Points de terminaison de service de réseau virtuel pour Azure Key VaultVirtual network service endpoints for Azure Key Vault

Les points de terminaison de service de réseau virtuel pour Azure Key Vault permettent de restreindre l’accès à un réseau virtuel spécifié.The virtual network service endpoints for Azure Key Vault allow you to restrict access to a specified virtual network. Les points de terminaison vous permettent également de restreindre l’accès à une liste de plages d’adresses IPv4 (Internet Protocol version 4).The endpoints also allow you to restrict access to a list of IPv4 (internet protocol version 4) address ranges. L’accès est refusé à tout utilisateur se connectant à votre coffre de clés en dehors de ces sources.Any user connecting to your key vault from outside those sources is denied access.

Il existe une exception importante à cette restriction.There is one important exception to this restriction. Si un utilisateur a choisi d’autoriser les services Microsoft approuvés, les connexions à partir de ces services se font à travers le pare-feu.If a user has opted-in to allow trusted Microsoft services, connections from those services are let through the firewall. Par exemple, ces services incluent Office 365 Exchange Online, Office 365 SharePoint Online, Calcul Azure, Azure Resource Manager et Sauvegarde Azure.For example, these services include Office 365 Exchange Online, Office 365 SharePoint Online, Azure compute, Azure Resource Manager, and Azure Backup. Ces utilisateurs doivent néanmoins toujours présenter un jeton Azure Active Directory valide et disposer d’autorisations (configurées en tant que stratégies d’accès) pour effectuer l’opération demandée.Such users still need to present a valid Azure Active Directory token, and must have permissions (configured as access policies) to perform the requested operation. Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel.For more information, see Virtual network service endpoints.

Scénarios d’usageUsage scenarios

Vous pouvez configurer des pare-feux et réseaux virtuels Key Vault pour refuser par défaut l’accès au trafic en provenance de tous les réseaux (y compris le trafic Internet).You can configure Key Vault firewalls and virtual networks to deny access to traffic from all networks (including internet traffic) by default. Vous pouvez accorder l’accès au trafic en provenance de réseaux virtuels Azure ou de plages d’adresses IP Internet publiques spécifiques, ce qui vous permet de créer une limite réseau sécurisée pour vos applications.You can grant access to traffic from specific Azure virtual networks and public internet IP address ranges, allowing you to build a secure network boundary for your applications.

Notes

Les règles de pare-feu et de réseau virtuel Key Vault s’appliquent seulement au plan de données de Key Vault.Key Vault firewalls and virtual network rules only apply to the data plane of Key Vault. Les opérations du plan de contrôle Key Vault (comme les opérations de création, de suppression et de modification, la définition de stratégies d’accès, la définition de pare-feux et de règles de réseau virtuel) ne sont pas affectées par les règles de pare-feux et de réseau virtuel.Key Vault control plane operations (such as create, delete, and modify operations, setting access policies, setting firewalls, and virtual network rules) are not affected by firewalls and virtual network rules.

Voici quelques exemples d’utilisation de points de terminaison de service :Here are some examples of how you might use service endpoints:

  • Vous utilisez Key Vault pour stocker des clés de chiffrement, des secrets d’application et des certificats, et vous voulez bloquer l’accès à votre coffre de clés depuis l’Internet public.You are using Key Vault to store encryption keys, application secrets, and certificates, and you want to block access to your key vault from the public internet.
  • Vous voulez verrouiller l’accès à votre coffre de clés, afin que seule votre application ou une liste restreinte d’hôtes désignés puissent se connecter à votre coffre de clés.You want to lock down access to your key vault so that only your application, or a short list of designated hosts, can connect to your key vault.
  • Vous avez une application s’exécutant dans votre réseau virtuel Azure, qui est verrouillé pour tout trafic entrant et sortant.You have an application running in your Azure virtual network, and this virtual network is locked down for all inbound and outbound traffic. Votre application doit néanmoins toujours se connecter au coffre de clés pour extraire des secrets ou certificats, ou pour utiliser des clés de chiffrement.Your application still needs to connect to Key Vault to fetch secrets or certificates, or use cryptographic keys.

Configurer les pare-feux et réseaux virtuels d’Azure Key VaultConfigure Key Vault firewalls and virtual networks

Voici les étapes requises pour configurer les pare-feux et réseaux virtuels.Here are the steps required to configure firewalls and virtual networks. Ces étapes s’appliquent si vous utilisez PowerShell, Azure CLI ou le portail Azure.These steps apply whether you are using PowerShell, the Azure CLI, or the Azure portal.

  1. Activez la journalisation Key Vault pour voir des journaux d’activité d’accès détaillés.Enable Key Vault logging to see detailed access logs. Ceci vous aide à poser des diagnostics quand des règles de pare-feux et de réseau virtuel empêchent l’accès à un coffre de clés.This helps in diagnostics, when firewalls and virtual network rules prevent access to a key vault. (Cette étape est facultative mais fortement recommandée.)(This step is optional, but highly recommended.)
  2. Activez des points de terminaison de service pour Key Vault pour les réseaux et sous-réseaux virtuels cibles.Enable service endpoints for key vault for target virtual networks and subnets.
  3. Définissez des règles de pare-feux et de réseau virtuel pour un coffre de clés, afin de restreindre l’accès à ce coffre de clés à partir de réseaux virtuels, sous-réseaux et plages d’adresses IPv4 spécifiques.Set firewalls and virtual network rules for a key vault to restrict access to that key vault from specific virtual networks, subnets, and IPv4 address ranges.
  4. Si ce coffre de clés doit être accessible à tous les services Microsoft approuvés, vous devez activer l’option autorisant des services Microsoft approuvés à se connecter à Key Vault.If this key vault needs to be accessible by any trusted Microsoft services, enable the option to allow Trusted Azure Services to connect to Key Vault.

Pour plus d’informations, consultez Configurer les pare-feux et réseaux virtuels d’Azure Key Vault.For more information, see Configure Azure Key Vault firewalls and virtual networks.

Important

Une fois que les règles de pare-feu sont effectives, les utilisateurs peuvent effectuer des opérations du plan de données de Key Vault seulement quand leurs demandes proviennent de réseaux virtuels ou de plages d’adresses IPv4 autorisés.After firewall rules are in effect, users can only perform Key Vault data plane operations when their requests originate from allowed virtual networks or IPv4 address ranges. Ceci s’applique également à l’accès au coffre de clés à partir du portail Azure.This also applies to accessing Key Vault from the Azure portal. Si des utilisateurs peuvent accéder à un coffre de clés à partir du portail Azure, il ne peuvent pas lister les clés/secrets/certificats si leur ordinateur client ne figure pas dans la liste autorisée.Although users can browse to a key vault from the Azure portal, they might not be able to list keys, secrets, or certificates if their client machine is not in the allowed list. Ceci affecte également l’accès au sélecteur de compte Key Vault par d’autres services Azure.This also affects the Key Vault Picker by other Azure services. Des utilisateurs qui peuvent voir la liste des coffres de clés ne peuvent pas lister les clés si des règles de pare-feu bloquent leur ordinateur client.Users might be able to see list of key vaults, but not list keys, if firewall rules prevent their client machine.

Notes

Notez les limitations de configuration suivantes :Be aware of the following configuration limitations:

  • Un maximum de 127 règles de réseau virtuel et 127 règles IPv4 sont autorisées.A maximum of 127 virtual network rules and 127 IPv4 rules are allowed.
  • Les petites plages d’adresses qui utilisent les tailles de préfixe « /31 » ou « /32 » ne sont pas prises en charge.Small address ranges that use the "/31" or "/32" prefix sizes are not supported. Au lieu de cela, configurez ces plages avec des règles d’adresses IP individuelles.Instead, configure these ranges by using individual IP address rules.
  • Les règles de réseau IP sont autorisées uniquement pour les adresses IP publiques.IP network rules are only allowed for public IP addresses. Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP.IP address ranges reserved for private networks (as defined in RFC 1918) are not allowed in IP rules. Les réseaux privés incluent des adresses qui commencent par 10. , 172.16-31. et 192.168. .Private networks include addresses that start with 10. , 172.16-31 , and 192.168..
  • Seules les adresses IPv4 sont prises en charge pour le moment.Only IPv4 addresses are supported at this time.

Services approuvésTrusted services

Voici une liste de services approuvés qui sont autorisés à accéder à un coffre de clés si l’option Autoriser les services approuvés est activée.Here's a list of trusted services that are allowed to access a key vault if the Allow trusted services option is enabled.

Service approuvéTrusted service Scénarios d’utilisation pris en chargeSupported usage scenarios
Service de déploiement de machines virtuelles AzureAzure Virtual Machines deployment service Déployer des certificats sur des machines virtuelles à partir d’un coffre de clés géré par le clientDeploy certificates to VMs from customer-managed Key Vault.
Service de déploiement modèle Azure Resource ManagerAzure Resource Manager template deployment service Passage de valeurs sécurisées lors du déploiementPass secure values during deployment.
Référence SKU Azure Application Gateway v2Azure Application Gateway v2 SKU Arrêt TLS avec certificats Key VaultTLS termination with Key Vault certificates
Service de chiffrement de volume Azure Disk EncryptionAzure Disk Encryption volume encryption service Autoriser l’accès à la clé BitLocker (machine virtuelle Windows) ou à la phrase secrète DM (machine virtuelle Linux), et à la clé de chiffrement lors du déploiement de machines virtuelles.Allow access to BitLocker Key (Windows VM) or DM Passphrase (Linux VM), and Key Encryption Key, during virtual machine deployment. Ceci active Azure Disk Encryption.This enables Azure Disk Encryption.
Sauvegarde AzureAzure Backup Autoriser la sauvegarde et restauration des clés et des secrets pertinents lors de la sauvegarde de Machines virtuelles Azure avec Sauvegarde Azure.Allow backup and restore of relevant keys and secrets during Azure Virtual Machines backup, by using Azure Backup.
Exchange Online et SharePoint OnlineExchange Online & SharePoint Online Autoriser l’accès à la clé du client pour Azure Storage Service Encryption avec une clé de client.Allow access to customer key for Azure Storage Service Encryption with Customer Key.
Azure Information ProtectionAzure Information Protection Autoriser l’accès à la clé de locataire pour Azure Information ProtectionAllow access to tenant key for Azure Information Protection.
Azure App ServiceAzure App Service Déploiement d’un certificat Azure Web App via Key Vault.Deploy Azure Web App Certificate through Key Vault.
Azure SQL DatabaseAzure SQL Database Transparent Data Encryption avec prise en charge de BYOK pour Azure SQL Database et Azure Synapse Analytics (anciennement SQL Data Warehouse).Transparent Data Encryption with Bring Your Own Key support for Azure SQL Database and Azure Synapse Analytics (formerly SQL Data Warehouse).
Stockage AzureAzure Storage Chiffrement du service de stockage à l’aide de clés gérées par le client dans Azure Key Vault.Storage Service Encryption using customer-managed keys in Azure Key Vault.
Azure Data Lake StoreAzure Data Lake Store Chiffrement de données dans Azure Data Lake Store avec une clé gérée par le client.Encryption of data in Azure Data Lake Store with a customer-managed key.
Azure DatabricksAzure Databricks Service d'analyse rapide, simple et collaboratif basé sur Apache SparkFast, easy, and collaborative Apache Spark–based analytics service
Gestion des API AzureAzure API Management Déployer des certificats pour un domaine personnalisé à partir de Key Vault à l’aide de MSIDeploy certificates for Custom Domain from Key Vault using MSI
Azure Data FactoryAzure Data Factory Récupérer les informations d’identification du magasin de données dans Key Vault à partir de Data FactoryFetch data store credentials in Key Vault from Data Factory
Hubs d'événements AzureAzure Event Hubs Autoriser l'accès à un coffre de clés pour le scénario de clés gérées par le clientAllow access to a key vault for customer-managed keys scenario
Azure Service BusAzure Service Bus Autoriser l'accès à un coffre de clés pour le scénario de clés gérées par le clientAllow access to a key vault for customer-managed keys scenario
Azure Import/ExportAzure Import/Export Utiliser des clés gérées par le client dans Azure Key Vault pour le service Import/ExportUse customer-managed keys in Azure Key Vault for Import/Export service
Azure Container RegistryAzure Container Registry Chiffrement du registre à l’aide de clés gérées par le clientRegistry encryption using customer-managed keys

Transférer des artefacts vers un autre registreTransfer artifacts to another registry

Notes

Vous devez configurer les stratégies Key Vault appropriées pour autoriser les services correspondants à accéder à Key Vault.You must set up the relevant Key Vault access policies to allow the corresponding services to get access to Key Vault.

Étapes suivantesNext steps