Configurer les paramètres de mise en réseau Azure Key Vault

Cet article vous fournit des conseils sur la configuration des paramètres de mise en réseau Azure Key Vault pour qu’ils fonctionnent avec d’autres applications et services Azure. Pour en savoir plus sur les différentes configurations de sécurité réseau en détail, consultez cette page.

Voici des instructions pas à pas pour configurer le pare-feu Key Vault et les réseaux virtuels à l’aide du portail Azure, d’Azure CLI et d’Azure PowerShell

Portail

1. Accédez au coffre de clés que vous souhaitez sécuriser.
2. Sélectionnez Mise en réseau, puis l’onglet Pare-feu et réseaux virtuels.
3. Sous Autoriser l’accès depuis, cliquez sur Réseaux sélectionnés.
4. Pour ajouter des réseaux virtuels existants à des règles de pare-feux et de réseau virtuel, sélectionnez + Ajouter des réseaux virtuels existants.
5. Dans le nouveau panneau qui s’ouvre, sélectionnez l’abonnement, les réseaux virtuels et les sous-réseaux que vous voulez autoriser à accéder à ce dépôt de clés. Si les réseaux virtuels et les sous-réseaux que vous sélectionnez n’ont pas de points de terminaison de service est activés, confirmez que vous voulez activer les points de terminaison de service, puis sélectionnez Activer. Jusqu’à 15 minutes peuvent être nécessaires pour que l’activation soit effective.
6. Sous Réseaux IP, ajoutez des plages d’adresses IPv4 en tapant des plages d’adresses IPv4 dans la notation CIDR (Routage inter-domaines sans classe) ou des adresses IP individuelles.
7. Si vous souhaitez autoriser les services Microsoft approuvés à contourner le pare-feu Key Vault, sélectionnez « Oui ». Pour obtenir la liste complète des services approuvés par Key Vault actuels, consultez le lien suivant. azure Key Vault Trusted Services
8. Cliquez sur Enregistrer.

Vous pouvez également ajouter de nouveaux réseaux virtuels et des sous-réseaux, puis activer des points de terminaison de service pour ceux-ci en sélectionnant + Ajouter un nouveau réseau virtuel. Puis suivez les invites.

Azure CLI

Voici comment configurer des pare-feu key Vault et des réseaux virtuels à l’aide d’Azure CLI

1. Installez Azure CLI et connectez-vous.

2. Répertorier les règles de réseau virtuel disponibles. Si vous n’avez pas défini de règles pour ce coffre de clés, la liste est vide.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Activez un point de terminaison de service pour Key Vault sur un réseau virtuel et un sous-réseau existants.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Ajoutez une règle de réseau pour un réseau virtuel et un sous-réseau.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Ajoutez une plage d’adresses IP à partir de laquelle autoriser le trafic.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Si ce coffre de clés doit être accessible par n'importe quel service approuvé, définissez bypass sur AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Activez les règles réseau en définissant l’action par défaut sur Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Remarque

Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure. Pour bien démarrer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.

Voici comment configurer des pare-feu Key Vault et des réseaux virtuels à l’aide de PowerShell :

1. Installez la dernière version d’Azure PowerShell et connectez-vous.

2. Répertorier les règles de réseau virtuel disponibles. Si vous n’avez pas défini de règles pour ce coffre de clés, la liste est vide.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Activez le point de terminaison de service pour Key Vault sur un réseau virtuel et un sous-réseau existants.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Ajoutez une règle de réseau pour un réseau virtuel et un sous-réseau.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Ajoutez une plage d’adresses IP à partir de laquelle autoriser le trafic.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Si ce coffre de clés doit être accessible par n'importe quel service approuvé, définissez bypass sur AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Activez les règles réseau en définissant l’action par défaut sur Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Références

• Informations de référence sur les modèles ARM : Informations de référence sur les modèles ARM pour Azure Key Vault
• Commandes Azure CLI : az keyvault network-rule
• Applets de commande Azure PowerShell : Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Étapes suivantes

• Points de terminaison de service de réseau virtuel pour Azure Key Vault
• Présentation de la sécurité Azure Key Vault