Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Key Vault gère le contrôle d’accès pour les certificats au niveau du coffre de clés. La stratégie de contrôle d’accès pour les certificats est distincte des stratégies de contrôle d’accès pour les clés et les secrets dans le même coffre de clés. Vous pouvez créer un ou plusieurs coffres pour contenir des certificats, afin de gérer la segmentation et la gestion appropriées des certificats dans les scénarios.
L’accès à un coffre de clés est contrôlé via deux interfaces : le plan de contrôle et le plan de données. Les deux plans utilisent l’ID Microsoft Entra pour l’authentification. Pour l’autorisation, vous pouvez utiliser le contrôle d’accès en fonction du rôle Azure (Azure RBAC) (recommandé) ou les stratégies d’accès Key Vault (héritées). Pour plus d’informations sur les concepts d’authentification et d’autorisation, consultez Authentification dans Azure Key Vault.
Autorisations de certificat
Utilisez les autorisations suivantes pour chaque principal lors de la configuration de l’accès aux certificats. Ces autorisations reflètent étroitement les opérations autorisées sur un objet de certificat :
Autorisations pour les opérations de gestion des certificats
- get : Obtenir la version actuelle du certificat ou toute version d’un certificat
- list : répertorier les certificats actuels ou les versions d’un certificat
- mise à jour : Mettre à jour un certificat
- create : Créer un certificat Key Vault
- importation : importer du matériel de certificat dans un certificat Key Vault
- delete : supprimer un certificat, sa stratégie et toutes ses versions
- récupérer : récupérer un certificat supprimé
- sauvegarde : sauvegarder un certificat dans un coffre de clés
- restore : restaurer un certificat sauvegardé dans un coffre de clés
- managecontacts : Gérer les contacts de certificat Key Vault
- manageissuers : Gérer les autorités de certification/émetteurs Key Vault
- getissuers : Obtenir les autorités/émetteurs d’un certificat
- listissuers : répertorier les autorités/émetteurs d’un certificat
- setissuers : créer ou mettre à jour les autorités/émetteurs d’un certificat Key Vault
- deleteissuers : supprimer les autorités/émetteurs d’un certificat Key Vault
Autorisations pour les opérations privilégiées
- purge : purger (supprimer définitivement) un certificat supprimé
Pour plus d’informations, consultez les opérations de certificat dans la référence de l’API REST Key Vault.
Accorder l’accès aux certificats
Vous pouvez accorder l’accès aux certificats à l’aide d’Azure RBAC (recommandé) ou de stratégies d’accès Key Vault (héritées).
Utiliser Azure RBAC (recommandé)
Azure RBAC fournit une gestion centralisée des accès et vous permet de définir des autorisations à différents niveaux d’étendue. Pour les opérations de certificat, utilisez l’un des rôles intégrés suivants :
| Role | Descriptif |
|---|---|
| Administrateur Key Vault | Effectuez toutes les opérations du plan de données sur un coffre de clés et sur l’ensemble des objets qu’il contient. |
| Agent des certificats Key Vault | Permet d’effectuer toute action sur les certificats d’un coffre de clés, à l’exception des autorisations de gestion. |
| Utilisateur de certificat Key Vault | Lisez tout le contenu du certificat, y compris la partie secret et clé. |
| Lecteur Key Vault | Permet de lire les métadonnées de coffres de clés et de leurs certificats, clés et secrets. Impossible de lire les valeurs sensibles. |
Pour plus d’informations sur l’attribution de rôles, consultez Fournir l’accès aux clés, certificats et secrets Key Vault avec le contrôle d’accès en fonction du rôle Azure.
Utiliser des stratégies d’accès (héritées)
Pour affecter une stratégie d’accès, consultez Affecter une stratégie d’accès Key Vault. Pour plus d’informations sur l’établissement d’autorisations via l’API REST, consultez Coffres - Mettre à jour la stratégie d’accès.
Troubleshoot
Une erreur peut s’afficher en raison d’une stratégie d’accès ou d’une attribution de rôle manquante. Par exemple : Error type : Access denied or user is unauthorized to create certificate.
Pour corriger cette erreur :
- Si vous utilisez Azure RBAC, vérifiez que le principal a un rôle avec l’autorisation
certificates/create(par exemple , Key Vault Certificates Officer). - Si vous utilisez des stratégies d’accès, ajoutez l’autorisation
certificates/createà la stratégie d’accès.
Pour plus d’informations sur la résolution des problèmes, consultez Résolution des problèmes d’accès à Azure Key Vault.