Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (2023)

  • Article

Note

Le fournisseur de ressources Key Vault prend en charge deux types de ressources :coffresetHSM gérés. Le contrôle d'accès décrit dans cet article ne s'applique qu'auxcoffres. Pour en savoir plus sur le contrôle d'accès pour les HSM gérés, consultezContrôle d'accès HSM géré.

Note

La configuration du certificat Azure App Service via le portail Azure ne prend pas en charge le modèle d'autorisation Key Vault RBAC. Vous pouvez utiliser les déploiements de modèles Azure PowerShell, Azure CLI, ARM avecUtilisateur de secrets de coffre de clésetLecteur de coffre à clésattributions de rôles pour l'identité globale « Microsoft Azure App Service ».

Le contrôle d'accès basé sur les rôles Azure (Azure RBAC) est un système d'autorisation basé surGestionnaire de ressources Azurequi fournit une gestion précise des accès aux ressources Azure.

Azure RBAC permet aux utilisateurs de gérer les autorisations de clé, de secrets et de certificats. Il fournit un emplacement unique pour gérer toutes les autorisations sur tous les coffres de clés.

Le modèle Azure RBAC permet aux utilisateurs de définir des autorisations à différents niveaux d'étendue : groupe de gestion, abonnement, groupe de ressources ou ressources individuelles. Azure RBAC pour le coffre de clés permet également aux utilisateurs d'avoir des autorisations distinctes sur des clés, des secrets et des certificats individuels

Pour plus d'informations, voirContrôle d'accès basé sur les rôles Azure (Azure RBAC).

Meilleures pratiques pour les attributions de rôles de clés, de secrets et de certificats individuels

Notre recommandation est d'utiliser un coffre-fort par application et par environnement (développement, pré-production et production).

Les autorisations de clés, de secrets et de certificats individuels ne doivent être utilisées que pour des scénarios spécifiques :

  • Partage de secrets individuels entre plusieurs applications, par exemple, une application doit accéder aux données de l'autre application

Pour en savoir plus sur les directives de gestion d'Azure Key Vault, consultez :

  • Meilleures pratiques Azure Key Vault
  • Limites du service Azure Key Vault

Rôles intégrés Azure pour les opérations de plan de données Key Vault

Note

LeContributeur de coffre de clésrôle est destiné aux opérations du plan de gestion pour gérer les coffres de clés. Il ne permet pas l'accès aux clés, secrets et certificats.

(Video) DEMO Azure Role Based Access Control - Azure RBAC DEMO step by step

Rôle intégréDescriptionIDENTIFIANT
Administrateur de coffre de clésEffectuez toutes les opérations de plan de données sur un coffre de clés et tous les objets qu'il contient, y compris les certificats, les clés et les secrets. Impossible de gérer les ressources du coffre de clés ou de gérer les attributions de rôles. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».00482a5a-887f-4fb3-b363-3b7fe8e74483
Officier des certificats Key VaultEffectuez n'importe quelle action sur les certificats d'un coffre de clés, à l'exception de la gestion des autorisations. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».a4417e6f-fecd-4de8-b567-7b0420556985
Agent de chiffrement Key VaultEffectuez n'importe quelle action sur les clés d'un coffre de clés, à l'exception de la gestion des autorisations. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Utilisateur de chiffrement du service de chiffrement Key VaultLire les métadonnées des clés et effectuer des opérations d'enveloppement/développement. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».e147488a-f6f5-4113-8e2d-b22465e65bf6
Utilisateur de chiffrement Key VaultEffectuez des opérations cryptographiques à l'aide de clés. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».12338af0-0e69-4776-bea7-57ae8d297424
Lecteur de coffre à clésLisez les métadonnées des coffres de clés et leurs certificats, clés et secrets. Impossible de lire les valeurs sensibles telles que le contenu secret ou le matériel de clé. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».21090545-7ca7-4776-b22c-e363652d74d2
Officier des secrets du coffre à clésEffectuez n'importe quelle action sur les secrets d'un coffre de clés, à l'exception de la gestion des autorisations. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Utilisateur de secrets de coffre de clésLire le contenu secret, y compris la partie secrète d'un certificat avec clé privée. Ne fonctionne que pour les coffres de clés qui utilisent le modèle d'autorisation « Azure role-based access control ».4633458b-17de-408a-b874-0445c86b69e6

Note

Il n'y a pasUtilisateur du certificat Key Vaultcar les applications nécessitent une partie secrète du certificat avec une clé privée. LeUtilisateur de secrets de coffre de clésLe rôle doit être utilisé pour que les applications récupèrent le certificat.

Pour plus d'informations sur les définitions de rôles intégrés Azure, consultezRôles intégrés Azure.

Utilisation des autorisations de secret, de clé et de certificat Azure RBAC avec Key Vault

Le nouveau modèle d'autorisation Azure RBAC pour le coffre de clés offre une alternative au modèle d'autorisations de stratégie d'accès au coffre.

See Also
Attribuer des rôles Azure à l'aide d'Azure PowerShell - Azure RBAC

Conditions préalables

Vous devez avoir un abonnement Azure. Si vous ne le faites pas, vous pouvez créer uncompte gratuitavant que tu commences.

Pour ajouter des attributions de rôles, vous devez avoirMicrosoft.Authorization/roleAssignments/writeetMicrosoft.Authorization/roleAssignments/deleteautorisations, telles queAdministrateur d'accès utilisateurouPropriétaire.

Activer les autorisations Azure RBAC sur Key Vault

Note

La modification du modèle d'autorisation nécessite l'autorisation « Microsoft.Authorization/roleAssignments/write », qui fait partie dePropriétaireetAdministrateur d'accès utilisateurles rôles. Les rôles d'administrateur d'abonnement classiques comme « Administrateur de service » et « Co-administrateur » ne sont pas pris en charge.

  1. Activez les autorisations Azure RBAC sur le nouveau coffre de clés :

    Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (1)

  2. Activez les autorisations Azure RBAC sur le coffre de clés existant :

    Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (2)

Important

La définition du modèle d'autorisation Azure RBAC invalide toutes les autorisations des stratégies d'accès. Cela peut entraîner des pannes lorsque des rôles Azure équivalents ne sont pas attribués.

Attribuer un rôle

Note

Il est recommandé d'utiliser l'ID de rôle unique au lieu du nom de rôle dans les scripts. Par conséquent, si un rôle est renommé, vos scripts continueront de fonctionner. Dans ce document, le nom de rôle est utilisé uniquement pour des raisons de lisibilité.

(Video) #77 Développer avec Azure KeyVault

Exécutez la commande suivante pour créer une attribution de rôle :

  • CLI Azure
  • Azure PowerShell
az role assignation create --role  --assignee  --scope

Pour tous les détails, voirAttribuer des rôles Azure à l'aide d'Azure CLI.

Pour attribuer des rôles à l'aide du portail Azure, consultezAttribuer des rôles Azure à l'aide du portail Azure. Dans le portail Azure, l'écran des attributions de rôles Azure est disponible pour toutes les ressources dans l'onglet Contrôle d'accès (IAM).

Attribution de rôle d'étendue de groupe de ressources

  1. Accédez au groupe de ressources qui contient votre coffre de clés.

    Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (3)

  2. SélectionnerContrôle d'accès (IAM).

  3. SélectionnerAjouter>Ajouter une attribution de rôlepour ouvrir la page Ajouter une attribution de rôle.

  4. Attribuez le rôle suivant. Pour les étapes détaillées, voirAttribuer des rôles Azure à l'aide du portail Azure.

    ParamètreValeur
    Rôle"Lecteur de coffre à clés"
    Attribuer l'accès àUtilisateur actuel
    MembresRechercher par adresse e-mail

    Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (4)

  • CLI Azure
  • Azure PowerShell
az role assignation create --role "Key Vault Reader" --assignee {c'est-à-dire user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}

Pour tous les détails, voirAttribuer des rôles Azure à l'aide d'Azure CLI.

L'attribution de rôle ci-dessus permet de répertorier les objets du coffre de clés dans le coffre de clés.

Attribution de rôle d'étendue Key Vault

  1. Accédez à Key Vault > onglet Contrôle d'accès (IAM)

  2. SélectionnerAjouter>Ajouter une attribution de rôlepour ouvrir la page Ajouter une attribution de rôle.

  3. Attribuez le rôle suivant. Pour les étapes détaillées, voirAttribuer des rôles Azure à l'aide du portail Azure.

    (Video) Azure Storage Account explained|Access Keys | Secure Access Signature | Data layer| Management Layer

    ParamètreValeur
    Rôle"Officier des secrets du coffre à clés"
    Attribuer l'accès àUtilisateur actuel
    MembresRechercher par adresse e-mail

    Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (5)

  • CLI Azure
  • Azure PowerShell
az role assignation create --role "Key Vault Secrets Officer" --assignee {c'est-à-dire jalichwa@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/ coffres/{key-vault-name}

Pour tous les détails, voirAttribuer des rôles Azure à l'aide d'Azure CLI.

Attribution de rôle de portée secrète

Note

Les attributions de rôle de secret de coffre de clés, de certificat et de portée de clé ne doivent être utilisées que pour les scénarios limités décritsicipour se conformer aux meilleures pratiques de sécurité.

  1. Ouvrez un secret créé précédemment.

  2. Cliquez sur l'onglet Contrôle d'accès (IAM)

    Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (6)

  3. SélectionnerAjouter>Ajouter une attribution de rôlepour ouvrir la page Ajouter une attribution de rôle.

  4. Attribuez le rôle suivant. Pour les étapes détaillées, voirAttribuer des rôles Azure à l'aide du portail Azure.

    ParamètreValeur
    Rôle"Officier des secrets du coffre à clés"
    Attribuer l'accès àUtilisateur actuel
    MembresRechercher par adresse e-mail

    Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (7)

  • CLI Azure
  • Azure PowerShell
az role assignation create --role "Key Vault Secrets Officer" --assignee {c'est-à-dire user@microsoft.com} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/ coffres/{key-vault-name}/secrets/RBACSecret

Pour tous les détails, voirAttribuer des rôles Azure à l'aide d'Azure CLI.

Tester et vérifier

Note

Les navigateurs utilisent la mise en cache et l'actualisation de la page est requise après la suppression des attributions de rôle.
Attendez quelques minutes pour que les attributions de rôle s'actualisent

  1. Validez l'ajout d'un nouveau secret sans le rôle "Key Vault Secrets Officer" au niveau du coffre de clés.

    (Video) Azure Key Vault DEMO Store VM Password in Azure Key Vault

    1. Accédez à l'onglet Contrôle d'accès au coffre de clés (IAM) et supprimez l'attribution du rôle « Key Vault Secrets Officer » pour cette ressource.

      Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (8)

    2. Accédez au secret créé précédemment. Vous pouvez voir toutes les propriétés secrètes.

      Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (9)

    3. Créer un nouveau secret (Secrets > + Générer/Importer) doit afficher cette erreur :

      Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (10)

  2. Validez la modification secrète sans le rôle "Key Vault Secret Officer" au niveau secret.

    1. Accédez à l'onglet Secret Access Control (IAM) créé précédemment et supprimez l'attribution du rôle « Key Vault Secrets Officer » pour cette ressource.

    2. Accédez au secret créé précédemment. Vous pouvez voir les propriétés secrètes.

      Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (11)

  3. Validez les secrets lus sans rôle de lecteur au niveau du coffre de clés.

    1. Accédez à l'onglet Contrôle d'accès (IAM) du groupe de ressources Key Vault et supprimez l'attribution du rôle « Key Vault Reader ».

    2. La navigation vers l'onglet "Secrets" du coffre de clés doit afficher cette erreur :

      Accorder l'autorisation aux applications d'accéder à un coffre de clés Azure à l'aide d'Azure RBAC (12)

Création de rôles personnalisés

commande de création de définition de rôle az

  • CLI Azure
  • Azure PowerShell
az role definition create --role-definition '{ \ "Name": "Opérateur de sauvegarde des clés", \ "Description": "Effectuer des opérations de sauvegarde/restauration de clé", \ "Actions": [ ], \ "DataActions": [ \ "Microsoft.KeyVault/vaults/keys/read ", \ "Microsoft.KeyVault/vaults/keys/backup/action", \ "Microsoft.KeyVault/vaults/keys/restore/action" \ ], \ "NotDataActions": [ ], \ "AssignableScopes": ["/subscriptions/{subscriptionId}"] \}'

Pour plus d'informations sur la création de rôles personnalisés, consultez :

Rôles personnalisés Azure

(Video) Azure Role Based Access Control - Azure RBAC Overview

Limites et performances connues

  • Le plan de données Key Vault RBAC n'est pas pris en charge dans les scénarios multilocataires comme avec Azure Lighthouse
  • 4 000 attributions de rôles Azure par abonnement
  • Latence des attributions de rôle : aux performances actuellement attendues, il faudra jusqu'à 10 minutes (600 secondes) après la modification des attributions de rôle pour que le rôle soit appliqué

Questions fréquemment posées:

Puis-je utiliser les attributions de portée d'objet du modèle d'autorisation de contrôle d'accès basé sur les rôles (RBAC) de Key Vault pour isoler les équipes d'application au sein de Key Vault ?

Non. Le modèle d'autorisation RBAC vous permet d'attribuer l'accès à des objets individuels dans Key Vault à un utilisateur ou à une application, mais toutes les opérations administratives telles que le contrôle d'accès au réseau, la surveillance et la gestion des objets nécessitent des autorisations au niveau du coffre, qui exposeront ensuite des informations sécurisées aux opérateurs à travers l'application. équipes.

Apprendre encore plus

  • Présentation d'Azure RBAC
  • Attribuer des rôles Azure à l'aide du portail Azure
  • Tutoriel sur les rôles personnalisés
  • Meilleures pratiques Azure Key Vault

FAQs

How do I manage RBAC in Azure? ›

In Azure RBAC, to grant access, you assign an Azure role. In the list of Resource groups, open the new example-group resource group. In the navigation menu, click Access control (IAM). Click the Role assignments tab to see the current list of role assignments.

Explore More
What is Azure AD RBAC for applications? ›

Azure AD allows you to define app roles for your application and assign those roles to users and other applications. The roles you assign to a user or application define their level of access to the resources and operations in your application.

Tell Me More
Does Azure AD support authorization through RBAC? ›

Azure AD allows you to use Azure role-based access control (Azure RBAC) to grant permissions to a security principal. A security principal may be a user, a managed identity or an application service principal.

View More
How do I check my RBAC roles in Azure? ›

Azure portal
  1. In the Azure portal, click All services and then select any scope. ...
  2. Click the specific resource.
  3. Click Access control (IAM).
  4. Click the Roles tab to see a list of all the built-in and custom roles.
  5. To see the permissions for a particular role, in the Details column, click the View link.
Mar 28, 2023

Read More

Videos

1. Azure Developer Associate (AZ-204) — Full Course Pass the Exam!
(freeCodeCamp.org)
2. Une (brève) introduction à Azure Key Vault (avril 2021)
(Stanislas Quastana - Pro)
3. Webinar - La cybersécurité embarquée dans Microsoft Azure
(Dynamips)
4. OPS101 Securing your Hybrid environment - Part 1 - Azure Security Center
(ITOpsTalk)
5. OPS121 Modernize how you manage hybrid servers with Azure Arc
(ITOpsTalk)
6. Bring your own keys on Apache Kafka with Azure HDInsight | Azure Friday
(Microsoft Developer)

References

Top Articles
Latest Posts
Article information

Author: Geoffrey Lueilwitz

Last Updated: 09/24/2023

Views: 5505

Rating: 5 / 5 (60 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Geoffrey Lueilwitz

Birthday: 1997-03-23

Address: 74183 Thomas Course, Port Micheal, OK 55446-1529

Phone: +13408645881558

Job: Global Representative

Hobby: Sailing, Vehicle restoration, Rowing, Ghost hunting, Scrapbooking, Rugby, Board sports

Introduction: My name is Geoffrey Lueilwitz, I am a zealous, encouraging, sparkling, enchanting, graceful, faithful, nice person who loves writing and wants to share my knowledge and understanding with you.