Gérer l’authentification par clé d’accès pour une instance Azure App Configuration
Chaque requête à une ressource de configuration Azure App doit être authentifiée. Par défaut, les requêtes peuvent être authentifiées soit avec des informations d’identification Microsoft Entra, soit à l’aide d’une clé d’accès. Entre ces deux types d’authentification, Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé d’accès, et est recommandé par Microsoft. Pour exiger que les clients utilisent Microsoft Entra ID pour authentifier les requêtes, vous pouvez désactiver l’utilisation des clés d’accès pour une ressource d’Azure App Configuration. Si vous souhaitez utiliser des clés d’accès pour authentifier la requête, il est recommandé de faire pivoter les clés d’accès tous les 90 jours pour améliorer la sécurité.
Activer l’authentification par clé d’accès
La clé d’accès est activée par défaut, et vous pouvez utiliser des clés d’accès dans votre code pour authentifier les requêtes.
Avertissement
Si des clients accèdent actuellement aux données de votre ressource Azure App Configuration avec des clés d’accès, Microsoft vous recommande de migrer ces clients vers Microsoft Entra ID avant de désactiver l’authentification par clé d’accès.
Pour autoriser ou interdire l’authentification par clé d’accès pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :
Accédez à votre ressource Azure App Configuration dans le Portail Azure.
Sous Paramètres, accédez à Paramètres d’accès.
Définissez le bouton Activer les clés d’accès sur Activé.
Vérifier que l’authentification de la clé d’accès est activée
Pour vérifier que l’authentification par clé d’accès est activée, vérifiez si vous êtes en mesure d’obtenir la liste des clés d’accès en lecture et en lecture-écriture. Cette liste n’est disponible que si l’authentification par clé d’accès est activée.
Pour vérifier que l’authentification par clé d’accès est activée pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :
Accédez à votre ressource Azure App Configuration dans le Portail Azure.
Sous Paramètres, accédez à Paramètres d’accès.
Vérifiez que des clés d’accès sont affichées et que l’option Activer les clés d’accès est activée.
Désactiver l’authentification par clé d’accès
La désactivation de l’authentification par clé d’accès entraînera la suppression de toutes les clés d’accès. Si des applications en cours d’exécution utilisent des clés d’accès pour l’authentification, elles commencent à échouer une fois l’authentification par clé d’accès désactivée. Seules les requêtes authentifiées à l’aide de Microsoft Entra ID réussissent. Pour plus d’informations sur l’utilisation de Microsoft Entra ID, consultez Autoriser l’accès à Azure App Configuration à l’aide de Microsoft Entra ID. L’activation de l’authentification par clé d’accès générera à nouveau un nouvel ensemble de clés d’accès et toute application qui tentera d’utiliser les anciennes clés d’accès échouera toujours.
Pour interdire l’authentification par clé d’accès pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :
Accédez à votre ressource Azure App Configuration dans le Portail Azure.
Sous Paramètres, accédez à Paramètres d’accès.
Définissez le bouton Activer les touches d’accès sur Désactivé.
Vérifier que l’authentification de la clé d’accès est désactivée
Pour vérifier que l’authentification de la clé d’accès n’est plus autorisée, une requête peut être faite pour répertorier les clés d’accès pour la ressource Azure App Configuration. Si l’authentification par clé d’accès est désactivée, il n’y aura aucune clé d’accès et l’opération de liste renverra une liste vide.
Pour vérifier que l’authentification par clé d’accès est désactivée pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :
Accédez à votre ressource Azure App Configuration dans le Portail Azure.
Sous Paramètres, accédez à Paramètres d’accès.
Vérifiez qu’aucune clé d’accès n’est affichée et que l’option Activer les clés d’accès est désactivée.
Autorisations pour activer ou désactiver l’authentification par clé d’accès
Pour modifier l’état de l’authentification de la clé d’accès pour une ressource Azure App Configuration, un utilisateur doit disposer des autorisations nécessaires pour créer et gérer des ressources Azure App Configuration. Les rôles du contrôle d’accès en fonction du rôle Azure (Azure RBAC) offrant ces autorisations incluent l’action Microsoft.AppConfiguration/configurationStores/write ou Microsoft.AppConfiguration/configurationStores/*. Parmi les rôles intégrés comportant cette action figurent :
- Le rôle Propriétaire d’Azure Resource Manager
- Le rôle Contributeur d’Azure Resource Manager
Ces rôles ne donnent pas accès aux données dans une ressource Azure App Configuration par le biais de Microsoft Entra ID. Toutefois, elles incluent l’autorisation d’action Microsoft.AppConfiguration/configurationStores/listKeys/action, qui accorde l’accès aux clés d’accès de la ressource. Avec cette autorisation, un utilisateur peut utiliser les clés d’accès pour accéder à toutes les données dans la ressource.
Les assignations de rôle doivent être étendues au niveau de la ressource Azure App Configuration ou à un niveau plus élevé pour permettre à un utilisateur d’activer ou de désactiver l’authentification par clé d'accès à la ressource. Pour plus d’informations sur l’étendue des rôles, consultez Présentation de l’étendue pour Azure RBAC.
Veillez à limiter l’attribution de ces rôles aux seuls utilisateurs qui ont besoin de créer une ressource App Configuration ou de mettre à jour ses propriétés. Appliquez le principe des privilèges minimum pour que les utilisateurs disposent des autorisations nécessaires les plus faibles possibles pour accomplir leurs tâches. Pour plus d’informations sur la gestion de l’accès avec Azure RBAC, consultez Meilleures pratiques pour Azure RBAC.
Notes
Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire comprend toutes les actions. Par conséquent, un utilisateur disposant de l’un de ces rôles d’administration peut également créer et gérer des ressources App Configuration. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.
Remarque
Lorsque l’authentification par clé d’accès est désactivée et que lemode d’authentification ARM du magasin App Configuration est local, la capacité de lire/écrire des valeurs clés dans un modèle ARM sera également désactivée. Cela est dû au fait que l’accès à la ressource Microsoft. AppConfiguration/configurationStores/keyValues utilisée dans les modèles ARM exige une authentification par clé d’accès avec le mode d’authentification ARM local. Il est recommandé d’utiliser le mode d’authentification ARM pass-through. Pour plus d’informations, voir Vue d’ensemble du déploiement.
Faire pivoter la clé d’accès
Microsoft vous recommande de faire pivoter vos clés d’accès régulièrement pour garantir une sécurité optimale de vos ressources. Si possible, utilisez Azure Key Vault pour gérer vos clés d’accès. Si vous n’utilisez pas Key Vault, vous devrez permuter vos clés manuellement.
Chaque ressource Azure App Configuration est associée à deux clés d’accès pour l’activation de la rotation des secrets. Cette précaution de sécurité vous permet de changer régulièrement les clés qui peuvent accéder à votre service, ce qui protège la confidentialité de votre ressource en cas de fuite d’une clé. Il est conseillé de respecter un cycle de rotation de 90 jours.
Vous pouvez remplacer les clés en suivant la procédure ci-dessous :
Si vous utilisez les deux clés en production, modifiez votre code afin de n’utiliser qu’une seule clé. Dans cet exemple, supposons que vous décidez de continuer à utiliser la clé primaire de votre magasin. N’utilisez qu’une seule clé dans votre code, car la régénération d'une clé secondaire rend immédiatement l’ancienne version invalide, entraînant des erreurs 401 (accès refusé) pour les clients qui l’utilisent.
Une fois la clé primaire utilisée, vous pouvez régénérer la clé secondaire. Accédez à la page de votre ressource sur le Portail Azure, ouvrez le menu Paramètres>Paramètres d’accès, puis sélectionnez Régénérer sous Clé secondaire.
Ensuite, mettez à jour votre code pour utiliser la clé secondaire qui vient d’être générée. Il est utile de disposer de journaux ou de prendre le temps nécessaire pour vérifier que les utilisateurs de la clé ont remplacé correctement la clé primaire par la clé secondaire avant de poursuivre.
Vous pouvez maintenant regénérer la clé primaire en suivant le même processus.
Pour finir, mettez à jour votre code pour utiliser la nouvelle clé primaire.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour