Démarrage rapide : Créer un coffre de clés Azure à l’aide d’un modèle ARM

Azure Key Vault est un service cloud qui fournit un magasin sécurisé pour les secrets, tels que les clés, les mots de passe et les certificats. Ce guide de démarrage rapide se concentre sur le processus de déploiement d’un modèle de Azure Resource Manager (modèle ARM) pour créer un coffre de clés.

Un modèle Azure Resource Manager est un fichier JSON (JavaScript Object Notation) qui définit l’infrastructure et la configuration de votre projet. Le modèle utilise la syntaxe déclarative. Vous décrivez votre déploiement prévu sans écrire la séquence de commandes de programmation pour créer le déploiement.

Si votre environnement remplit les prérequis et que vous êtes déjà familiarisé avec l’utilisation des modèles ARM, sélectionnez le bouton Déployer sur Azure. Le modèle s’ouvre dans le portail Azure.

Prerequisites

Pour terminer cet article :

• Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Vérifier le modèle

Le modèle utilisé dans ce démarrage rapide est tiré des modèles de démarrage rapide Azure.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.42.1.51946",
      "templateHash": "5424899472990749957"
    }
  },
  "parameters": {
    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Specifies the name of the key vault."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Specifies the Azure location where the key vault should be created."
      }
    },
    "enabledForDeployment": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether Azure Virtual Machines are permitted to retrieve certificates stored as secrets from the key vault."
      }
    },
    "enabledForDiskEncryption": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether Azure Disk Encryption is permitted to retrieve secrets from the vault and unwrap keys."
      }
    },
    "enabledForTemplateDeployment": {
      "type": "bool",
      "defaultValue": false,
      "metadata": {
        "description": "Specifies whether Azure Resource Manager is permitted to retrieve secrets from the key vault."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "Specifies the Azure Active Directory tenant ID that should be used for authenticating requests to the key vault. Get it by using Get-AzSubscription cmdlet."
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "standard",
      "allowedValues": [
        "standard",
        "premium"
      ],
      "metadata": {
        "description": "Specifies whether the key vault is a standard vault or a premium vault."
      }
    },
    "secretName": {
      "type": "string",
      "metadata": {
        "description": "Specifies the name of the secret that you want to create."
      }
    },
    "secretValue": {
      "type": "securestring",
      "metadata": {
        "description": "Specifies the value of the secret that you want to create."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/vaults",
      "apiVersion": "2023-07-01",
      "name": "[parameters('keyVaultName')]",
      "location": "[parameters('location')]",
      "properties": {
        "enabledForDeployment": "[parameters('enabledForDeployment')]",
        "enabledForDiskEncryption": "[parameters('enabledForDiskEncryption')]",
        "enabledForTemplateDeployment": "[parameters('enabledForTemplateDeployment')]",
        "enableRbacAuthorization": true,
        "tenantId": "[parameters('tenantId')]",
        "enableSoftDelete": true,
        "softDeleteRetentionInDays": 90,
        "enablePurgeProtection": true,
        "sku": {
          "name": "[parameters('skuName')]",
          "family": "A"
        },
        "networkAcls": {
          "defaultAction": "Allow",
          "bypass": "AzureServices"
        }
      }
    },
    {
      "type": "Microsoft.KeyVault/vaults/secrets",
      "apiVersion": "2023-07-01",
      "name": "[format('{0}/{1}', parameters('keyVaultName'), parameters('secretName'))]",
      "properties": {
        "value": "[parameters('secretValue')]"
      },
      "dependsOn": [
        "[resourceId('Microsoft.KeyVault/vaults', parameters('keyVaultName'))]"
      ]
    }
  ],
  "outputs": {
    "location": {
      "type": "string",
      "value": "[parameters('location')]"
    },
    "name": {
      "type": "string",
      "value": "[parameters('keyVaultName')]"
    },
    "resourceGroupName": {
      "type": "string",
      "value": "[resourceGroup().name]"
    },
    "resourceId": {
      "type": "string",
      "value": "[resourceId('Microsoft.KeyVault/vaults', parameters('keyVaultName'))]"
    }
  }
}

Une seule ressource Azure est définie dans le modèle :

• Microsoft.KeyVault/vaults : créez un coffre de clés Azure. Le modèle active l’autorisation Azure RBAC (enableRbacAuthorization: true), la suppression réversible et la protection contre la purge.

Vous trouverez d’autres exemples de modèles Azure Key Vault dans les modèles de démarrage rapide Azure.

Déployer le modèle

1. Cliquez sur l’image ci-après pour vous connecter à Azure et ouvrir un modèle. Le modèle crée un coffre de clés.

   

2. Sélectionnez ou entrez les valeurs suivantes. Sauf s’il est spécifié, utilisez la valeur par défaut.

   • Abonnement : sélectionnez un abonnement Azure.
   • Groupe de ressources : sélectionnez Créer, entrez un nom unique pour le groupe de ressources, puis sélectionnez OK.
   • Région : sélectionnez un emplacement. Par exemple, USA Centre.
   • Nom du coffre : entrez un nom pour le coffre de clés, qui doit être globalement unique dans l’espace vault.azure.net de noms.
   • Nom de la référence SKU : sélectionnez standard ou Premium. La valeur par défaut est standard.

3. Sélectionnez Vérifier + créer, puis sélectionnez Créer. Une fois que le coffre de clés a été déployé avec succès, vous recevez une notification.

Vous pouvez également utiliser Azure PowerShell, le Azure CLI ou l’API REST pour déployer le modèle. Pour découvrir d’autres méthodes de déploiement, consultez Déployer des modèles.

Attribuer un rôle RBAC pour Key Vault

Le coffre de clés créé par ce modèle utilise Azure RBAC pour l’autorisation. Pour créer ou lire des clés, des secrets ou des certificats via le plan de données, vous devez vous attribuer un rôle approprié. Par exemple, pour gérer les secrets, attribuez-vous le rôle Key Vault Secret Officer :

CLI

echo "Enter your key vault name:" &&
read keyVaultName &&
az role assignment create --role "Key Vault Secrets Officer" \
    --assignee-object-id $(az ad signed-in-user show --query id -o tsv) \
    --scope $(az keyvault show --name $keyVaultName --query id -o tsv)

Powershell

$keyVaultName = Read-Host -Prompt "Enter your key vault name"
$kvId = (Get-AzKeyVault -VaultName $keyVaultName).ResourceId
$userId = (Get-AzADUser -SignedIn).Id
New-AzRoleAssignment -ObjectId $userId -RoleDefinitionName "Key Vault Secrets Officer" -Scope $kvId

Note

Pour les autres rôles intégrés, consultez Rôles intégrés Azure pour les opérations du plan de données de Key Vault. Les attributions de rôles peuvent prendre une minute ou deux pour se propager.

Vérifier les ressources déployées

Vous pouvez utiliser le portail Azure pour vérifier le coffre de clés ou utiliser le script Azure CLI ou Azure PowerShell suivant :

CLI

echo "Enter your key vault name:" &&
read keyVaultName &&
az keyvault show --name $keyVaultName

Powershell

$keyVaultName = Read-Host -Prompt "Enter your key vault name"
Get-AzKeyVault -VaultName $keyVaultName

Nettoyer les ressources

D’autres guides de démarrage rapide et didacticiels Key Vault s’appuient sur ce guide de démarrage rapide. Si vous prévoyez de continuer à travailler avec les guides de démarrage rapide et les didacticiels suivants, vous pourriez souhaiter conserver ces ressources. Si vous n’en avez plus besoin, supprimez le groupe de ressources. Ce faisant, vous supprimez le coffre de clés et les ressources associées.

CLI

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName

Powershell

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
Remove-AzResourceGroup -Name $resourceGroupName

Note

La suppression du groupe de ressources supprime également le coffre de clés, mais le coffre entre ensuite dans un état supprimé de manière réversible et reste récupérable pendant la période de rétention (90 jours par défaut). Le nom du coffre reste réservé globalement pendant cette période et, comme la protection contre la purge est activée, le coffre ne peut pas être purgé de manière anticipée. Pour les coffres de clés standard, les coffres supprimés de façon réversible n’entraînent pas de frais. Pour plus d’informations, consultez la vue d’ensemble de la suppression réversible dans Key Vault.

Modèles Resource Manager de coffre de clés supplémentaires

D’autres guides de démarrage rapide expliquent comment remplir un coffre de clés avec des secrets, des clés ou des certificats :

Secrets	Keys	Certificats
Démarrage rapide du modèle ARM Bicep : démarrage rapide Référence	Guide de démarrage rapide des modèles ARM Bicep : démarrage rapide Référence	Démarrage rapide des modèles ARM Démarrage rapide de Bicep

Vous pouvez trouver plus de modèles de Key Vault ici : Référence du gestionnaire de ressources de Key Vault.

Étapes suivantes

• Consultez une présentation d’Azure Key Vault.
• Passez en revue la vue d’ensemble de la sécurité Azure Key Vault.
• Découvrez Azure RBAC pour Key Vault.
• Authentifiez-vous auprès d’un coffre de clés.
• Azure Key Vault Guide du développeur.