Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Warning
Pour améliorer la sécurité, utilisez le modèle de Contrôle d’Accès Basé sur les Rôles (RBAC) au lieu des politiques d'accès lors de la gestion d’Azure Key Vault. RBAC limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui garantit une séparation claire entre les tâches de sécurité et d’administration. Pour plus d’informations, consultez Qu’est-ce qu’Azure RBAC ? et le Guide RBAC key Vault.
Avec le modèle d'autorisation de stratégie d'accès, les utilisateurs disposant du rôle Contributor, Key Vault Contributor, ou de tout autre rôle incluant des autorisations Microsoft.KeyVault/vaults/write peuvent s'accorder un accès au plan de données en configurant une stratégie d'accès Key Vault. Cela peut entraîner un accès et une gestion non autorisés de vos coffres de clés, clés, secrets et certificats. Pour réduire ce risque, limitez l’accès du rôle Contributeur aux coffres de clés lorsque vous utilisez le modèle de stratégie d’accès.
Azure Key Vault propose deux systèmes d'autorisation : le contrôle d’accès en fonction du rôle (Azure RBAC), qui fonctionne sur les plans de contrôle et de données d'Azure, et le modèle de politique d'accès, qui fonctionne uniquement sur le plan de données.
Azure RBAC est basé sur Azure Resource Manager et offre une gestion centralisée des accès des ressources Azure. Avec Azure RBAC, vous contrôlez l’accès aux ressources en créant des attributions de rôles, qui se composent de trois éléments : un principal de sécurité, une définition de rôle (jeu d’autorisations prédéfini) et une étendue (groupe de ressources ou ressource individuelle).
Le modèle de stratégie d’accès est un système d’autorisation hérité, natif à Azure Key Vault, qui fournit l’accès aux clés, aux secrets et aux certificats. Vous pouvez contrôler l'accès en attribuant des autorisations individuelles aux principaux de sécurité (utilisateurs, groupes, principal de service et identités gérées) au niveau de l'étendue d’Azure Key Vault.
Suggestion concernant le contrôle d’accès du plan de données
Azure RBAC est le système d’autorisation recommandé pour le plan de données Azure Key Vault. Ceci offre plusieurs avantages par rapport aux politiques d'accès d’Azure Key Vault :
- Azure RBAC fournit un modèle de contrôle d’accès unifié pour les ressources Azure : les mêmes API sont utilisées dans tous les services Azure.
- La gestion des accès est centralisée, offrant aux administrateurs une vue cohérente de l’accès accordé aux ressources Azure.
- Le droit d’accorder l’accès aux clés, aux secrets et aux certificats est mieux contrôlé, ce qui nécessite l’appartenance au rôle Propriétaire ou Administrateur de l’accès utilisateur.
- Azure RBAC est intégré à Privileged Identity Management, ce qui garantit que les droits d’accès privilégié sont limités dans le temps et expirent automatiquement.
- L’accès des principaux de sécurité peut exclure une ou plusieurs étendues données avec l’utilisation de Refuser des attributions.
Pour passer le contrôle d’accès de votre plan de données Key Vault des politiques d’accès à Azure RBAC, consultez Migration vers Azure RBAC depuis les politiques d’accès.