Configurer les pare-feux et réseaux virtuels d’Azure Key Vault

Ce document aborde en détail les différentes configurations du pare-feu Azure Key Vault. Pour suivre les instructions pas à pas sur la configuration de ces paramètres, consultez Configurer les paramètres réseau d’Azure Key Vault.

Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel pour Azure Key Vault.

Paramètres du pare-feu

Cette section présente les différentes configurations possibles d’un pare-feu Azure Key Vault.

Pare-feu Key Vault désactivé (configuration par défaut)

Par défaut, quand vous créez un coffre de clés, le pare-feu Azure Key Vault est désactivé. Toutes les applications et tous les services Azure peuvent accéder au coffre de clés et lui envoyer des requêtes. Cette configuration n’implique pas que tous les utilisateurs pourront effectuer des opérations sur le coffre de clés. Le coffre de clés restreint toujours l’accès aux secrets, aux clés et aux certificats qu’il stocke en exigeant des autorisations de stratégie d’accès et une authentification Microsoft Entra. Pour comprendre l’authentification du coffre de clés plus en détail, consultez Authentification dans Azure Key Vault. Pour plus d’informations, consultez Accès à Azure Key Vault derrière un pare-feu.

Pare-feu Key Vault activé (services approuvés uniquement)

Quand vous activez le pare-feu Key Vault, vous pouvez choisir d’autoriser les services Microsoft approuvés à contourner ce pare-feu. La liste des services approuvés n’inclut pas tous les services Azure. Par exemple, Azure DevOps n’y figure pas. Cela ne signifie pas que les services n’apparaissant pas dans la liste des services approuvés ne sont pas sécurisés ou approuvés. La liste des services approuvés englobe les services dans lesquels tout le code exécuté est contrôlé par Microsoft. Du fait que les utilisateurs peuvent écrire du code personnalisé dans des services Azure comme Azure DevOps, Microsoft n’offre pas l’option de créer une approbation permanente pour le service. En outre, la présence d’un service dans la liste des services approuvés ne signifie pas pour autant que le service est autorisé dans tous les scénarios.

Pour déterminer si un service que vous voulez utiliser fait partie de la liste des services approuvés, consultez Points de terminaison privés de réseau virtuel pour Azure Key Vault. Pour obtenir un guide pratique, suivez les instructions ici concernant le Portail, Azure CLI et PowerShell

Pare-feu Key Vault activé (adresses et plages IPv4 - adresses IP statiques)

Si vous souhaitez autoriser un service particulier à accéder au coffre de clés par le biais du pare-feu Key Vault, vous pouvez ajouter son adresse IP à la liste autorisée du pare-feu Key Vault. Cette configuration est idéale pour les services qui utilisent des adresses IP statiques ou des plages connues. Il existe une limite de 1000 de plages CIDR pour ce cas.

Pour autoriser une adresse ou plage IP d’une ressource Azure telle qu’une application web ou une application logique, effectuez les étapes suivantes.

  1. Connectez-vous au portail Azure.
  2. Sélectionnez la ressource (instance spécifique du service).
  3. Sélectionnez le panneau Propriétés sous Paramètres.
  4. Recherchez le champ « Adresse IP ».
  5. Copiez cette valeur ou plage et entrez-la dans la liste d’autorisation du pare-feu Key Vault.

Pour autoriser un service Azure entier, par le biais du pare-feu Key Vault, utilisez la liste des adresses IP du centre de données documentées publiquement pour Azure, accessible ici. Recherchez les adresses IP associées au service dont vous avez besoin dans la région de votre choix et ajoutez ces adresses IP au pare-feu Key Vault.

Pare-feu Key Vault activé (réseaux virtuels - adresses IP dynamiques)

Si vous essayez d’autoriser une ressource Azure telle qu’une machine virtuelle par le biais du coffre de clés, il est possible que vous ne puissiez pas utiliser des adresses IP statiques et que vous ne souhaitiez pas autoriser toutes les adresses IP de machines virtuelles Azure à accéder à votre coffre de clés.

Dans ce cas, vous devez créer la ressource dans un réseau virtuel, puis autoriser le trafic provenant du réseau virtuel et du sous-réseau spécifiques à accéder à votre coffre de clés.

  1. Connectez-vous au portail Azure.
  2. Sélectionnez le coffre de clés à configurer.
  3. Sélectionnez le panneau « Réseau ».
  4. Sélectionnez « + Ajouter un réseau virtuel existant ».
  5. Sélectionnez le réseau virtuel et le sous-réseau que vous souhaitez autoriser via le pare-feu Key Vault.

Pour savoir comment configurer une connexion de liaison privée sur votre coffre de clés, consultez ce document.

Important

Une fois que les règles de pare-feu sont effectives, les utilisateurs peuvent effectuer des opérations du plan de données de Key Vault seulement quand leurs demandes proviennent de réseaux virtuels ou de plages d’adresses IPv4 autorisés. Ceci s’applique également à l’accès au coffre de clés à partir du portail Azure. Si des utilisateurs peuvent accéder à un coffre de clés à partir du portail Azure, il ne peuvent pas lister les clés/secrets/certificats si leur ordinateur client ne figure pas dans la liste autorisée. Cela affecte également l’accès au sélecteur Key Vault utilisé par d’autres services Azure. Il est possible que des utilisateurs puissent voir une liste des coffres de clés, mais pas répertorier des clés, si des règles de pare-feu bloquent l’ordinateur de leur client.

Notes

Notez les limitations de configuration suivantes :

  • Un maximum de 200 règles de réseau virtuel et de 1 000 règles IPv4 sont autorisées.
  • Les règles de réseau IP sont autorisées uniquement pour les adresses IP publiques. Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP. Les réseaux privés incluent des adresses qui commencent par 10. , 172.16-31. et 192.168. .
  • Seules les adresses IPv4 sont prises en charge pour le moment.

Accès public désactivé (point de terminaison privé uniquement)

Pour renforcer la sécurité réseau, vous pouvez configurer votre coffre de manière à désactiver l’accès public. Cette opération refuse toutes les configurations publiques et autorise uniquement les connexions via des points de terminaison privés.

References

Étapes suivantes