Partager via


Attribuer une stratégie d’accès Key Vault (héritée)

Important

Lors de l’utilisation du modèle d’autorisation de stratégie d’accès, un utilisateur disposant du rôle Contributor, Key Vault Contributor ou de tout autre rôle qui inclut des autorisations Microsoft.KeyVault/vaults/write pour le plan de gestion du coffre de clés peut s’attribuer à lui-même l’accès au plan de données en définissant une stratégie d’accès Key Vault. Pour empêcher l’accès et la gestion non autorisés de vos coffres de clés, de vos clés, de vos secrets et de vos certificats, il est essentiel de limiter l’accès du rôle Contributeur aux coffres de clés sous le modèle d’autorisation de stratégie d’accès. Pour atténuer ce risque, nous vous recommandons d’utiliser le modèle d’autorisation Contrôle d’accès en fonction du rôle (RBAC), qui limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui permet une séparation claire entre les opérations de sécurité et les tâches d’administration. Pour plus d’informations, consultez le Guide de RBAC pour Key Vault et Présentation d’Azure RBAC.

Une stratégie d’accès Key Vault détermine si un principal de sécurité donné, à savoir un utilisateur, une application ou un groupe d’utilisateurs, peut effectuer différentes opérations sur des secrets, clés et certificats de Key Vault. Vous pouvez attribuer des stratégies d’accès à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

Le coffre de clés prend en charge jusqu’à 1024 entrées de stratégie d’accès, chaque entrée accordant un ensemble distinct d’autorisations à un principal de sécurité particulier. En raison de cette limitation, nous vous recommandons d’attribuer des stratégies d’accès, autant que possible, à des groupes d’utilisateurs plutôt qu’à des utilisateurs individuels. L’utilisation de groupes facilite grandement la gestion des autorisations pour plusieurs personnes au sein de votre organisation. Pour plus d’informations, consultez Gérer l’accès aux applications et aux ressources en utilisant des groupes Microsoft Entra.

Attribuer une stratégie d’accès

  1. Dans le portail Azure, accédez à la ressource Key Vault.

  2. Sélectionnez Stratégies d’accès, puis Créer :

    Sélectionner des stratégies d’accès, sélection d’Ajouter une attribution de rôle

  3. Sélectionnez les autorisations souhaitées sous Autorisations de clé, Autorisations de secret et Autorisations de certificat.

    Spécification des autorisations de stratégie d’accès

  4. Sous le volet de sélection Principal, entrez le nom de l’utilisateur, de l’application ou du principal de service dans le champ de recherche, puis sélectionnez le résultat approprié.

    Sélection du principal de sécurité pour la stratégie d’accès

    Si vous utilisez une identité managée pour l’application, recherchez et sélectionnez le nom de l’application (Pour plus d’informations sur les principaux de sécurité, consultez Authentification Key Vault.

  5. Passez en revue les modifications apportées à la stratégie d’accès et sélectionnez Créer pour enregistrer la stratégie d’accès.

    Ajout de la stratégie d’accès avec le principal de sécurité attribué

  6. De retour sur la page Stratégies d’accès, vérifiez que votre stratégie d’accès est listée.

    Enregistrement des changements de stratégie d’accès

Étapes suivantes