Partager via

Utiliser des identités managées pour accéder aux certificats Azure Key Vault

  • Article

Une identité managée générée par Microsoft Entra ID permet à votre instance Azure Front Door d’accéder facilement et en toute sécurité à d’autres ressources protégées par Microsoft Entra, telles qu’Azure Key Vault. Azure gère la ressource d’identité. Vous n’avez donc pas à créer ni à faire tourner les secrets. Pour en savoir plus sur les identités managées, consultez la section Que sont les identités managées pour les ressources Azure ?

Une fois que vous avez activé l’identité managée pour Azure Front Door et accordé les autorisations appropriées pour accéder à votre Key Vault Azure, Front Door utilise seulement l’identité managée pour accéder aux certificats. Si vous n’ajoutez pas l’autorisation d’identité managée à votre Key Vault, l’auto-rotation de certificats personnalisé et l’ajout de nouveaux certificats échouent sans autorisations pour Key Vault. Si vous désactivez l’identité managée, Azure Front Door revient à utiliser l’application Microsoft Entra configurée d’origine. Cette solution n’est pas recommandée et sera mise hors service à l’avenir.

Vous pouvez accorder deux types d’identités à un profil Azure Front Door :

  • Une identité affectée par le système est liée à votre service, et elle est supprimée si votre service est supprimé. Le service ne peut avoir qu’une seule identité affectée par le système.

  • Une identité affectée par l’utilisateur est une ressource Azure autonome qui peut être affectée à votre service. Le service peut avoir plusieurs identités affectées par l’utilisateur.

Les identités managées sont propres au locataire Microsoft Entra où votre abonnement Azure est hébergé. Elles ne sont pas mises à jour si un abonnement est déplacé vers un autre annuaire. Si un abonnement est déplacé, vous devez recréer et configurer l’identité.

Vous avez également l’option de configurer l’accès Azure Key Vault à l’aide du contrôle d’accès en fonction du rôle (RBAC) ou de la stratégie d'accès.

Prérequis

Avant de pouvoir configurer de l’identité managées pour Azure Front Door, vous devez disposer d’un profil Azure Front Door Standard ou Premium crée. Pour créer un nouveau profil Front Door, consultez Créer un Azure Front Door.

Activer une identité managée

  1. Aller vers un profil Azure Front Door existant. Sélectionnez Identité sous Sécurité dans la volet de menu latérale gauche.

    Capture d’écran du bouton Identité sous les paramètres d’un profil Front Door.

  2. Sélectionnez soit une identité managée affectée par le système ou affectée par l’utilisateur.

    • Affectée par le système : une identité managée est créée pour le cycle de vie du profil Azure Front Door, et elle est utilisée pour accéder à une instance Azure Key Vault.

    • Affectée par l’utilisateur : ressource d’identité managée autonome est utilisée pour s’authentifier auprès de Azure Key Vault, et qui possède son propre cycle de vie.

    Attribuée par le système

    1. Faites passer l’État à Activé, puis sélectionnez Enregistrer.

      Capture d’écran montrant la page de configuration des identités managées affectées par le système.

    2. Vous êtes invité à envoyer un message pour confirmer que vous souhaitez créer une identité managée par le système pour votre profil Front Door. Sélectionnez Oui pour confirmer.

      Capture d’écran montrant le message de confirmation de création d’une identité managée affectée par le système.

    3. Une fois l’identité managée affectée par le système créée et inscrite auprès de Microsoft Entra ID, vous pouvez utiliser l’ID d’objet (principal) pour permettre à Azure Front Door d’accéder à votre Azure Key Vault.

      Capture d’écran de l’identité managée affectée par le système qui est inscrite auprès de Microsoft Entra ID.

    Attribuée par l'utilisateur

    Vous devez déjà avoir créé une identité managée par l’utilisateur. Pour créer une identité, consultez Créer une identité managée affectée par l’utilisateur.

    1. Sous l’onglet Utilisateur affecté , sélectionnez + Ajouter pour ajouter une identité managée affectée par l’utilisateur.

      Capture d’écran montrant la page de configuration des identités managées affectées par l’utilisateur.

    2. Recherchez et sélectionnez l’identité managée affectée par l’utilisateur. Sélectionnez ensuite Ajouter pour ajouter l’identité managée par l’utilisateur au profil Azure Front Door.

      Capture d’écran de la page d’ajout d’une identité managée affectée par l’utilisateur.

    3. Vous voyez le nom de l’identité managée affectée par l’utilisateur que vous avez sélectionnée dans le profil Azure Front Door.

      Capture d’écran de l’ajout d’une identité managée affectée par l’utilisateur au profil Front Door.

Configurer l’accès aux coffres de clés

  • Contrôle d’accès en fonction du rôle : accordez à Azure Front Door l’accès à votre Azure Key Vault avec un contrôle d’accès affiné grâce à Azure Resource Manager.
  • Stratégie d’accès : contrôle d’accès Azure Key Vault natif pour accorder à Azure Front Door l’accès à votre Azure Key Vault.

Pour plus d'informations, consultez Contrôle d'accès en fonction du rôle (Azure RBAC) et stratégie d'accès.

Contrôle d’accès en fonction du rôle (RBAC)

  1. Accédez à votre coffre de clés Azure Key Vault. Sélectionnez Contrôle d'accès (IAM) dans les Paramètres, puis sélectionnez + Ajouter. Sélectionnez Ajouter une attribution de rôle dans le menu déroulant.

    Capture d’écran de la page du contrôle d’accès (IAM) pour un Key Vault.

  2. Dans la page Ajouter une attribution de rôle, recherchez l’Utilisateur secret Key Vault dans la zone de recherche. Sélectionnez ensuite Utilisateur secret Key Vault dans les résultats de recherche.

    Capture d’écran de la page Ajouter une attribution de rôle pour un Key Vault.

  3. Sélectionnez l’onglet Membres, puis sélectionnez Identité managée. Sélectionnez + Sélectionner des membres pour ajouter l’identité managée à l’attribution de rôle.

    Capture d’écran de l’onglet Membres de la page Ajouter une attribution de rôle pour un Key Vault.

  4. Sélectionnez l'identité managée affectée par le système ou affectée par l’utilisateur associée à votre Azure Front Door, puis choisissez Sélectionner pour ajouter l’identité managée à l’attribution de rôle.

    Capture d’écran de la page Membres sélectionnés de la page Ajouter une attribution de rôle pour un Key Vault.

  5. Sélectionnez Vérifier + attribuer pour configurer l’attribution de rôle.

    Capture d’écran de la page Vérifier et attribuer de la page Ajouter une attribution de rôle pour un Key Vault.

Stratégie d’accès

  1. Accédez à votre coffre de clés Azure Key Vault. Sélectionnez Stratégies d’accès sous Paramètres, puis sélectionnez + Créer.

    Capture d’écran de la page Stratégies d’accès de Key Vault.

  2. Sous l’onglet Autorisations de la page Créer une stratégie d’accès, sélectionnez Liste et Obtenir sous Autorisations du secret. Ensuite, sélectionnez Suivant pour configurer l’onglet principal.

    Capture d’écran de l’onglet Autorisations pour la stratégie d’accès Key Vault.

  3. Sous l’onglet Principal, collez l’ID d’objet (principal) si vous utilisez une identité managée affectée par le système, ou entrez un nom si vous utilisez une identité managée affectée par l’utilisateur. Sélectionnez ensuite l’onglet Vérifier + créer . L’onglet Application est ignoré, car Azure Front Door est déjà sélectionné pour vous.

    Capture d’écran de l’onglet Principal pour la stratégie d’accès Key Vault.

  4. Passez en revue les paramètres de stratégie d’accès, puis sélectionnez Créer pour configurer la stratégie d’accès.

    Capture d’écran de l’onglet de révision et de création de la stratégie d’accès Key Vault.

Vérifier l’accès

  1. Accédez au profil Azure Front Door où vous avez activé l’identité managée, puis sélectionnez Secret sous Sécurité.

    Capture d’écran de l’accès aux secrets dans les paramètres d’un profil Front Door.

  2. Vérifiez que Identité managée s’affiche bien sous la colonne Rôle d’accès pour le certificat utilisé dans Front Door. Si vous configurez l’identité managée pour la première fois, vous devez ajouter un certificat à Front Door afin d’afficher cette colonne.

    Capture d’écran d’Azure Front Door utilisant une identité managée pour accéder au certificat dans Key Vault.

Étapes suivantes