Attribuer une politique d’accès à Key Vault (héritée)

Important

Lors de l’utilisation du modèle d’autorisation de stratégie d’accès, un utilisateur ayant le rôle Contributor, Key Vault Contributor ou tout autre rôle incluant des autorisations Microsoft.KeyVault/vaults/write pour le plan de gestion de Key Vault peut s’accorder l’accès au plan de données en définissant une stratégie d’accès Key Vault. Pour empêcher l’accès et la gestion non autorisés de vos coffres de clés, de vos clés, de vos secrets et de vos certificats, il est essentiel de limiter l’accès du rôle Contributeur aux coffres de clés sous le modèle d’autorisation de stratégie d’accès. Pour atténuer ce risque, nous vous recommandons d’utiliser le modèle d’autorisation Contrôle d’accès en fonction du rôle (RBAC), qui limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui permet une séparation claire entre les opérations de sécurité et les tâches d’administration. Pour plus d’informations, consultez le Guide de RBAC pour Key Vault et Présentation d’Azure RBAC.

Une stratégie d’accès Key Vault détermine si un principal de sécurité donné, à savoir un utilisateur, une application ou un groupe d’utilisateurs, peut effectuer différentes opérations sur des secrets, clés et certificats de Key Vault. Vous pouvez attribuer des stratégies d’accès à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

Le coffre de clés prend en charge jusqu’à 1024 entrées de stratégie d’accès, chaque entrée accordant un ensemble distinct d’autorisations à un principal de sécurité particulier. En raison de cette limitation, nous vous recommandons d’attribuer des stratégies d’accès, autant que possible, à des groupes d’utilisateurs plutôt qu’à des utilisateurs individuels. L’utilisation de groupes facilite grandement la gestion des autorisations pour plusieurs personnes au sein de votre organisation. Pour plus d’informations, consultez Gérer l’accès aux applications et aux ressources en utilisant des groupes Microsoft Entra.

Azure portal

Attribuer une stratégie d’accès

1. Dans le portail Azure, accédez à la ressource Key Vault.

2. Sélectionnez Stratégies d’accès, puis Créer :

   

3. Sélectionnez les autorisations souhaitées sous Autorisations de clé, Autorisations de secret et Autorisations de certificat.

   

4. Sous le volet de sélection Principal, entrez le nom de l’utilisateur, de l’application ou du principal de service dans le champ de recherche, puis sélectionnez le résultat approprié.

   

   Si vous utilisez une identité managée pour l’application, recherchez et sélectionnez le nom de l’application (Pour plus d’informations sur les principaux de sécurité, consultez Authentification Key Vault.

5. Passez en revue les modifications apportées à la stratégie d’accès et sélectionnez Créer pour enregistrer la stratégie d’accès.

   

6. De retour sur la page Stratégies d’accès, vérifiez que votre stratégie d’accès est listée.

   

Azure CLI

Pour plus d’informations sur la création de groupes dans Microsoft Entra ID à l’aide d’Azure CLI, consultez az ad group create et az ad group member add.

Configurer Azure CLI et se connecter

1. Pour exécuter des commandes Azure CLI localement, installez Azure CLI.

   Pour exécuter des commandes directement dans le cloud, utilisez le service Azure Cloud Shell.

2. CLI locale uniquement : connectez-vous à Azure à l’aide de la commande az login :

   az login
   

   La commande az login ouvre une fenêtre de navigateur pour recueillir les informations d’identification si nécessaire.

Acquérir l’ID d’objet

Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :

• Applications et autres objets de service : utilisez la commande az ad sp list pour récupérer vos objets de service. Examinez la sortie de la commande pour déterminer l’ID d’objet du principal de sécurité auquel vous souhaitez attribuer la stratégie d’accès.

  az ad sp list --show-mine
  

• Groupes : utilisez la commande az ad group list, en filtrant les résultats avec le paramètre --display-name :

  az ad group list --display-name <search-string>
  

• Utilisateurs : utilisez la commande az ad user show, en passant l’adresse e-mail de l’utilisateur dans le paramètre --id :

  az ad user show --id <email-address-of-user>
  

Attribuer la politique d’accès

Utilisez la commande az key vault set-policy pour attribuer les autorisations souhaitées :

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Remplacez <object-id> par l’ID objet de votre principal de sécurité.

Vous avez uniquement besoin d’inclure --secret-permissions, --key-permissionset --certificate-permissions lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation de la commande az keyvault set-policy.

Azure PowerShell

Pour plus d’informations sur la création de groupes dans Microsoft Entra ID à l’aide d’Azure PowerShell, consultez new-AzADGroup et Add-AzADGroupMember.

Configurer PowerShell et se connecter

1. Pour exécuter des commandes localement, installez Azure PowerShell si ce n’est déjà fait.

   Pour exécuter des commandes directement dans le cloud, utilisez le service Azure Cloud Shell.

2. PowerShell local uniquement :

   1. Installez le module Azure Active Directory PowerShell.

   2. Connectez-vous à Azure :

      Connect-AzAccount
      

Acquérir l’ID d’objet

Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :

• Applications et autres principaux de service : utilisez la cmdlet Get-AzADServicePrincipal avec le paramètre -SearchString pour filtrer les résultats sur le nom du principal de service souhaité :

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Groupes : utilisez la cmdlet Get-AzADGroup avec le paramètre -SearchString pour filtrer les résultats sur le nom du groupe souhaité :

  Get-AzADGroup -SearchString <search-string>
  

  Dans la sortie, l’ID d’objet est indiqué en tant que Id.

• Utilisateurs : utilisez la cmdlet Get-AzADUser, en transmettant l’adresse e-mail de l’utilisateur au paramètre -UserPrincipalName.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  Dans la sortie, l’ID d’objet est indiqué en tant que Id.

Attribuer la stratégie d’accès

Utilisez la cmdlet Set-AzKeyVaultAccessPolicy pour attribuer la stratégie d’accès :

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

Vous avez uniquement besoin d’inclure -PermissionsToSecrets, -PermissionsToKeyset -PermissionsToCertificates lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation Set-AzKeyVaultAccessPolicy – Paramètres.

Étapes suivantes

• Sécurité d’Azure Key Vault
• Guide du développeur Azure Key Vault