffrement des données dans le serveur flexible Azure Database pour MySQL
Serveur unique Azure Database pour PostgreSQL Chiffrement des données pour le serveur unique Azure Database pour PostgreSQL
Serveur flexible Azure Database pour PostgreSQL Chiffrement des données pour le serveur flexible Azure Database pour PostgreSQL
Azure Databricks Service d'analyse rapide, simple et collaboratif basé sur Apache Spark
Service de chiffrement de volume Azure Disk Encryption Autoriser l’accès à la clé BitLocker (machine virtuelle Windows) ou à la phrase secrète DM (machine virtuelle Linux), et à la clé de chiffrement lors du déploiement de machines virtuelles. Ceci active Azure Disk Encryption.
Stockage sur disque Azure Lorsqu’il est configuré avec un jeu de chiffrement de disque (DES). Pour plus d’informations, consultez Chiffrement côté serveur du Stockage sur disque Azure à l’aide de clés gérées par le client.
Hubs d'événements Azure Autoriser l'accès à un coffre de clés pour le scénario de clés gérées par le client
Azure ExpressRoute Lors de l’utilisation de MACsec avec ExpressRoute Direct
Pare-feu Azure Premium Certificats du Pare-feu Azure Premium
Azure Front Door classique Utilisation de certificats Key Vault pour HTTPS
Azure Front Door Standard/Premium Utilisation de certificats Key Vault pour HTTPS
Azure Import/Export Utiliser des clés gérées par le client dans Azure Key Vault pour le service Import/Export
Azure Information Protection Autoriser l’accès à la clé de locataire pour Azure Information Protection
Azure Machine Learning Sécuriser Azure Machine Learning dans un réseau virtuel
Analyse Azure Policy Stratégies de plan de contrôle pour les secrets et clés stockés dans le plan de données
Service de déploiement modèle Azure Resource Manager Passage de valeurs sécurisées lors du déploiement
Azure Service Bus Autoriser l'accès à un coffre de clés pour le scénario de clés gérées par le client
Azure SQL Database Transparent Data Encryption avec prise en charge Bring Your Own Key pour Azure SQL Database et Azure Synapse Analytics.
Stockage Azure Chiffrement du service de stockage à l’aide de clés gérées par le client dans Azure Key Vault.
Azure Synapse Analytics Chiffrement des données à l’aide de clés gérées par le client dans Azure Key Vault
Service de déploiement de machines virtuelles Azure Déployer des certificats sur des machines virtuelles à partir d’un coffre de clés géré par le client
Exchange Online, SharePoint Online, M365DataAtRestEncryption Autorisez l’accès aux clés gérées par le client pour le chiffrement de données au repos avec la clé client.
Microsoft Purview Utiliser Informations d'identification pour l'authentification des sources dans Microsoft Purview

Notes

Vous devez configurer les attributions de rôles RBAC et stratégies d’accès (héritées) Key Vault appropriées pour autoriser les services correspondants à accéder à Key Vault.

Étapes suivantes