Partage via

Gérer l’authentification par clé d’accès pour une instance Azure App Configuration

  • Article

Chaque requête à une ressource de configuration Azure App doit être authentifiée. Par défaut, les requêtes peuvent être authentifiées soit avec des informations d’identification Microsoft Entra, soit à l’aide d’une clé d’accès. Entre ces deux types d’authentification, Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé d’accès, et est recommandé par Microsoft. Pour exiger que les clients utilisent Microsoft Entra ID pour authentifier les requêtes, vous pouvez désactiver l’utilisation des clés d’accès pour une ressource d’Azure App Configuration. Si vous souhaitez utiliser des clés d’accès pour authentifier la requête, il est recommandé d’effectuer une rotation périodique des clés d’accès afin d’améliorer la sécurité. Pour en savoir plus, consultez les recommandations à suivre pour protéger les secrets d’application.

Activer l’authentification par clé d’accès

La clé d’accès est activée par défaut, et vous pouvez utiliser des clés d’accès dans votre code pour authentifier les requêtes.

Pour autoriser l’authentification par clé d’accès pour une ressource Azure App Configuration dans le Portail Azure, effectuez les étapes suivantes :

  1. Accédez à votre ressource Azure App Configuration dans le Portail Azure.

  2. Sous Paramètres, accédez à Paramètres d’accès.

    Capture d’écran montrant comment accéder à un panneau de clé d'accès de ressources Azure App Configuration.

  3. Définissez le bouton Activer les clés d’accès sur Activé.

    Capture d’écran montrant comment activer l’authentification par clé d’accès pour Azure App Configuration.

Vérifier que l’authentification de la clé d’accès est activée

Pour vérifier que l’authentification par clé d’accès est activée, vérifiez si vous êtes en mesure d’obtenir la liste des clés d’accès en lecture seule et en lecture-écriture. Cette liste n’est disponible que si l’authentification par clé d’accès est activée.

Pour vérifier que l’authentification par clé d’accès est activée pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :

  1. Accédez à votre ressource Azure App Configuration dans le Portail Azure.

  2. Sous Paramètres, accédez à Paramètres d’accès.

    Capture d’écran montrant comment accéder à un panneau de clé d'accès de ressources Azure App Configuration.

  3. Vérifiez que des clés d’accès sont affichées et que l’option Activer les clés d’accès est activée.

    Capture d’écran montrant les clés d’accès pour une ressource Azure App Configuration.

Désactiver l’authentification par clé d’accès

La désactivation de l’authentification par clé d’accès entraînera la suppression de toutes les clés d’accès. Si des applications en cours d’exécution utilisent des clés d’accès pour l’authentification, elles commencent à échouer une fois l’authentification par clé d’accès désactivée. Seules les requêtes authentifiées à l’aide de Microsoft Entra ID réussissent. Pour plus d’informations sur l’utilisation de Microsoft Entra ID, consultez Autoriser l’accès à Azure App Configuration à l’aide de Microsoft Entra ID. L’activation de l’authentification par clé d’accès générera à nouveau un nouvel ensemble de clés d’accès et toute application qui tentera d’utiliser les anciennes clés d’accès échouera toujours.

Avertissement

Si des clients accèdent actuellement aux données de votre ressource Azure App Configuration avec des clés d’accès, Microsoft vous recommande de migrer ces clients vers Microsoft Entra ID avant de désactiver l’authentification par clé d’accès.

Pour interdire l’authentification par clé d’accès pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :

  1. Accédez à votre ressource Azure App Configuration dans le Portail Azure.

  2. Sous Paramètres, accédez à Paramètres d’accès.

    Capture d’écran montrant comment accéder à un panneau de clé d'accès de ressources Azure App Configuration.

  3. Définissez le bouton Activer les touches d’accès sur Désactivé.

    Capture d’écran montrant comment désactiver l’authentification par clé d’accès pour Azure App Configuration

Vérifier que l’authentification de la clé d’accès est désactivée

Pour vérifier que l’authentification de la clé d’accès n’est plus autorisée, une requête peut être faite pour répertorier les clés d’accès pour la ressource Azure App Configuration. Si l’authentification par clé d’accès est désactivée, il n’y aura aucune clé d’accès et l’opération de liste renverra une liste vide.

Pour vérifier que l’authentification par clé d’accès est désactivée pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :

  1. Accédez à votre ressource Azure App Configuration dans le Portail Azure.

  2. Sous Paramètres, accédez à Paramètres d’accès.

    Capture d’écran montrant comment accéder à un panneau de clé d'accès de ressources Azure App Configuration.

  3. Vérifiez qu’aucune clé d’accès n’est affichée et que l’option Activer les clés d’accès est désactivée.

    Capture d’écran montrant la désactivation des clés d’accès pour une ressource Azure App Configuration

Autorisations pour activer ou désactiver l’authentification par clé d’accès

Pour modifier l’état de l’authentification de la clé d’accès pour une ressource Azure App Configuration, un utilisateur doit disposer des autorisations nécessaires pour créer et gérer des ressources Azure App Configuration. Les rôles du contrôle d’accès en fonction du rôle Azure (Azure RBAC) offrant ces autorisations incluent l’action Microsoft.AppConfiguration/configurationStores/write ou Microsoft.AppConfiguration/configurationStores/*. Parmi les rôles intégrés comportant cette action figurent :

Ces rôles ne donnent pas accès aux données dans une ressource Azure App Configuration par le biais de Microsoft Entra ID. Toutefois, elles incluent l’autorisation d’action Microsoft.AppConfiguration/configurationStores/listKeys/action, qui accorde l’accès aux clés d’accès de la ressource. Avec cette autorisation, un utilisateur peut utiliser les clés d’accès pour accéder à toutes les données dans la ressource.

Les assignations de rôle doivent être étendues au niveau de la ressource Azure App Configuration ou à un niveau plus élevé pour permettre à un utilisateur d’activer ou de désactiver l’authentification par clé d'accès à la ressource. Pour plus d’informations sur l’étendue des rôles, consultez Présentation de l’étendue pour Azure RBAC.

Veillez à limiter l’attribution de ces rôles aux seuls utilisateurs qui ont besoin de créer une ressource App Configuration ou de mettre à jour ses propriétés. Appliquez le principe des privilèges minimum pour que les utilisateurs disposent des autorisations nécessaires les plus faibles possibles pour accomplir leurs tâches. Pour plus d’informations sur la gestion de l’accès avec Azure RBAC, consultez Meilleures pratiques pour Azure RBAC.

Notes

Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire comprend toutes les actions. Par conséquent, un utilisateur disposant de l’un de ces rôles d’administration peut également créer et gérer des ressources App Configuration. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.

Remarque

Lorsque l’authentification par clé d’accès est désactivée et que lemode d’authentification ARM du magasin App Configuration est local, la capacité de lire/écrire des valeurs clés dans un modèle ARM sera également désactivée. Cela est dû au fait que l’accès à la ressource Microsoft. AppConfiguration/configurationStores/keyValues utilisée dans les modèles ARM exige une authentification par clé d’accès avec le mode d’authentification ARM local. Il est recommandé d’utiliser le mode d’authentification ARM pass-through. Pour plus d’informations, voir Vue d’ensemble du déploiement.

Rotation des clés d’accès

Microsoft recommande d’effectuer une rotation périodique des clés d’accès pour atténuer le risque de vecteurs d’attaque provenant de secrets divulgués. Chaque ressource Azure App Configuration comprend deux clés d’accès en lecture seule et deux clés d’accès en lecture-écriture, désignées comme clés primaires et secondaires, pour faciliter la rotation transparente des secrets. Cette configuration vous permet d’alterner les clés d’accès dans vos applications sans provoquer de temps d’arrêt.

Vous pouvez remplacer les clés en suivant la procédure ci-dessous :

  1. Si vous utilisez les deux clés en production, modifiez votre code afin de n’utiliser qu’une seule clé. Dans cet exemple, supposons que vous décidez de continuer à utiliser la clé primaire de votre magasin. N’utilisez qu’une seule clé dans votre code, car la régénération d'une clé secondaire rend immédiatement l’ancienne version invalide, entraînant des erreurs 401 (accès refusé) pour les clients qui l’utilisent.

  2. Une fois la clé primaire utilisée, vous pouvez régénérer la clé secondaire.

    Accédez à la page de votre ressource sur le Portail Azure, ouvrez le menu Paramètres>Paramètres d’accès, puis sélectionnez Régénérer sous Clé secondaire.

    Capture d’écran montrant la régénération de la clé secondaire.

  3. Ensuite, mettez à jour votre code pour utiliser la clé secondaire qui vient d’être générée. Nous vous conseillons de passer en revue vos journaux d’application pour vérifier que toutes les instances de votre application utilisent désormais la clé secondaire à la place de la clé primaire avant de passer à l’étape suivante.

  4. Enfin, vous pouvez invalider les clés primaires en les régénérant. La prochaine fois, vous pourrez alterner les clés d’accès entre clés secondaires et clés primaires selon le même processus.

Étapes suivantes