Résolution des problèmes de stratégie d’accès au coffre de clés Azure
Forum aux questions
Je n’arrive pas à répertorier ni à obtenir les secrets/clés/certificats. Une erreur de type « Un problème est survenu... » est affichée
Si vous rencontrez un problème avec l’affichage, l’obtention, la création ou l’accès à un secret, vérifiez que votre stratégie d’accès vous permet cette opération : Stratégies d’accès à un coffre de clés Key Vault
Comment faire pour identifier le mode et le moment d’accès aux coffres de clés ?
Une fois que vous avez créé un ou plusieurs coffres de clés, vous voulez probablement contrôler qui accède à ces derniers, par quel moyen et quand. Pour effectuer cette supervision, vous pouvez activer la journalisation pour Azure Key Vault. Pour plus d’informations sur l’activation de la journalisation, consultez ce guide pas à pas.
Comment faire pour surveiller la disponibilité du coffre, les périodes de latence du service ou d’autres métriques de performances pour le coffre de clés ?
Plus votre service se développera, plus le nombre de demandes envoyées à votre coffre de clés augmentera. Cette demande risque d'augmenter la latence de vos demandes et, dans les cas les plus extrêmes, de les limiter, ce qui dégradera les performances de votre service. Vous pouvez surveiller les métriques de performances du coffre de clés et recevoir des alertes pour des seuils spécifiques. Pour en savoir plus sur la configuration de la surveillance, consultez ce guide pas à pas.
Je n’arrive pas à modifier la stratégie d’accès, comment puis-je l’activer ?
L’utilisateur doit disposer d’autorisations Microsoft Entra suffisantes pour modifier la stratégie d’accès. Dans le cas présent, l’utilisateur doit détenir un rôle Contributeur supérieur.
Je vois une erreur « Stratégie inconnue ». Qu’est‑ce que cela signifie ?
Une stratégie d’accès peut s’afficher dans la section Inconnu pour deux raisons :
- Un utilisateur précédent y avait accès, mais il n’existe plus.
- La stratégie d’accès a été ajoutée via PowerShell avec objectid de l’application au lieu du principal de service.
Comment faire pour attribuer le contrôle d’accès par objet du coffre de clés ?
L’attribution de rôles sur des clés, des secrets et des certificats individuels doit être évitée. Exceptions concernant les conseils généraux :
Scénarios où les secrets individuels doivent être partagés entre plusieurs applications, par exemple lorsqu’une application doit accéder aux données de l’autre application
Comment faire pour fournir une authentification auprès du coffre de clés à l’aide d’une stratégie de contrôle d’accès ?
Le moyen le plus simple d’authentifier une application cloud auprès de Key Vault consiste à utiliser une identité managée. Pour plus d’informations, consultez Authentification auprès d’Azure Key Vault. Si vous créez une application locale, si vous effectuez du développement local ou si vous ne parvenez pas à utiliser une identité managée, vous pouvez à la place inscrire un principal de service manuellement et fournir l’accès au coffre de clés à l’aide d’une stratégie de contrôle d’accès. Consultez Attribution d’une stratégie de contrôle d’accès.
Comment faire pour autoriser le groupe AD à accéder au coffre de clés ?
Accordez les autorisations de groupe AD à votre coffre de clés à l’aide de la commande Azure CLI az keyvault set-policy ou de la cmdlet Azure PowerShell Set-AzKeyVaultAccessPolicy. Consultez Attribution d’une stratégie d’accès – CLI et Attribution d’une stratégie d’accès – PowerShell.
L’application nécessite également l’affectation d’au moins un rôle IAM (gestion des identités et des accès) au coffre de clés. Sinon, elle ne peut ni se connecter ni accéder à l’abonnement en raison de droits insuffisants. Les groupes Microsoft Entra avec des identités managées peuvent nécessiter de nombreuses heures pour actualiser les jetons et devenir efficaces. Voir Limitation de l'utilisation des identités managées pour l'autorisation
Comment faire pour redéployer Key Vault avec un modèle ARM sans supprimer les stratégies d’accès existantes ?
Actuellement, un redéploiement Key Vault a pour effet de supprimer toutes les stratégies d’accès de Key Vault et de les remplacer par une stratégie d’accès dans un modèle ARM. Il n’existe pas d’option incrémentielle pour les stratégies d’accès du Key Vault. Afin de conserver dans Key Vault les stratégies d’accès existantes, vous devez lire celles-ci dans Key Vault, puis remplir le modèle ARM à l’aide de ces stratégies pour éviter toute interruption d’accès.
Une autre option qui peut être utile pour ce scénario consiste à utiliser le contrôle RBAC Azure et des rôles en guise d’alternative aux stratégies d’accès. Avec le contrôle RBAC Azure, vous pouvez redéployer le coffre de clés sans spécifier à nouveau la stratégie. Vous trouverez d’autres informations sur cette solution ici.
Procédure de résolution des problèmes recommandée pour les types d’erreurs suivants
- HTTP 401 : Requête non authentifiée – Étapes de résolution des problèmes
- HTTP 403 : Autorisations insuffisantes – Étapes de résolution des problèmes
- HTTP 429 : Nombre de requêtes trop élevé – Étapes de résolution des problèmes
- Vérifiez si vous êtes autorisé à supprimer l’accès au coffre de clés : Consultez Attribution d’une stratégie d’accès – CLI, Attribution d’une stratégie d’accès – PowerShell ou Attribution d’une stratégie d’accès – Portail.
- Si vous rencontrez un problème avec l’authentification auprès du coffre de clés dans le code, utilisez le SDK d’authentification
Quelles sont les meilleures pratiques à implémenter lorsque le coffre de clés est limité ?
Suivez les meilleures pratiques décrites ici.
Étapes suivantes
Découvrez comment résoudre les erreurs d’authentification de coffre de clés : Guide de résolution des problèmes liés à Key Vault.