Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Questions fréquentes
Je ne parviens pas à répertorier ou à obtenir des secrets/clés/certificats. J’ai vu une erreur « quelque chose est survenu »
Si vous rencontrez un problème avec la description/l’obtention/la création ou l’accès au secret, vérifiez que vous disposez d’une stratégie d’accès définie pour effectuer cette opération : Stratégies d’accès Key Vault
Comment faire pour identifier le mode et le moment d’accès aux coffres de clés ?
Après avoir créé un ou plusieurs coffres de clés, vous souhaiterez probablement surveiller comment et quand vos coffres de clés sont accessibles et par qui. Vous pouvez effectuer une surveillance en activant la journalisation pour Azure Key Vault, pour obtenir un guide pas à pas pour activer la journalisation, en savoir plus.
Comment faire pour surveiller la disponibilité du coffre, les périodes de latence du service ou d’autres métriques de performances pour le coffre de clés ?
Plus votre service se développera, plus le nombre de demandes envoyées à votre coffre de clés augmentera. Cette demande peut augmenter la latence de vos demandes et, dans des cas extrêmes, entraîner la limitation de vos demandes, ce qui dégradera les performances de votre service. Vous pouvez surveiller les métriques de performances du coffre de clés et recevoir des alertes pour des seuils spécifiques. Pour en savoir plus sur la configuration de la surveillance, consultez ce guide pas à pas.
Je ne parviens pas à modifier la stratégie d’accès, comment puis-elle être activée ?
L’utilisateur doit disposer des autorisations Microsoft Entra suffisantes pour modifier la stratégie d’accès. Dans ce cas, l’utilisateur doit avoir un rôle contributeur plus élevé.
L’erreur « Stratégie inconnue » s’affiche. Qu'est-ce que cela signifie ?
Il existe deux raisons pour lesquelles vous pouvez voir une stratégie d’accès dans la section Inconnu :
- Un utilisateur précédent avait accès, mais cet utilisateur n’existe plus.
- La stratégie d’accès a été ajoutée via PowerShell avec objectid de l’application au lieu du principal de service.
Comment puis-je affecter le contrôle d’accès par objet key vault ?
L’attribution de rôles sur des clés, des secrets et des certificats individuels doit être évitée. Exceptions aux conseils généraux :
Scénarios où des secrets individuels doivent être partagés entre plusieurs applications, par exemple, une application doit accéder aux données de l’autre application
Comment faire pour fournir une authentification auprès du coffre de clés à l’aide d’une stratégie de contrôle d’accès ?
La façon la plus simple d’authentifier une application cloud auprès de Key Vault est avec une identité managée ; consultez S’authentifier auprès d’Azure Key Vault pour plus d’informations. Si vous créez une application locale, effectuez un développement local ou si vous ne parvenez pas à utiliser une identité managée, vous pouvez inscrire manuellement un principal de service et fournir un accès à votre coffre de clés à l’aide d’une stratégie de contrôle d’accès. Consultez Affecter une stratégie de contrôle d’accès.
Comment puis-je autoriser le groupe AD à accéder au coffre de clés ?
Accordez les autorisations de groupe AD à votre coffre de clés à l’aide de la commande Azure CLI az keyvault set-policy ou de l’applet de commande Azure PowerShell Set-AzKeyVaultAccessPolicy. Consultez Affecter une stratégie d’accès - CLI et Attribuer une stratégie d’accès - PowerShell.
L’application nécessite également qu’au moins un rôle IAM (gestion des identités et des accès) soit assigné au coffre de clés. Sinon, elle ne peut ni se connecter ni accéder à l’abonnement en raison de droits insuffisants. Les groupes Microsoft Entra avec des identités managées peuvent nécessiter de nombreuses heures pour actualiser les jetons et devenir efficaces. Voir Limitation de l’utilisation d’identités managées pour l’autorisation
Comment redéployer Key Vault avec un modèle ARM sans supprimer des stratégies d’accès existantes ?
Actuellement, un redéploiement Key Vault a pour effet de supprimer toutes les stratégies d’accès de Key Vault et de les remplacer par une stratégie d’accès dans un modèle ARM. Il n’existe aucune option incrémentielle pour les stratégies d’accès Key Vault. Pour conserver les stratégies d’accès dans Key Vault, vous devez lire les stratégies d’accès existantes dans Key Vault et remplir le modèle ARM avec ces stratégies pour éviter toute panne d’accès.
Une autre option qui peut vous aider pour ce scénario consiste à utiliser azure RBAC et les rôles comme alternative aux stratégies d’accès. Avec le contrôle RBAC Azure, vous pouvez redéployer le coffre de clés sans spécifier à nouveau la stratégie. Vous pouvez en savoir plus sur cette solution ici.
Étapes de dépannage recommandées pour les types d’erreurs suivants
- HTTP 401 : Demande non authentifiée - Étapes de résolution des problèmes
- HTTP 403 : Autorisations insuffisantes - Étapes de résolution des problèmes
- HTTP 429 : Trop de requêtes - Étapes de résolution des problèmes
- Vérifiez si vous avez supprimé l’autorisation d’accès au coffre de clés : consultez Affecter une stratégie d’accès - CLI, Attribuer une stratégie d’accès - PowerShell ou Attribuer une stratégie d’accès - Portail.
- Si vous rencontrez un problème pour l’authentification au coffre de clés lors de la programmation, utilisez le SDK d’authentification.
Quelles sont les meilleures pratiques à implémenter lorsque le coffre de clés est limité ?
Suivez les meilleures pratiques, documentées ici
Étapes suivantes
Découvrez comment résoudre les erreurs d’authentification du coffre de clés : Guide de résolution des problèmes de Key Vault.