Partager via

Points de terminaison de service de réseau virtuel pour Azure Key Vault

Les points de terminaison de service de réseau virtuel pour Azure Key Vault vous permettent de restreindre l’accès à un réseau virtuel spécifié. Les points de terminaison vous permettent également de restreindre l’accès à une liste de plages d’adresses IPv4 (Internet Protocol version 4). L’accès est refusé à tout utilisateur se connectant à votre coffre de clés en dehors de ces sources.

Il existe une exception importante à cette restriction. Si un utilisateur a choisi d’autoriser les services Microsoft approuvés, les connexions de ces services sont autorisées via le pare-feu. Par exemple, ces services incluent Microsoft 365 Exchange Online, Microsoft 365 SharePoint Online, Azure calcul, Azure Resource Manager et Sauvegarde Azure. Ces utilisateurs doivent toujours présenter un jeton de Microsoft Entra valide et doivent disposer d’autorisations (configurées comme Azure attributions de rôles RBAC ou stratégies d’accès) pour effectuer l’opération demandée. Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel.

Scénarios d’usage

Vous pouvez configurer Key Vault pare-feu et réseaux virtuels pour refuser l’accès au trafic à partir de tous les réseaux (y compris le trafic Internet) par défaut. Vous pouvez accorder l’accès au trafic à partir de réseaux virtuels spécifiques Azure et de plages d’adresses IP Internet publiques, ce qui vous permet de créer une limite réseau sécurisée pour vos applications.

Remarque

Les pare-feu et les règles de réseau virtuel de Key Vault s'appliquent uniquement au plan de données de Key Vault. Key Vault opérations de plan de contrôle (par exemple, créer, supprimer et modifier des opérations, définir des stratégies d’accès, définir des pare-feu et des règles de réseau virtuel et déployer des secrets ou des clés via des modèles ARM) ne sont pas affectées par les pare-feu et les règles de réseau virtuel.

Voici quelques exemples d’utilisation de points de terminaison de service :

  • Vous utilisez Key Vault pour stocker des clés de chiffrement, des secrets d’application et des certificats, et vous souhaitez bloquer l’accès à votre key vault à partir de l’Internet public.
  • Vous voulez verrouiller l’accès à votre coffre de clés, afin que seule votre application ou une liste restreinte d’hôtes désignés puissent se connecter à votre coffre de clés.
  • Vous disposez d’une application s’exécutant dans votre réseau virtuel Azure, et ce réseau virtuel est verrouillé pour tout le trafic entrant et sortant. Votre application doit toujours se connecter à Key Vault pour extraire des secrets ou des certificats, ou utiliser des clés de chiffrement.

Accorder l’accès aux services de Azure approuvés

Vous pouvez accorder l’accès aux services de Azure approuvés au coffre de clés, tout en conservant des règles réseau pour d’autres applications. Ces services approuvés utilisent ensuite une authentification forte pour se connecter en toute sécurité à votre coffre de clés.

Vous pouvez accorder l’accès aux services de Azure approuvés en configurant les paramètres de mise en réseau. Pour obtenir des instructions pas à pas, consultez Configurer la sécurité réseau pour Azure Key Vault.

Lorsque vous accordez l’accès aux services de Azure approuvés, vous accordez les types d’accès suivants :

  • Accès approuvé pour certaines opérations aux ressources inscrites dans votre abonnement.
  • Accès approuvé aux ressources basé sur une identité managée.
  • Accès approuvé entre locataires à l’aide d’informations d’identification d’identité fédérée

Services approuvés

Voici une liste de services approuvés qui sont autorisés à accéder à un coffre de clés si l’option Autoriser les services approuvés est activée.

Service approuvé Scénarios d’utilisation pris en charge
Gestion des API Azure Déployer des certificats pour le domaine personnalisé depuis le Key Vault en utilisant MSI
Azure App Service App Service est approuvé uniquement pour le Déploiement d’un certificat Azure Web Apps avec Key Vault pour une application individuelle. Les adresses IP sortantes peuvent être ajoutées dans les règles IP du coffre de clés
Azure Application Gateway Utilisant des certificats Key Vault pour les écouteurs compatibles HTTPS
Sauvegarde Azure Autorisez la sauvegarde et la restauration de clés et de secrets pertinents pendant Machines virtuelles Azure sauvegarde, à l’aide de Sauvegarde Azure.
Azure Batch Configurer les clés gérées par le client pour les comptes Batch et Key Vault pour les comptes Batch d’abonnement utilisateur
Azure Bot Service chiffrement des données en repos de Azure AI Bot Service
Azure CDN Configure HTTPS sur un domaine personnalisé Azure CDN : accordez Azure CDN accès à votre coffre de clés
Azure Container Registry Chiffrement du registre à l’aide de clés gérées par le client
Azure Data Factory Récupérer les identifiants de la base de données dans Key Vault depuis Data Factory
Azure Data Lake Store Encryption des données dans Azure Data Lake Store avec une clé gérée par le client.
Gestionnaire de Données Azure pour l'Agriculture Stocker et utiliser vos propres clés de licence
Base de données Azure pour MySQL serveur unique Chiffrement des données pour Azure Database pour MySQL Single Server
serveur flexible Azure Database pour MySQL Chiffrement des données pour Azure Database pour MySQL serveur flexible
Serveur unique Azure Database pour PostgreSQL Chiffrement des données pour Azure Database pour PostgreSQL serveur unique
Azure Database pour PostgreSQL, serveur flexible Chiffrement des données pour Azure Database pour PostgreSQL serveur flexible
Azure Databricks Service d'analyse rapide, simple et collaboratif basé sur Apache Spark
service de chiffrement de volume Azure Disk Encryption Autorisez l’accès à la clé BitLocker (Windows machine virtuelle) ou à la phrase secrète DM (machine virtuelle Linux) et à la clé de chiffrement de clé, pendant le déploiement de la machine virtuelle. Cela permet Azure Disk Encryption.
Stockage sur disque Azure Lorsqu’il est configuré avec un jeu de chiffrement de disque (DES). Pour plus d’informations, consultez Chiffrement côté serveur de Stockage sur disque Azure à l’aide de clés gérées par le client.
Azure Event Hubs Autoriser l'accès à un coffre de clés pour le scénario de clés gérées par le client
Azure ExpressRoute Lors de l’utilisation de MACsec avec ExpressRoute Direct
Pare-feu Azure Premium certificats Pare-feu Azure Premium
Azure Front Door Classic Utilisant des certificats Key Vault pour HTTPS
Azure Front Door Standard/Premium Utilisant des certificats Key Vault pour HTTPS
Azure Import/Export Utilisez les clés gérées par le client dans Azure Key Vault pour le service Import/Export
Azure Information Protection Autoriser l’accès à la clé de locataire pour Azure Information Protection.
Azure Machine Learning Sécuriser Azure Machine Learning dans un réseau virtuel
Azure Monitor Accès du cluster d’analytique des journaux d’activité à un Key Vault dans un scénario de clés gérées par le client
Azure NetApp Files Autoriser l'accès aux clés gérées par le client dans Azure Key Vault
Analyse Azure Policy Stratégies de plan de contrôle pour les secrets et clés stockés dans le plan de données
Le service de déploiement de modèles Azure Resource Manager Passage de valeurs sécurisées lors du déploiement
Azure Service Bus Autoriser l'accès à un coffre de clés pour le scénario de clés gérées par le client
Azure SQL Database Chiffrement Transparent des Données avec prise en charge de la fonctionnalité "Apportez votre propre clé" pour Azure SQL Database et Azure Synapse Analytics.
stockage Azure Storage Service Encryption à l’aide de clés gérées par le client dans Azure Key Vault.
Azure Synapse Analytics Encryption des données à l’aide de clés gérées par le client dans Azure Key Vault
service de déploiement Machines virtuelles Azure Déployer des certificats sur des machines virtuelles à partir d'un Key Vault géré par le client.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Autorisez l’accès aux clés gérées par le client pour le chiffrement de données au repos avec la clé client.
Microsoft PowerPlatform Chiffrement des données dans Power Platform à l’aide de clés gérées par le client.
Microsoft Purview Utilisant les informations d’identification pour l’authentification source dans Microsoft Purview

Remarque

Vous devez configurer les attributions de rôles Azure RBAC pour Key Vault ou définir des stratégies d'accès (héritées) appropriées afin de permettre aux services correspondants d'accéder à Key Vault.

Étapes suivantes

  • Last updated on