Désactiver l’authentification par clé d’accès pour une instance de d’Azure App Configuration
Chaque requête à une ressource de configuration Azure App doit être authentifiée. Par défaut, les requêtes peuvent être authentifiées soit avec des informations d’identification Microsoft Entra, soit à l’aide d’une clé d’accès. Entre ces deux types d’authentification, Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé d’accès, et est recommandé par Microsoft. Pour exiger que les clients utilisent Microsoft Entra ID pour authentifier les requêtes, vous pouvez désactiver l’utilisation des clés d’accès pour une ressource d’Azure App Configuration.
Lorsque vous désactivez l’authentification par clé d’accès pour une ressource de d’Azure App Configuration, les clés d’accès existantes pour cette ressource sont supprimées. Toutes les demandes ultérieures à la ressource à l’aide des clés d’accès précédemment existantes seront rejetées. Seules les requêtes authentifiées à l’aide de Microsoft Entra ID réussissent. Pour plus d’informations sur l’utilisation de Microsoft Entra ID, consultez Autoriser l’accès à Azure App Configuration à l’aide de Microsoft Entra ID.
Désactiver l’authentification par clé d’accès
La désactivation de l’authentification par clé d’accès entraînera la suppression de toutes les clés d’accès. Si des applications en cours d’exécution utilisent des clés d’accès pour l’authentification, elles commencent à échouer une fois l’authentification par clé d’accès désactivée. L’activation de l’authentification par clé d’accès générera à nouveau un nouvel ensemble de clés d’accès et toute application qui tentera d’utiliser les anciennes clés d’accès échouera toujours.
Avertissement
Si des clients accèdent actuellement aux données de votre ressource Azure App Configuration avec des clés d’accès, Microsoft vous recommande de migrer ces clients vers Microsoft Entra ID avant de désactiver l’authentification par clé d’accès.
Pour interdire l’authentification par clé d’accès pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :
Accédez à votre ressource Azure App Configuration dans le Portail Azure.
Sous Paramètres, accédez à Paramètres d’accès.
Définissez le bouton Activer les touches d’accès sur Désactivé.
Vérifier que l’authentification de la clé d’accès est désactivée
Pour vérifier que l’authentification de la clé d’accès n’est plus autorisée, une requête peut être faite pour répertorier les clés d’accès pour la ressource Azure App Configuration. Si l’authentification par clé d’accès est désactivée, il n’y aura aucune clé d’accès et l’opération de liste renverra une liste vide.
Pour vérifier que l’authentification par clé d’accès est désactivée pour une ressource Azure App Configuration dans le Portail Azure, procédez comme suit :
Accédez à votre ressource Azure App Configuration dans le Portail Azure.
Sous Paramètres, accédez à Paramètres d’accès.
Vérifiez qu’aucune clé d’accès n’est affichée et que l’option Activation des clés d’accès est réglée sur Désactivé.
Autorisations pour activer ou désactiver l’authentification par clé d’accès
Pour modifier l’état de l’authentification de la clé d’accès pour une ressource Azure App Configuration, un utilisateur doit disposer des autorisations nécessaires pour créer et gérer des ressources Azure App Configuration. Les rôles du contrôle d’accès en fonction du rôle Azure (Azure RBAC) offrant ces autorisations incluent l’action Microsoft.AppConfiguration/configurationStores/write ou Microsoft.AppConfiguration/configurationStores/*. Parmi les rôles intégrés comportant cette action figurent :
- Le rôle Propriétaire d’Azure Resource Manager
- Le rôle Contributeur d’Azure Resource Manager
Ces rôles ne donnent pas accès aux données dans une ressource Azure App Configuration par le biais de Microsoft Entra ID. Toutefois, elles incluent l’autorisation d’action Microsoft.AppConfiguration/configurationStores/listKeys/action, qui accorde l’accès aux clés d’accès de la ressource. Avec cette autorisation, un utilisateur peut utiliser les clés d’accès pour accéder à toutes les données dans la ressource.
Les assignations de rôle doivent être étendues au niveau de la ressource Azure App Configuration ou à un niveau plus élevé pour permettre à un utilisateur d’activer ou de désactiver l’authentification par clé d'accès à la ressource. Pour plus d’informations sur l’étendue des rôles, consultez Présentation de l’étendue pour Azure RBAC.
Veillez à limiter l’attribution de ces rôles aux seuls utilisateurs qui ont besoin de créer une ressource App Configuration ou de mettre à jour ses propriétés. Appliquez le principe des privilèges minimum pour que les utilisateurs disposent des autorisations nécessaires les plus faibles possibles pour accomplir leurs tâches. Pour plus d’informations sur la gestion de l’accès avec Azure RBAC, consultez Meilleures pratiques pour Azure RBAC.
Notes
Les rôles d’administrateur d’abonnement classique Administrateur de service et Co-administrateur incluent l’équivalent du rôle Propriétaire d’Azure Resource Manager. Le rôle Propriétaire comprend toutes les actions. Par conséquent, un utilisateur disposant de l’un de ces rôles d’administration peut également créer et gérer des ressources App Configuration. Pour plus d’informations, consultez Rôles Azure, rôles Microsoft Entra et rôles d’administrateur d’abonnements classiques.
Remarque
Lorsque l’authentification par clé d’accès est désactivée et que lemode d’authentification ARM du magasin App Configuration est local, la capacité de lire/écrire des valeurs clés dans un modèle ARM sera également désactivée. Cela est dû au fait que l’accès à la ressource Microsoft. AppConfiguration/configurationStores/keyValues utilisée dans les modèles ARM exige une authentification par clé d’accès avec le mode d’authentification ARM local. Il est recommandé d’utiliser le mode d’authentification ARM pass-through. Pour plus d’informations, voir Vue d’ensemble du déploiement.