Affecter une stratégie d’accès (héritée) au coffre de clés

Warning

Pour améliorer la sécurité, utilisez le modèle d’autorisation Role-Based Access Control (RBAC) au lieu des stratégies d’accès lors de la gestion des Azure Key Vault. RBAC limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui garantit une séparation claire entre les tâches de sécurité et d’administration. Pour plus d’informations, consultez Quel est Azure RBAC ? et le Key Vault Guide RBAC.

Avec le modèle de stratégie d'autorisation d'accès, les utilisateurs disposant des autorisations Contributor, Key Vault Contributor ou tout rôle incluant des autorisations Microsoft.KeyVault/vaults/write peuvent s'accorder l'accès au plan de données en configurant une stratégie d'accès Key Vault. Cela peut entraîner un accès et une gestion non autorisés de vos coffres de clés, clés, secrets et certificats. Pour réduire ce risque, limitez l’accès du rôle Contributeur aux coffres de clés lorsque vous utilisez le modèle de stratégie d’accès.

Important

Les stratégies d’accès sont un modèle d’autorisation hérité pour Azure Key Vault. Pour les nouveaux déploiements, utilisez plutôt Azure contrôle d’accès en fonction du rôle (RBAC). Consultez Provide l’accès aux clés, certificats et secrets Key Vault avec un contrôle d’accès en fonction du rôle Azure et Secure your Azure Key Vault.

Une stratégie d’accès Key Vault détermine si un principal de sécurité donné, à savoir un utilisateur, une application ou un groupe d’utilisateurs, peut effectuer différentes opérations sur Key Vault secrets, keys et certificates. Vous pouvez affecter des stratégies d’accès à l’aide du portail Azure, du Azure CLI ou de Azure PowerShell.

Le coffre de clés prend en charge jusqu’à 1024 entrées de stratégie d’accès, chaque entrée accordant un ensemble distinct d’autorisations à un principal de sécurité particulier. En raison de cette limitation, nous vous recommandons d’attribuer des stratégies d’accès, autant que possible, à des groupes d’utilisateurs plutôt qu’à des utilisateurs individuels. L’utilisation de groupes facilite grandement la gestion des autorisations pour plusieurs personnes au sein de votre organisation. Pour plus d’informations, consultez Gérer l’accès aux applications et aux ressources à l’aide des groupes Microsoft Entra.

Attribuer une stratégie d’accès

Dans le portail Azure, accédez à la ressource Key Vault.
Sélectionnez Stratégies d’accès, puis Créer :
Sélectionnez les autorisations souhaitées sous Autorisations de clé, Autorisations de secret et Autorisations de certificat.
Sous le volet de sélection Principal, entrez le nom de l’utilisateur, de l’application ou du principal de service dans le champ de recherche, puis sélectionnez le résultat approprié.

Si vous utilisez une identité managée pour l’application, recherchez et sélectionnez le nom de l’application (Pour plus d’informations sur les principes de sécurité, consultez l'authentification Key Vault.
Passez en revue les modifications apportées à la stratégie d’accès et sélectionnez Créer pour enregistrer la stratégie d’accès.
De retour sur la page Stratégies d’accès, vérifiez que votre stratégie d’accès est listée.

Pour plus d’informations sur la création de groupes dans Microsoft Entra ID à l’aide du Azure CLI, consultez az ad group create et az ad group member add.

Pour exécuter des commandes Azure CLI localement, installez le Azure CLI.

Pour exécuter des commandes directement dans le cloud, utilisez le Azure Cloud Shell.
Cli locale uniquement : connectez-vous à Azure à l’aide de az login :
```
az login
```
La commande az login ouvre une fenêtre de navigateur pour recueillir les informations d’identification si nécessaire.

Acquérir l’ID d’objet

Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :

Applications et autres objets de service : utilisez la commande az ad sp list pour récupérer vos objets de service. Examinez la sortie de la commande pour déterminer l’ID d’objet du principal de sécurité auquel vous souhaitez attribuer la stratégie d’accès.
```
az ad sp list --show-mine
```
Groupes : utilisez la commande az ad group list, en filtrant les résultats avec le paramètre --display-name :
```
az ad group list --display-name <search-string>
```
Utilisateurs : utilisez la commande az ad user show, en passant l’adresse e-mail de l’utilisateur dans le paramètre --id :
```
az ad user show --id <email-address-of-user>
```

Attribuer la politique d’accès

Utilisez la commande az key vault set-policy pour attribuer les autorisations souhaitées :

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Remplacez <object-id> par l’ID objet de votre principal de sécurité.

Vous avez uniquement besoin d’inclure --secret-permissions, --key-permissionset --certificate-permissions lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation de la commande az keyvault set-policy.

Pour plus d’informations sur la création de groupes dans Microsoft Entra ID à l’aide de Azure PowerShell, consultez New-AzADGroup et Add-AzADGroupMember.

Pour exécuter des commandes localement, installez Azure PowerShell si ce n'est déjà fait.

Pour exécuter des commandes directement dans le cloud, utilisez le Azure Cloud Shell.
PowerShell local uniquement :
1. Installez le module PowerShell Microsoft Entra ID.
2. Connectez-vous à Azure :
```
Connect-AzAccount
```

Acquérir l’ID d’objet

Déterminez l’ID d’objet de l’application, du groupe ou de l’utilisateur auquel vous souhaitez attribuer la stratégie d’accès :

Applications et autres principaux de service : utilisez la cmdlet Get-AzADServicePrincipal avec le paramètre -SearchString pour filtrer les résultats sur le nom du principal de service souhaité :
```
Get-AzADServicePrincipal -SearchString "<search-string>"
```
Groupes : utilisez la cmdlet Get-AzADGroup avec le paramètre -SearchString pour filtrer les résultats sur le nom du groupe souhaité :
```
Get-AzADGroup -SearchString "<search-string>"
```
Dans la sortie, l’ID d’objet est indiqué en tant que Id.
Utilisateurs : utilisez la cmdlet Get-AzADUser, en transmettant l’adresse e-mail de l’utilisateur au paramètre -UserPrincipalName.
```
 Get-AzAdUser -UserPrincipalName <email-address-of-user>
```
Dans la sortie, l’ID d’objet est indiqué en tant que Id.

Attribuer la politique d’accès

Utilisez la cmdlet Set-AzKeyVaultAccessPolicy pour attribuer la stratégie d’accès :

Set-AzKeyVaultAccessPolicy -VaultName "<vault-name>" -ObjectId "<object-id>" -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions>

Vous avez uniquement besoin d’inclure -PermissionsToSecrets, -PermissionsToKeyset -PermissionsToCertificates lors de l’attribution d’autorisations à ces types particuliers. Les valeurs autorisées pour <secret-permissions>, <key-permissions> et <certificate-permissions> sont indiquées dans la documentation Set-AzKeyVaultAccessPolicy – Paramètres.

Étapes suivantes

sécurité Azure Key Vault
Azure Key Vault guide du développeur

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-14

Affecter une stratégie d’accès (héritée) au coffre de clés

Attribuer une stratégie d’accès

Étapes suivantes

Commentaires

Ressources supplémentaires