La configuration des politiques d'accès pour les identités gérées dans Azure Key Vault implique plusieurs étapes. Voici un guide étape par étape sur la façon de le faire:
1. Activer l'identité gérée pour votre service:
- Accédez à votre service Azure (par exemple, application de fonction Azure, application logique ou porte d'entrée Azure) dans le portail Azure.
- Accédez à la section d'identité dans les paramètres.
- Tournez le statut pour activer l'identité gérée. Cela créera un directeur de service dans Azure Active Directory (AAD).
2. Attribuer des autorisations à l'identité gérée:
- Pour le contrôle d'accès basé sur les rôles (RBAC), accédez à votre coffre-fort clé et sélectionnez Contrôle d'accès (IAM).
- Cliquez sur + ajouter et choisissez Ajouter une affectation de rôle.
- Sélectionnez un rôle comme l'utilisateur de Secrets Vault Key Vault ou le lecteur Vault Key.
- Sous les membres, sélectionnez l'identité gérée, puis choisissez l'identité gérée que vous avez créée.
3. Configurer les politiques d'accès dans le coffre-fort clé:
- Accédez à votre coffre-fort clé dans le portail Azure.
- Sous Paramètres, sélectionnez Accès aux politiques.
- Cliquez sur + Créer ou ajouter une stratégie d'accès.
- Dans l'onglet Autorisations, sélectionnez les autorisations nécessaires pour les secrets, les clés et les certificats (par exemple, obtenir et liste pour les secrets).
- Dans l'onglet principal, recherchez et sélectionnez l'identité gérée que vous avez créée.
- Examiner et créer la politique d'accès.
4. Vérifiez la configuration:
- Assurez-vous que l'identité gérée est correctement répertoriée dans les politiques d'accès.
- Testez votre application ou votre service pour confirmer qu'il peut accéder aux principales ressources de Vault à l'aide de l'identité gérée.
L'utilisation d'identités gérées avec des politiques d'accès aide à sécuriser l'accès à Key Vault sans gérer les informations d'identification directement dans vos applications [1] [3] [7].
Citations:
[1] https://docs.azure.cn/en-us/key-vault/general/assign-access-policy-portal
[2] https://www.codemag.com/article/2107041/eliminate-secrets-from-your-applications-with-azure-manged-identity
[3] https://www.serverlessnotes.com/docs/using-manged-ystem-Identities-to-access-azure-key-vault
[4] https://docs.azure.cn/en-us/key-vault/general/azure-policy
[5] https://learn.microsoft.com/en-us/azure/key-vault/general/assign-access-policy
[6] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-manged-identity-not-authorisé
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://docs.informatica.com/cloud-common-services/administrator/current-version/advanced-clusters/setting-ulp-microsoft-azure/step-8 - Create-a-service-principal-for-the-cluster/add-an-access-policy-to-the-key-vault.html
[9] https://docs.azure.cn/en-us/api-management/api-management-howto-use-manged-service-identity
[10] https://stackoverflow.com/questions/68667029/azure-key-vault-access-policies-and-manged-identities-arm-timplate