Intégrer Key Vault avec Azure Private Link

Le service Azure Private Link vous permet d’accéder aux services Azure (par exemple, Azure Key Vault, Stockage Azure et Azure Cosmos DB) ainsi qu’aux services de partenaires ou de clients hébergés par Azure via un point de terminaison privé de votre réseau virtuel.

Un point de terminaison privé Azure est une interface réseau qui vous connecte de façon privée et sécurisée à un service basé sur la technologie Azure Private Link. Le point de terminaison privé utilise une adresse IP privée de votre réseau virtuel, plaçant de fait le service dans votre réseau virtuel. Sachant que l’ensemble du trafic à destination du service peut être routé via le point de terminaison privé, il n’y a aucun besoin de passerelles, d’appareils NAT, de connexions ExpressRoute ou VPN ou d’adresses IP publiques. Le trafic entre votre réseau virtuel et le service transite par le réseau principal de Microsoft, éliminant ainsi toute exposition à l’Internet public. Vous pouvez vous connecter à une instance d’une ressource Azure, ce qui vous donne le plus haut niveau de granularité en matière de contrôle d’accès.

Pour plus d’informations, consultez Qu’est-ce qu’Azure Private Link ?

Prérequis

Pour intégrer un coffre de clés à Azure Private Link, vous devez :

  • Un coffre de clés.
  • Un réseau virtuel Azure.
  • Un sous-réseau dans le réseau virtuel.
  • Des autorisations de propriétaire ou de contributeur à la fois pour le coffre de clés et le réseau virtuel.

Votre point de terminaison privé et votre réseau virtuel doivent se trouver dans la même région. Au moment de sélectionner la région du point de terminaison privé sur le portail, les réseaux virtuels qui se trouvent dans cette région sont filtrés automatiquement. Votre coffre de clés peut se trouver dans une autre région.

Votre point de terminaison privé utilise une adresse IP privée de votre réseau virtuel.

Tout d’abord, créez un réseau virtuel en suivant les étapes décrites dans Créer un réseau virtuel à partir du portail Azure.

Vous pouvez ensuite soit créer un coffre de clés, soit établir une connexion de liaison privée avec un coffre de clés existant.

Vous pouvez créer un coffre de clés avec le portail Azure, l’interface Azure CLI ou Azure PowerShell.

Après avoir configuré les éléments de base du coffre de clés, sélectionnez l’onglet Mise en réseau et suivez ces étapes :

  1. Désactivez l’accès public en décochant la case d’option correspondante.

  2. Cliquez sur le bouton « + Créer un point de terminaison privé » pour ajouter un point de terminaison privé.

    Capture d’écran montrant l’onglet « Mise en réseau » de la page « Créer un coffre de clés »

  3. Dans le champ « Région » du panneau Créer un point de terminaison privé, sélectionnez la région dans laquelle se trouve votre réseau virtuel.

  4. Dans le champ « Nom », créez un nom descriptif qui vous permettra d’identifier ce point de terminaison privé.

  5. Dans le menu déroulant, sélectionnez le réseau virtuel et le sous-réseau dans lesquels vous souhaitez que ce point de terminaison privé soit créé.

  6. Laissez l’option « intégrer à la zone DNS privée » inchangée.

  7. Sélectionnez « OK ».

    Capture d’écran montrant la page « Créer un point de terminaison privé » avec les paramètres sélectionnés.

Vous pouvez maintenant voir le point de terminaison privé configuré. Vous pouvez maintenant supprimer et modifier ce point de terminaison privé. Sélectionnez le bouton « Vérifier + créer » et créez le coffre de clés. Le déploiement prend entre 5 et 10 minutes.

Si vous disposez déjà d’un coffre de clés, vous pouvez créer une connexion de liaison privée en suivant ces étapes :

  1. Connectez-vous au portail Azure.

  2. Dans la barre de recherche, tapez « coffres de clés ».

  3. Dans la liste, sélectionnez le coffre de clés auquel vous voulez ajouter un point de terminaison privé.

  4. Sélectionnez l’onglet « Mise en réseau » en dessous de Paramètres.

  5. Sélectionnez l’onglet « Connexions des points de terminaison privés » en haut de la page.

  6. Sélectionnez le bouton « + Créer » en haut de la page.

    Capture d’écran montrant le bouton « + Point de terminaison privé » dans la page « Réseau ».Capture d'écran montrant l’onglet « Bases » dans la page « Créer un point de terminaison privé (préversion) ».

  7. Sous « Détails du projet », sélectionnez le groupe de ressources qui contient le réseau virtuel que vous avez créé comme prérequis pour ce didacticiel. Sous « Détails de l’instance », entrez « myPrivateEndpoint » comme nom, puis sélectionnez le même emplacement que le réseau virtuel que vous avez créé comme prérequis pour ce didacticiel.

    Vous pouvez choisir de créer un point de terminaison privé pour n’importe quelle ressource Azure à l’aide de ce panneau. Vous pouvez soit utiliser les menus déroulants pour sélectionner un type de ressource et sélectionner une ressource dans votre annuaire, soit vous connecter à une ressource Azure en utilisant un ID de ressource. Laissez l’option « intégrer à la zone DNS privée » inchangée.

  8. Accédez au panneau « Ressources ». Pour « Type de ressource », sélectionnez « Microsoft.KeyVault/vaults » ; pour « Ressource », sélectionnez le coffre de clés que vous avez créé comme prérequis pour ce didacticiel. « Sous-ressource cible » est renseigné automatiquement avec « coffre ».

  9. Passez à la section « Réseau virtuel ». Sélectionnez le réseau virtuel et le sous-réseau que vous avez créés comme prérequis pour ce didacticiel.

  10. Parcourez les panneaux « DNS » et « Balises », en acceptant les valeurs par défaut.

  11. Dans le panneau « Vérifier + créer », sélectionnez « Créer ».

Quand vous créez un point de terminaison privé, la connexion doit être approuvée. Si la ressource pour laquelle vous créez un point de terminaison privé se trouve dans votre annuaire, vous pouvez approuver la demande de connexion à condition d’avoir les autorisations suffisantes. Si vous vous connectez à une ressource Azure située dans un autre annuaire, vous devez attendre que le propriétaire de cette ressource approuve votre demande de connexion.

Il existe quatre états de provisionnement :

Action de service État du point de terminaison privé de l’utilisateur du service Description
None Pending La connexion est créée manuellement et est en attente d’approbation du propriétaire de la ressource Private Link.
Approbation Approved La connexion a été approuvée automatiquement ou manuellement et est prête à être utilisée.
Rejeter Rejeté La connexion a été rejetée par le propriétaire de la ressource Private Link.
Supprimer Déconnecté La connexion a été supprimée par le propriétaire de la ressource Private Link, le point de terminaison privé devient donc informatif et doit être supprimé dans le cadre d’un nettoyage.

Comment gérer une connexion de point de terminaison privé à un coffre de clés à l’aide du portail Azure

  1. Connectez-vous au portail Azure.

  2. Dans la barre de recherche, tapez « coffres de clés ».

  3. Sélectionnez le coffre de clés que vous voulez gérer.

  4. Sélectionnez l’onglet « Mise en réseau ».

  5. Si une connexion est en attente, celle-ci présente l’état d’approvisionnement « En attente ».

  6. Sélectionnez le point de terminaison privé que vous souhaitez approuver.

  7. Sélectionnez le bouton Approuver.

  8. Si vous voulez rejeter une connexion de point de terminaison privé, qu’il s’agisse d’une demande en attente ou d’une connexion existante, sélectionnez la connexion et le bouton « Rejeter ».

    Image

Vous devez vérifier que les ressources contenues dans le sous-réseau de la ressource de point de terminaison privé se connectent à votre coffre de clés via une adresse IP privée, et qu’elles sont intégrées à la zone DNS privée appropriée.

Commencez par créer une machine virtuelle en suivant les étapes décrites dans Créer une machine virtuelle Windows sur le portail Azure.

Sous l’onglet « Mise en réseau » :

  1. Spécifiez un réseau virtuel et un sous-réseau. Vous pouvez créer un nouveau réseau virtuel ou en utiliser un existant. Si vous en sélectionnez un existant, veillez à ce que la région corresponde.
  2. Spécifiez une ressource IP publique.
  3. Dans « Groupe de sécurité réseau de la carte réseau », sélectionnez « Aucun ».
  4. Dans « Équilibrage de charge », sélectionnez « Non ».

Ouvrez la ligne de commande et exécutez la commande suivante :

nslookup <your-key-vault-name>.vault.azure.net

Si vous exécutez la commande ns lookup pour résoudre l’adresse IP d’un coffre de clés via un point de terminaison public, vous obtiendrez un résultat semblable à ceci :

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Si vous exécutez la commande ns lookup pour résoudre l’adresse IP d’un coffre de clés via un point de terminaison privé, vous obtiendrez un résultat semblable à ceci :

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Guide de résolution des problèmes

  • Vérifiez que le point de terminaison privé est dans l’état Approuvé.

    1. Vous pouvez vérifier et corriger cela dans le portail Azure. Ouvrez la ressource Key Vault, puis sélectionnez l’option Réseau.
    2. Sélectionnez ensuite l’onglet Connexions de point de terminaison privé.
    3. Vérifiez que l’état de la connexion est Approuvé et que l’état de provisionnement est Réussite.
    4. Vous pouvez également accéder à la ressource de point de terminaison privé et y examiner les mêmes propriétés, et vérifier que le réseau virtuel correspond à celui que vous utilisez.
  • Vérifiez que vous disposez d’une ressource de zone DNS privée.

    1. Vous devez avoir d’une ressource de zone DNS privée avec ce nom exact : privatelink.vaultcore.azure.net.
    2. Pour savoir comment configurer cela, consultez le lien suivant. Zones DNS privées
  • Vérifiez que la zone DNS privée est liée au réseau virtuel. Ceci peut être le problème si vous continuez de recevoir l’adresse IP publique en retour.

    1. Si la zone DNS privée n’est pas liée au réseau virtuel, la requête DNS provenant du réseau virtuel renvoie l’adresse IP publique du coffre de clés.
    2. Accédez à la ressource de zone DNS privée dans le portail Azure et sélectionnez l’option Liaisons de réseau virtuel.
    3. Le réseau virtuel qui va effectuer les appels au coffre de clés doit être listé.
    4. Si ce n’est pas le cas, ajoutez-le.
    5. Pour obtenir des étapes détaillées, consultez le document suivant : Lier un réseau virtuel à une zone DNS privée
  • Vérifiez que la zone DNS privée contient bien un enregistrement A pour le coffre de clés.

    1. Accédez à la page Zone DNS privée.
    2. Sélectionnez Vue d’ensemble et vérifiez s’il existe un enregistrement A avec le nom simple de votre coffre de clés (par exemple fabrikam). Ne spécifiez aucun suffixe.
    3. Vérifiez bien l’orthographe, puis créez ou corrigez l’enregistrement A. Vous pouvez utiliser une durée de vie de 600 (10 minutes).
    4. Veillez à spécifier l’adresse IP privée correcte.
  • Vérifiez que l’enregistrement a l’adresse IP correcte.

    1. Vous pouvez confirmer l’adresse IP en ouvrant la ressource de point de terminaison privé dans le portail Azure.
    2. Accédez à la ressource Microsoft.Network/privateEndpoints dans le portail Azure (et non pas à la ressource Key Vault).
    3. Dans la page de présentation, recherchez Interface réseau et sélectionnez cette liaison.
    4. Le lien montre la vue d’ensemble de la ressource de carte réseau, qui contient la propriété Adresse IP privée.
    5. Vérifiez qu’il s’agit de l’adresse IP correcte spécifiée dans l’enregistrement A.
  • Si vous vous connectez à un coffre de clés à partir d’une ressource locale, vérifiez que tous les redirecteurs conditionnels nécessaires dans l’environnement local sont activés.

    1. Passez en revue la configuration DNS du point de terminaison privé Azure pour connaître les zones nécessaires, et vérifiez que vous disposez de redirecteurs conditionnels pour vault.azure.net et vaultcore.azure.net sur votre DNS local.
    2. Vérifiez que vous avez des redirecteurs conditionnels pour les zones qui routent le trafic vers un utilitaire de résolution de DNS privé Azure ou une autre plateforme DNS ayant accès à la résolution Azure.

Limitations et remarques sur la conception

Limites : consultez Limites d’Azure Private Link

Tarification : Voir Tarification d’Azure Private Link.

Limites : consultez Service Azure Private Link : Limites

Étapes suivantes