Intégrer Key Vault avec Azure Private LinkIntegrate Key Vault with Azure Private Link

Le service Azure Private Link vous permet d’accéder aux services Azure (par exemple, Azure Key Vault, Stockage Azure et Azure Cosmos DB) ainsi qu’aux services de partenaires ou de clients hébergés par Azure via un point de terminaison privé de votre réseau virtuel.Azure Private Link Service enables you to access Azure Services (for example, Azure Key Vault, Azure Storage, and Azure Cosmos DB) and Azure hosted customer/partner services over a Private Endpoint in your virtual network.

Un point de terminaison privé Azure est une interface réseau qui vous connecte de façon privée et sécurisée à un service basé sur la technologie Azure Private Link.An Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. Le point de terminaison privé utilise une adresse IP privée de votre réseau virtuel, plaçant de fait le service dans votre réseau virtuel.The private endpoint uses a private IP address from your VNet, effectively bringing the service into your VNet. Sachant que l’ensemble du trafic à destination du service peut être routé via le point de terminaison privé, il n’y a aucun besoin de passerelles, d’appareils NAT, de connexions ExpressRoute ou VPN ou d’adresses IP publiques.All traffic to the service can be routed through the private endpoint, so no gateways, NAT devices, ExpressRoute or VPN connections, or public IP addresses are needed. Le trafic entre votre réseau virtuel et le service transite par le réseau principal de Microsoft, éliminant ainsi toute exposition à l’Internet public.Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. Vous pouvez vous connecter à une instance d’une ressource Azure, ce qui vous donne le plus haut niveau de granularité en matière de contrôle d’accès.You can connect to an instance of an Azure resource, giving you the highest level of granularity in access control.

Pour plus d’informations, consultez Qu’est-ce qu’Azure Private Link ?For more information, see What is Azure Private Link?

PrérequisPrerequisites

Pour intégrer un coffre de clés avec Azure Private Link, vous avez besoin des éléments suivants :To integrate a key vault with Azure Private Link, you will need the following:

  • Un coffre de clés.A key vault.
  • Un réseau virtuel Azure.An Azure virtual network.
  • Un sous-réseau dans le réseau virtuel.A subnet in the virtual network.
  • Des autorisations de propriétaire ou de contributeur à la fois pour le coffre de clés et le réseau virtuel.Owner or contributor permissions for both the key vault and the virtual network.

Votre point de terminaison privé et votre réseau virtuel doivent se trouver dans la même région.Your private endpoint and virtual network must be in the same region. Au moment de sélectionner la région du point de terminaison privé sur le portail, les réseaux virtuels qui se trouvent dans cette région sont filtrés automatiquement.When you select a region for the private endpoint using the portal, it will automatically filter only virtual networks that are in that region. Votre coffre de clés peut se trouver dans une autre région.Your key vault can be in a different region.

Votre point de terminaison privé utilise une adresse IP privée de votre réseau virtuel.Your private endpoint uses a private IP address in your virtual network.

Tout d’abord, créez un réseau virtuel en suivant les étapes décrites dans Créer un réseau virtuel à partir du portail Azure.First, create a virtual network by following the steps in Create a virtual network using the Azure portal

Vous pouvez ensuite soit créer un coffre de clés, soit établir une connexion de liaison privée avec un coffre de clés existant.You can then either create a new key vault, or establish a private link connection to an existing key vault.

Vous pouvez créer un coffre de clés avec le portail Azure, l’interface Azure CLI ou Azure PowerShell.You can create a new key vault with the Azure portal, Azure CLI, or Azure PowerShell.

Après avoir configuré les éléments de base du coffre de clés, sélectionnez l’onglet Mise en réseau et suivez ces étapes :After configuring the key vault basics, select the Networking tab and follow these steps:

  1. Sélectionnez la case d’option Point de terminaison privé sous l’onglet Réseau.Select the Private Endpoint radio button in the Networking tab.

  2. Cliquer sur le bouton « + Ajouter » pour ajouter un point de terminaison privé.Click the "+ Add" Button to add a private endpoint.

    Capture d’écran montrant l’onglet « Mise en réseau » de la page « Créer un coffre de clés »

  3. Dans le champ « Région » du panneau Créer un point de terminaison privé, sélectionnez la région dans laquelle se trouve votre réseau virtuel.In the "Location" field of the Create Private Endpoint Blade, select the region in which your virtual network is located.

  4. Dans le champ « Nom », créez un nom descriptif qui vous permettra d’identifier ce point de terminaison privé.In the "Name" field, create a descriptive name that will allow you to identify this private endpoint.

  5. Dans le menu déroulant, sélectionnez le réseau virtuel et le sous-réseau dans lesquels vous souhaitez que ce point de terminaison privé soit créé.Select the virtual network and subnet you want this private endpoint to be created in from the dropdown menu.

  6. Laissez l’option « intégrer à la zone DNS privée » inchangée.Leave the "integrate with the private zone DNS" option unchanged.

  7. Sélectionnez « OK ».Select "Ok".

    Capture d’écran montrant la page « Créer un point de terminaison privé » avec les paramètres sélectionnés.

Le point de terminaison privé configuré est maintenant visible.You will now be able to see the configured private endpoint. Vous avez maintenant la possibilité de supprimer et de modifier ce point de terminaison privé.You now have the option to delete and edit this private endpoint. Sélectionnez le bouton « Vérifier + créer » et créez le coffre de clés.Select the "Review + Create" button and create the key vault. Le déploiement prend entre 5 et 10 minutes.It will take 5-10 minutes for the deployment to complete.

Si vous disposez déjà d’un coffre de clés, vous pouvez créer une connexion de liaison privée en suivant ces étapes :If you already have a key vault, you can create a private link connection by following these steps:

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.

  2. Dans la barre de recherche, tapez « coffres de clés ».In the search bar, type in "key vaults"

  3. Dans la liste, sélectionnez le coffre de clés auquel vous voulez ajouter un point de terminaison privé.Select the key vault from the list to which you want to add a private endpoint.

  4. Sélectionnez l’onglet « Mise en réseau » en dessous de Paramètres.Select the "Networking" tab under Settings

  5. Sélectionnez l’onglet Connexions des points de terminaison privés en haut de la pageSelect the Private endpoint connections tab at the top of the page

  6. Sélectionnez le bouton « + Point de terminaison privé » en haut de la page.Select the "+ Private Endpoint" button at the top of the page.

    Capture d’écran montrant le bouton « + Point de terminaison privé » dans la page « Mise en réseau ».Screenshot that shows the '+ Private Endpoint' button on the 'Networking' page. Capture d’écran montrant l’onglet « Informations de base » dans la page « Créer un point de terminaison privé (préversion) »Screenshot that shows the 'Basics' tab on the 'Create a private endpoint (Preview) page.

Vous pouvez choisir de créer un point de terminaison privé pour n’importe quelle ressource Azure à l’aide de ce panneau.You can choose to create a private endpoint for any Azure resource in using this blade. Vous pouvez soit utiliser les menus déroulants pour sélectionner un type de ressource et sélectionner une ressource dans votre annuaire, soit vous connecter à une ressource Azure en utilisant un ID de ressource.You can either use the dropdown menus to select a resource type and select a resource in your directory, or you can connect to any Azure resource using a resource ID. Laissez l’option « intégrer à la zone DNS privée » inchangée.Leave the "integrate with the private zone DNS" option unchanged.

Capture d’écran montrant l’ajout d’un point de terminaison privé à l’aide du panneau actuel Capture d’écran montrant un exemple de la page « Créer un point de terminaison privé (préversion) »Screenshot that shows adding a private endpoint using the current blade. Screenshot that shows an example of the 'Create a private endpoint (Preview) page.

Quand vous créez un point de terminaison privé, la connexion doit être approuvée.When you create a private endpoint, the connection must be approved. Si la ressource pour laquelle vous créez un point de terminaison privé se trouve dans votre annuaire, vous pouvez approuver la demande de connexion à condition de bénéficier d’autorisations suffisantes. Si vous vous connectez à une ressource Azure située dans un autre annuaire, vous devez attendre que le propriétaire de cette ressource approuve votre demande de connexion.If the resource for which you are creating a private endpoint is in your directory, you will be able to approve the connection request provided you have sufficient permissions; if you are connecting to an Azure resource in another directory, you must wait for the owner of that resource to approve your connection request.

Il existe quatre états de provisionnement :There are four provisioning states:

Action du fournisseur de serviceService provide action État du point de terminaison privé de l’utilisateur du serviceService consumer private endpoint state DescriptionDescription
NoneNone PendingPending La connexion est créée manuellement et est en attente d’approbation du propriétaire de la ressource Private Link.Connection is created manually and is pending approval from the Private Link resource owner.
ApprobationApprove ApprovedApproved La connexion a été approuvée automatiquement ou manuellement et est prête à être utilisée.Connection was automatically or manually approved and is ready to be used.
RejeterReject RejetéRejected La connexion a été rejetée par le propriétaire de la ressource Private Link.Connection was rejected by the private link resource owner.
SupprimerRemove DéconnectéDisconnected La connexion a été supprimée par le propriétaire de la ressource Private Link, le point de terminaison privé devient donc informatif et doit être supprimé dans le cadre d’un nettoyage.Connection was removed by the private link resource owner, the private endpoint becomes informative and should be deleted for cleanup.

Comment gérer une connexion de point de terminaison privé à un coffre de clés à l’aide du portail AzureHow to manage a private endpoint connection to Key Vault using the Azure portal

  1. Connectez-vous au portail Azure.Log in to the Azure portal.

  2. Dans la barre de recherche, tapez « coffres de clés ».In the search bar, type in "key vaults"

  3. Sélectionnez le coffre de clés que vous voulez gérer.Select the key vault that you want to manage.

  4. Sélectionnez l’onglet « Mise en réseau ».Select the "Networking" tab.

  5. Si une connexion est en attente, celle-ci présente l’état de provisionnement « En attente ».If there are any connections that are pending, you will see a connection listed with "Pending" in the provisioning state.

  6. Sélectionnez le point de terminaison privé que vous souhaitez approuver.Select the private endpoint you wish to approve

  7. Sélectionnez le bouton Approuver.Select the approve button.

  8. Si vous voulez rejeter une connexion de point de terminaison privé, qu’il s’agisse d’une demande en attente ou d’une connexion existante, sélectionnez cette connexion et cliquez sur le bouton « Rejeter ».If there are any private endpoint connections you want to reject, whether it is a pending request or existing connection, select the connection and click the "Reject" button.

    Image

Vous devez vérifier que les ressources contenues dans le sous-réseau de la ressource de point de terminaison privé se connectent à votre coffre de clés via une adresse IP privée, et qu’elles sont intégrées à la zone DNS privée appropriée.You should validate that the resources within the same subnet of the private endpoint resource are connecting to your key vault over a private IP address, and that they have the correct private DNS zone integration.

Commencez par créer une machine virtuelle en suivant les étapes décrites dans Créer une machine virtuelle Windows sur le portail Azure.First, create a virtual machine by following the steps in Create a Windows virtual machine in the Azure portal

Sous l’onglet « Mise en réseau » :In the "Networking" tab:

  1. Spécifiez un réseau virtuel et un sous-réseau.Specify Virtual network and Subnet. Vous pouvez créer un nouveau réseau virtuel ou en utiliser un existant.You can create a new virtual network or select an existing one. Si vous en sélectionnez un existant, veillez à ce que la région corresponde.If selecting an existing one, make sure the region matches.
  2. Spécifiez une ressource IP publique.Specify a Public IP resource.
  3. Dans « Groupe de sécurité réseau de la carte réseau », sélectionnez « Aucun ».In the "NIC network security group", select "None".
  4. Dans « Équilibrage de charge », sélectionnez « Non ».In the "Load balancing", select "No".

Ouvrez la ligne de commande et exécutez la commande suivante :Open the command line and run the following command:

nslookup <your-key-vault-name>.vault.azure.net

Si vous exécutez la commande ns lookup pour résoudre l’adresse IP d’un coffre de clés via un point de terminaison public, vous obtenez un résultat semblable à ceci :If you run the ns lookup command to resolve the IP address of a key vault over a public endpoint, you will see a result that looks like this:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Si vous exécutez la commande ns lookup pour résoudre l’adresse IP d’un coffre de clés via un point de terminaison privé, vous obtenez un résultat semblable à ceci :If you run the ns lookup command to resolve the IP address of a key vault over a private endpoint, you will see a result that looks like this:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Guide de résolution des problèmesTroubleshooting Guide

  • Vérifiez que le point de terminaison privé est dans l’état Approuvé.Check to make sure the private endpoint is in the approved state.

    1. Vous pouvez vérifier et corriger cela dans le portail Azure.You can check and fix this in Azure portal. Ouvrez la ressource Key Vault, puis cliquez sur l’option Réseau.Open the Key Vault resource, and click the Networking option.
    2. Sélectionnez ensuite l’onglet Connexions de point de terminaison privé.Then select the Private endpoint connections tab.
    3. Vérifiez que l’état de la connexion est Approuvé et que l’état de provisionnement est Réussite.Make sure connection state is Approved and provisioning state is Succeeded.
    4. Vous pouvez également accéder à la ressource de point de terminaison privé et y examiner les mêmes propriétés, et vérifier que le réseau virtuel correspond à celui que vous utilisez.You may also navigate to the private endpoint resource and review same properties there, and double-check that the virtual network matches the one you are using.
  • Vérifiez que vous disposez d’une ressource de zone DNS privée.Check to make sure you have a Private DNS Zone resource.

    1. Vous devez avoir d’une ressource de zone DNS privée avec ce nom exact : privatelink.vaultcore.azure.net.You must have a Private DNS Zone resource with the exact name: privatelink.vaultcore.azure.net.
    2. Pour savoir comment configurer cela, consultez le lien suivant.To learn how to set this up please see the following link. Zones DNS privéesPrivate DNS Zones
  • Vérifiez que la zone DNS privée n’est pas liée au réseau virtuel.Check to make sure the Private DNS Zone is not linked to the Virtual Network. Ceci peut être le problème si vous continuez de recevoir l’adresse IP publique en retour.This may be the issue if you are still getting the public IP address returned.

    1. Si la zone DNS privée n’est pas liée au réseau virtuel, la requête DNS provenant du réseau virtuel va retourner l’adresse IP publique du coffre de clés.If the Private Zone DNS is not linked to the virtual network, the DNS query originating from the virtual network will return the public IP address of the key vault.
    2. Accédez à la ressource de zone DNS privée dans le portail Azure et cliquez sur l’option des liens du réseau virtuel.Navigate to the Private DNS Zone resource in the Azure portal and click the virtual network links option.
    3. Le réseau virtuel qui va effectuer les appels au coffre de clés doit être listé.The virtual network that will perform calls to the key vault must be listed.
    4. Si ce n’est pas le cas, ajoutez-le.If it's not there, add it.
    5. Pour obtenir des étapes détaillées, consultez le document suivant : Lier un réseau virtuel à une zone DNS privéeFor detailed steps, see the following document Link Virtual Network to Private DNS Zone
  • Vérifiez que la zone DNS privée contient bien un enregistrement A pour le coffre de clés.Check to make sure the Private DNS Zone is not missing an A record for the key vault.

    1. Accédez à la page Zone DNS privée.Navigate to the Private DNS Zone page.
    2. Cliquez sur Vue d’ensemble et vérifiez qu’il existe un enregistrement A avec le nom simple de votre coffre de clés (par exemple fabrikam).Click Overview and check if there is an A record with the simple name of your key vault (i.e. fabrikam). Ne spécifiez aucun suffixe.Do not specify any suffix.
    3. Vérifiez bien l’orthographe, puis créez ou corrigez l’enregistrement A.Make sure you check the spelling, and either create or fix the A record. Vous pouvez utiliser une durée de vie de 3600 (1 heure).You can use a TTL of 3600 (1 hour).
    4. Veillez à spécifier l’adresse IP privée correcte.Make sure you specify the correct private IP address.
  • Vérifiez que l’enregistrement a l’adresse IP correcte.Check to make sure the A record has the correct IP Address.

    1. Vous pouvez confirmer l’adresse IP en ouvrant la ressource de point de terminaison privé dans le portail Azure.You can confirm the IP address by opening the Private Endpoint resource in Azure portal.
    2. Accédez à la ressource Microsoft.Network/privateEndpoints dans le portail Azure (et non pas à la ressource Key Vault).Navigate to the Microsoft.Network/privateEndpoints resource, in the Azure portal (not the Key Vault resource)
    3. Dans la page Vue d’ensemble, recherchez interface réseau, puis cliquez sur ce lien.In the overview page look for Network interface and click that link.
    4. Le lien montre la vue d’ensemble de la ressource de carte réseau, qui contient la propriété Adresse IP privée.The link will show the Overview of the NIC resource, which contains the property Private IP address.
    5. Vérifiez qu’il s’agit de l’adresse IP correcte spécifiée dans l’enregistrement A.Verify that this is the correct IP address that is specified in the A record.

Limitations et remarques sur la conceptionLimitations and Design Considerations

Nota

Le nombre de coffres de clés avec des points de terminaison privés activés par abonnement est une limite modifiable.The number of key vaults with private endpoints enabled per subscription is an adjustable limit. La limite indiquée ci-dessous est la limite par défaut.The limit shown below is the default limit. Si vous souhaitez demander une augmentation de la limite pour votre service, veuillez envoyer un e-mail à akv-privatelink@microsoft.com.If you would like to request a limit increase for your service, please send an email to akv-privatelink@microsoft.com. Nous approuverons ces demandes au cas par cas.We will approve these requests on a case by case basis.

Prix : Pour plus d’informations sur les prix, consultez Prix d’Azure Private Link.Pricing: For pricing information, see Azure Private Link pricing.

Limitations : Le point de terminaison privé pour Azure Key Vault est disponible uniquement dans les régions publiques Azure.Limitations: Private Endpoint for Azure Key Vault is only available in Azure public regions.

Nombre maximal de points de terminaison privés par coffre de clés : 64.Maximum Number of Private Endpoints per Key Vault: 64.

Nombre par défaut de coffres de clés avec points de terminaison privés par abonnement : 400.Default Number of Key Vaults with Private Endpoints per Subscription: 400.

Pour plus d’informations, consultez Service Azure Private Link : LimitationsFor more, see Azure Private Link service: Limitations

Étapes suivantesNext Steps