Configurer les paramètres de mise en réseau Azure Key Vault

Cet article vous fournit des conseils sur la façon de configurer les paramètres de mise en réseau Azure Key Vault pour qu’ils fonctionnent avec d’autres applications et services Azure. Pour en savoir plus sur les différentes configurations de sécurité réseau, consultez cette page.

Voici les instructions pas à pas pour configurer le pare-feu et les réseaux virtuels Key Vault à l’aide du portail Azure, d’Azure CLI et d’Azure PowerShell

Portail

1. Accédez au coffre de clés que vous voulez sécuriser.
2. Sélectionnez Mise en réseau, puis l’onglet Pare-feu et réseaux virtuels.
3. Sous Autoriser l’accès depuis, cliquez sur Réseaux sélectionnés.
4. Pour ajouter des réseaux virtuels existants à des règles de pare-feux et de réseau virtuel, sélectionnez + Ajouter des réseaux virtuels existants.
5. Dans le nouveau panneau qui s’ouvre, sélectionnez l’abonnement, les réseaux virtuels et les sous-réseaux que vous voulez autoriser à accéder à ce coffre de clés. Si les réseaux virtuels et les sous-réseaux que vous sélectionnez n’ont pas de points de terminaison de service est activés, confirmez que vous voulez activer les points de terminaison de service, puis sélectionnez Activer. Jusqu’à 15 minutes peuvent être nécessaires pour que l’activation soit effective.
6. Sous Réseaux IP, ajoutez des plages d’adresses IPv4 en utilisant la notation CIDR (Classless Inter-domain Routing) ou en entrant des adresses IP individuelles.
7. Si vous souhaitez autoriser les services Microsoft approuvés à contourner le pare-feu Key Vault, sélectionnez « Oui ». Pour obtenir la liste complète des services approuvés par Key Vault actuels, consultez le lien suivant. Services approuvés par Azure Key Vault
8. Sélectionnez Enregistrer.

Vous pouvez également ajouter de nouveaux réseaux virtuels et des sous-réseaux, puis activer des points de terminaison de service pour ceux-ci en sélectionnant + Ajouter un nouveau réseau virtuel. Puis suivez les invites.

Azure CLI

Voici comment configurer les pare-feux et les réseaux virtuels de Key Vault avec Azure CLI

1. Installez Azure CLI et connectez-vous.

2. Listez les règles de réseau virtuel disponibles. Si vous n’avez pas défini de règles pour ce coffre de clés, la liste est vide.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Activez un point de terminaison de service pour Key Vault sur un réseau virtuel et un sous-réseau existants.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Ajoutez une règle de réseau pour un réseau virtuel et un sous-réseau.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Ajoutez une plage d’adresses IP à partir de laquelle autoriser le trafic.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Si ce coffre de clés doit être accessible à tous les services approuvés, définissez bypass sur AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Activez les règles de réseau en définissant l’action par défaut sur Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Notes

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Voici comment configurer les pare-feux et les réseaux virtuels Key Vault avec PowerShell :

1. Installez la dernière version d’Azure PowerShell et connectez-vous.

2. Listez les règles de réseau virtuel disponibles. Si vous n’avez pas défini de règles pour ce coffre de clés, la liste est vide.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Activez un point de terminaison de service pour Azure Key Vault sur un réseau virtuel et un sous-réseau existants.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Ajoutez une règle de réseau pour un réseau virtuel et un sous-réseau.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Ajoutez une plage d’adresses IP à partir de laquelle autoriser le trafic.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Si ce coffre de clés doit être accessible à tous les services approuvés, définissez bypass sur AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Activez les règles de réseau en définissant l’action par défaut sur Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

References

• Informations de référence sur les modèles ARM : Informations de référence sur les modèles ARM pour Azure Key Vault
• Commandes Azure CLI : az keyvault network-rule
• Applets de commande Azure PowerShell : Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Étapes suivantes

• Points de terminaison de service de réseau virtuel pour Azure Key Vault
• Présentation de la sécurité Azure Key Vault