Attribuer une stratégie d’accès Key Vault (héritée)
Article
Important
Lors de l’utilisation du modèle d’autorisation de stratégie d’accès, un utilisateur disposant du rôle Contributor, Key Vault Contributor ou de tout autre rôle qui inclut des autorisations Microsoft.KeyVault/vaults/write pour le plan de gestion du coffre de clés peut s’attribuer à lui-même l’accès au plan de données en définissant une stratégie d’accès Key Vault. Pour empêcher l’accès et la gestion non autorisés de vos coffres de clés, de vos clés, de vos secrets et de vos certificats, il est essentiel de limiter l’accès du rôle Contributeur aux coffres de clés sous le modèle d’autorisation de stratégie d’accès. Pour atténuer ce risque, nous vous recommandons d’utiliser le modèle d’autorisation Contrôle d’accès en fonction du rôle (RBAC), qui limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui permet une séparation claire entre les opérations de sécurité et les tâches d’administration. Pour plus d’informations, consultez le Guide de RBAC pour Key Vault et Présentation d’Azure RBAC.
Une stratégie d’accès Key Vault détermine si un principal de sécurité donné, à savoir un utilisateur, une application ou un groupe d’utilisateurs, peut effectuer différentes opérations sur des secrets, clés et certificats de Key Vault. Vous pouvez attribuer des stratégies d’accès à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.
Le coffre de clés prend en charge jusqu’à 1024 entrées de stratégie d’accès, chaque entrée accordant un ensemble distinct d’autorisations à un principal de sécurité particulier. En raison de cette limitation, nous vous recommandons d’attribuer des stratégies d’accès, autant que possible, à des groupes d’utilisateurs plutôt qu’à des utilisateurs individuels. L’utilisation de groupes facilite grandement la gestion des autorisations pour plusieurs personnes au sein de votre organisation. Pour plus d’informations, consultez Gérer l’accès aux applications et aux ressources en utilisant des groupes Microsoft Entra.
Dans le portail Azure, accédez à la ressource Key Vault.
Sélectionnez Stratégies d’accès, puis Créer :
Sélectionnez les autorisations souhaitées sous Autorisations de clé, Autorisations de secret et Autorisations de certificat.
Sous le volet de sélection Principal, entrez le nom de l’utilisateur, de l’application ou du principal de service dans le champ de recherche, puis sélectionnez le résultat approprié.
Si vous utilisez une identité managée pour l’application, recherchez et sélectionnez le nom de l’application (Pour plus d’informations sur les principaux de sécurité, consultez Authentification Key Vault.
Passez en revue les modifications apportées à la stratégie d’accès et sélectionnez Créer pour enregistrer la stratégie d’accès.
De retour sur la page Stratégies d’accès, vérifiez que votre stratégie d’accès est listée.
Pour exécuter des commandes Azure CLI localement, installez Azure CLI.
Pour exécuter des commandes directement dans le cloud, utilisez le service Azure Cloud Shell.
CLI locale uniquement : connectez-vous à Azure à l’aide de la commande az login :
az login
La commande az login ouvre une fenêtre de navigateur pour recueillir les informations d’identification si nécessaire.
Acquérir l’ID d’objet
Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :
Applications et autres principaux de service : utilisez la commande az ad sp list pour récupérer vos principaux de service. Examinez la sortie de la commande pour déterminer l’ID d’objet du principal de sécurité auquel vous souhaitez attribuer la stratégie d’accès.
az ad sp list --show-mine
Groupes : utilisez la commande az ad group list, en filtrant les résultats avec le paramètre --display-name :
az ad group list --display-name <search-string>
Utilisateurs : utilisez la commande az ad user show, en passant l’adresse e-mail de l’utilisateur dans le paramètre --id :
Remplacez <object-id> par l’ID objet de votre principal de sécurité.
Vous avez uniquement besoin d’inclure --secret-permissions, --key-permissionset --certificate-permissions lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation de la commande az keyvault set-policy.
Pour plus d’informations sur la création de groupes dans Microsoft Entra ID à l’aide d’Azure PowerShell, consultez new-AzADGroup et Add-AzADGroupMember.
Configurer PowerShell et se connecter
Pour exécuter des commandes localement, installez Azure PowerShell si ce n’est déjà fait.
Pour exécuter des commandes directement dans le cloud, utilisez Azure Cloud Shell.
Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :
Applications et autres principaux de service : utilisez la cmdlet Get-AzADServicePrincipal avec le paramètre -SearchString pour filtrer les résultats sur le nom du principal de service souhaité :
Vous avez uniquement besoin d’inclure -PermissionsToSecrets, -PermissionsToKeys et -PermissionsToCertificates lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation Set-AzKeyVaultAccessPolicy – Paramètres.