Accéder à Key Vault dans un réseau privé via des points de terminaison privés partagés

Le service Azure Web PubSub peut accéder à votre coffre de clés dans un réseau privé via des connexions de points de terminaison privés partagés. Cet article vous montre comment configurer votre instance de service Web PubSub pour router les appels sortants vers un coffre de clés via un point de terminaison privé partagé plutôt qu’un réseau public.

Les points de terminaison privés des ressources sécurisées créées via les API du service Azure Web PubSub sont appelés ressources de liaison privée partagée. En effet, vous « partagez » l’accès à une ressource, comme un Azure Key Vault, qui a été intégrée au service Azure Private Link. Ces points de terminaison privés sont créés dans l’environnement d’exécution du service Azure Web PubSub et ne sont pas directement visibles pour vous.

Remarque

Les exemples de cet article utilisent les ID de ressource suivants :

• L’ID de ressource de ce service Azure Web PubSub est _/subscriptions/0000000-0000-0000-0000-00000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub .
• L’ID de ressource d’Azure Key Vault est /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Lorsque vous suivez les étapes, remplacez les ID de ressource de votre service Azure Web PubSub et d’Azure Key Vault.

Prérequis

• Un abonnement Azure, si vous n’en avez pas, créez un [compte gratuit]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
• Azure CLI 2.25.0 ou version ultérieure (si vous utilisez Azure CLI)._
• Instance de service Azure Web PubSub dans un niveau tarifaire Standard ou supérieur
• Ressource Azure Key Vault.

1. Créer une ressource de point de terminaison privé partagée dans le coffre de clés

Azure portal

1. Dans le Portail Azure, accédez à votre page de ressource Azure Web PubSub Service.

2. Sélectionnez Mise en réseau dans le menu.

3. Sélectionnez l’onglet Accès privé.

4. Sélectionnez Ajouter un point de terminaison privé partagé.

   

5. Entrez un nom pour le point de terminaison privé partagé.

6. Entrez votre ressource key vault en choisissant Sélectionner parmi vos ressources et en sélectionnant votre ressource dans les listes, ou en choisissant Spécifier l’ID de ressource et en entrant votre ID de ressource key vault.

7. Entrez l’approbation du message de demande.

8. Sélectionnez Ajouter.

   

L’état d’approvisionnement des ressources de point de terminaison privé partagé est Réussi. L’état de la connexion est En attente d’approbation du côté cible de la ressource.

Azure CLI

Vous pouvez effectuer l’appel d’API suivant avec Azure CLI pour créer une ressource de liaison privée partagée. Remplacez la uri valeur par votre propre valeur.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

Le contenu du fichier create-pe.json , qui représente le corps de la requête à l’API, est le suivant :

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

Le processus de création d’un point de terminaison privé sortant est une opération longue (asynchrone). Comme dans toutes les opérations Azure asynchrones, l’appel PUT retourne une valeur d’en-tête Azure-AsyncOperation qui ressemble à la sortie suivante :

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Vous pouvez régulièrement interroger cet URI pour obtenir l’état de l’opération. Attendez que l’état passe à « Réussi » avant de passer aux étapes suivantes.

Vous pouvez interroger l’état en interrogeant manuellement la valeur Azure-AsyncOperationHeader :

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Approuver la connexion de point de terminaison privé pour le coffre de clés

Une fois la connexion de point de terminaison privé créée, vous devez approuver la demande de connexion du service Azure Web PubSub dans votre ressource key vault.

Azure portal

1. Dans le Portail Azure, accédez à votre page de ressources key vault.

2. Sélectionnez Mise en réseau dans le menu.

3. Sélectionnez Connexions des points de terminaison privés.

   

4. Sélectionnez le point de terminaison privé créé par le service Azure Web PubSub.

5. Sélectionnez Approuver et Oui pour confirmer.

6. Attendez que la connexion de point de terminaison privé soit approuvée.

   

Azure CLI

1. Répertorier les connexions de point de terminaison privé.

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Il doit y avoir une connexion de point de terminaison privé en attente. Notez son id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Approuver la connexion Private Endpoint.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3. Interroger l’état de la ressource de liaison privée partagée

La propagation de l’approbation au service Azure Web PubSub prend quelques minutes. Vous pouvez vérifier l’état à l’aide du portail Azure ou d’Azure CLI. Le point de terminaison privé partagé entre le service Azure Web PubSub et Azure Key Vault est actif lorsque l’état du conteneur est approuvé.

Azure portal

1. Accédez à la ressource Azure Web PubSub Service dans le Portail Azure.

2. Sélectionnez Mise en réseau dans le menu.

3. Sélectionnez Ressources de liaison privée partagée.

   

Azure CLI

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Cette commande renvoie un JSON, où l’état de connexion s’affiche sous la section « status » sous la section « properties ».

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Lorsque « État d’approvisionnement » (properties.provisioningState) de la ressource est Succeeded et « état d’Connecter ion » (properties.status) est Approved, la ressource de liaison privée partagée est fonctionnelle et le service Azure Web PubSub peut communiquer sur le point de terminaison privé.

Vous pouvez maintenant configurer des fonctionnalités comme un domaine personnalisé comme d’habitude. Vous n’avez pas besoin d’utiliser un domaine spécial pour Key Vault. Le service Azure Web PubSub gère automatiquement la résolution DNS.

Étapes suivantes

En savoir plus :

• Présentation des points de terminaison privés
• Configurer un domaine personnalisé