Configurer Key Vault pour des machines virtuelles à l’aide d’Azure PowerShell

  • Article

S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles

Notes

Azure dispose de deux modèles de déploiement différents grâce auxquels vous pouvez créer et utiliser des ressources : Azure Resource Manager et Classic. Cet article traite de l’utilisation du modèle de déploiement de Resource Manager. Nous vous recommandons le modèle de déploiement Resource Manager pour les nouveaux déploiements, plutôt que le modèle de déploiement classique.

Dans la pile Azure Resource Manager, les secrets/certificats sont modélisés en tant que ressources fournies par le fournisseur de ressources de Key Vault. Pour en savoir plus sur les coffres de clés, consultez Qu’est-ce qu’Azure Key Vault ?

Notes

  1. Pour que Key Vault puisse être utilisé avec des machines virtuelles Azure Resource Manager, la propriété EnabledForDeployment doit être définie sur true dans Key Vault. Vous pouvez le faire dans différents clients.
  2. Le coffre de clés doit être créé dans le même abonnement et le même emplacement que la machine virtuelle.

Utilisation de PowerShell pour configurer Key Vault

Pour créer un coffre de clés à l’aide de PowerShell, voir Définir et récupérer un secret depuis Azure Key Vault à l’aide de PowerShell.

Pour de nouveaux coffres de clé, vous pouvez utiliser l’applet de commande PowerShell suivante :

New-AzKeyVault -VaultName 'ContosoKeyVault' -ResourceGroupName 'ContosoResourceGroup' -Location 'East Asia' -EnabledForDeployment

Pour des coffres de clé existants, vous pouvez utiliser l’applet de commande PowerShell suivante :

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoKeyVault' -EnabledForDeployment

Utilisation de l’interface de ligne de commande pour configurer Key Vault

Pour créer un coffre de clés à l’aide de l’interface de ligne de commande (CLI), consultez la rubrique Gestion de Key Vault à l’aide de l’interface de ligne de commande (CLI).

Pour l’interface de ligne de commande, vous devez créer d’abord le coffre de clés avant d’affecter la stratégie de déploiement. Pour ce faire, vous pouvez utiliser la commande suivante :

az keyvault create --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --location "EastAsia"

Puis, pour activer Key Vault dans le cadre du déploiement de modèle, exécutez la commande suivante :

az keyvault update --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"

Utilisation de modèles pour configurer Key Vault

Quand vous utilisez un modèle, vous devez définir la propriété enabledForDeployment sur true pour la ressource Key Vault.

{
  "type": "Microsoft.KeyVault/vaults",
  "name": "ContosoKeyVault",
  "apiVersion": "2015-06-01",
  "location": "<location-of-key-vault>",
  "properties": {
    "enabledForDeployment": "true",
    ....
    ....
  }
}

Pour les autres options que vous pouvez configurer lorsque vous créez un coffre de clés à l’aide de modèles, consultez la rubrique Création d’un coffre de clés.