À propos d’Azure Key VaultAbout Azure Key Vault

Azure Key Vault aide à résoudre les problèmes suivants :Azure Key Vault helps solve the following problems:

  • Gestion des secrets : Azure Key Vault peut être utilisé pour stocker en toute sécurité les jetons, mots de passe, certificats, clés API et autres secrets, et pour en contrôler étroitement l’accès.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Gestion des clés : Azure Key Vault peut également servir de solution de gestion de clés.Key Management - Azure Key Vault can also be used as a Key Management solution. Azure Key Vault simplifie la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Gestion des certificats : Azure Key Vault est également un service qui vous permet de provisionner, gérer et déployer facilement des certificats SSL/TLS publics et privés pour une utilisation avec Azure et vos ressources connectées internes.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Transport Layer Security/Secure Sockets Layer (TLS/SSL) certificates for use with Azure and your internal connected resources.
  • Stocker les secrets sauvegardés avec les modules de sécurité matériels : les secrets, les clés et les certificats en magasin sont chiffrés avec une clé logicielle (niveau Standard) ou une clé des modules de sécurité matériels certifiés FIPS 140-2 de niveau 2 (niveau Premium)Store secrets backed by Hardware Security Modules - The secrets, keys, and certificates at store are encrypted either with software key (Standard tier) or FIPS 140-2 Level 2 validated HSMs key (Premium tier)

Pourquoi utiliser Azure Key Vault ?Why use Azure Key Vault?

Centraliser les secrets d’applicationCentralize application secrets

La centralisation du stockage des secrets d’application dans Azure Key Vault vous permet de contrôler la distribution de ces secrets.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Key Vault réduit considérablement les risques de fuite accidentelle des secrets.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Grâce à Key Vault, les développeurs d’applications n’ont plus besoin de stocker les informations de sécurité dans leur application.When using Key Vault, application developers no longer need to store security information in their application. Ne pas avoir à stocker les informations de sécurité dans les applications élimine le besoin d’intégrer ces informations au code.Not having to store security information in applications eliminates the need to make this information part of the code. Considérons l’exemple d’une application ayant besoin de se connecter à une base de données.For example, an application may need to connect to a database. Dans ce cas, plutôt que d’inclure la chaîne de connexion dans le code de l’application, vous pouvez simplement la stocker en toute sécurité dans Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Vos applications peuvent accéder en toute sécurité aux informations nécessaires en utilisant des URI.Your applications can securely access the information they need by using URIs. Ces URI permettent aux applications de récupérer des versions spécifiques d’un secret.These URIs allow the applications to retrieve specific versions of a secret. Aucune écriture de code personnalisé n’est nécessaire pour protéger les informations secrètes stockées dans Key Vault.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Stocker en toute sécurité les secrets et clésSecurely store secrets and keys

Les secrets et les clés sont protégés par Azure, à l’aide d’algorithmes standards, de longueurs de clé et de modules de sécurité matériel (HSM).Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). Les HSM utilisés sont garantis conformes aux normes FIPS (Federal Information Processing Standard) 140-2 de niveau 2.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

L’accès à un coffre de clés par un appelant (utilisateur ou application) requiert une authentification et une autorisation adéquates.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. L’authentification établit l’identité de l’appelant, tandis que l’autorisation détermine les opérations que ce dernier est autorisé à effectuer.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

L’authentification s’effectue par le biais d’Azure Active Directory.Authentication is done via Azure Active Directory. L’autorisation peut être assurée par l’intermédiaire du mécanisme de contrôle d’accès en fonction du rôle (RBQC) ou d’une stratégie d’accès à Key Vault.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. RBAC est utilisé dans le cadre de la gestion des coffres, et la stratégie d’accès au coffre de clés est appliquée lors d’une tentative d’accès aux données stockées dans un coffre.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Azure Key Vault peut être protégé par un logiciel ou par un HSM matériel.Azure Key Vaults may be either software- or hardware-HSM protected. Dans les situations qui nécessitent un surcroît de vigilance, vous pouvez importer ou générer des clés dans des HSM dont les clés ne franchissent jamais les limites.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Microsoft utilise les modules de sécurité matériels nCipher.Microsoft uses nCipher hardware security modules. Pour déplacer une clé de votre HSM vers Azure Key Vault, vous pouvez utiliser les outils nCipher.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Enfin, Azure Key Vault a été conçu de façon que Microsoft ne puisse pas visualiser ni extraire vos données.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Surveiller les accès et l’utilisationMonitor access and use

Après avoir créé plusieurs coffres de clés, vous voudrez surveiller le mode et le moment des accès à vos clés et secrets.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. Vous pouvez surveiller l’activité en activant la journalisation pour vos coffres.You can monitor activity by enabling logging for your vaults. La solution Azure Key Vault est configurable pour l’exécution des opérations suivantes :You can configure Azure Key Vault to:

  • archivage dans un compte de stockage ;Archive to a storage account.
  • diffusion sur un Event Hub ;Stream to an event hub.
  • envoi des journaux aux journaux Azure Monitor.Send the logs to Azure Monitor logs.

Vous pouvez contrôler vos journaux d’activité et les sécuriser en limitant l’accès, ainsi que supprimer les journaux d’activité dont vous n’avez plus besoin.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Administration simplifiée des secrets d’applicationSimplified administration of application secrets

Lorsque vous stockez vos données les plus précieuses, vous devez prendre différentes mesures.When storing valuable data, you must take several steps. Les informations de sécurité doivent être sécurisées, suivre un cycle de vie spécifique et se révéler hautement disponibles.Security information must be secured, it must follow a life cycle, and it must be highly available. Azure Key Vault simplifie la réponse à ces exigences grâce aux éléments suivants :Azure Key Vault simplifies the process of meeting these requirements by:

  • Suppression de la nécessité de connaissances en interne des modules HSM.Removing the need for in-house knowledge of Hardware Security Modules.
  • Exécution d’un scale-up dans un délai très court pour répondre aux pics d’utilisation de votre organisation.Scaling up on short notice to meet your organization's usage spikes.
  • Réplication du contenu de votre coffre de clés au sein d’une région et vers une région secondaire.Replicating the contents of your Key Vault within a region and to a secondary region. La réplication des données garantit la haute disponibilité et élimine l’obligation pour l’administrateur de déclencher le basculement.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Fourniture des options d’administration Azure standard par le biais du Portail, de l’interface de ligne de commande Azure et de PowerShell.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Automatisation de certaines tâches sur les certificats que vous achetez auprès d’une autorité de certification publique, comme l’inscription et le renouvellement.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

En outre, les coffres de clé Azure vous permettent de séparer les secrets d’application.In addition, Azure Key Vaults allow you to segregate application secrets. Les applications peuvent accéder uniquement au coffre dont l’accès leur a été accordé, et elles peuvent être restreintes à certaines opérations spécifiques.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. Vous pouvez créer un coffre de clés Azure par application et restreindre les secrets stockés dans un coffre de clés à une application et une équipe de développeurs spécifiques.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Intégrer à d’autres services AzureIntegrate with other Azure services

En tant que banque d’informations sécurisée dans Azure, Key Vault a été utilisé pour simplifier les scénarios, tels que :As a secure store in Azure, Key Vault has been used to simplify scenarios like:

La solution Key Vault proprement dite peut s’intégrer aux comptes de stockage, ainsi qu’aux services Event Hubs et Log Analytics.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Étapes suivantesNext steps