À propos des clés de compte de stockage gérées par Azure Key Vault (hérité)
Important
Nous vous recommandons d’utiliser l’intégration de Stockage Azure avec Microsoft Entra ID, le service Microsoft basé sur le cloud qui gère les identités et les accès. L’intégration de Microsoft Entra est disponible pour les objets blob et les files d’attente Azure et fournit un accès basé sur les jetons OAuth2 au Stockage Azure (comme Azure Key Vault). Microsoft Entra ID vous permet d’authentifier votre application cliente en utilisant une identité d’application ou d’utilisateur plutôt que les informations d’identification du compte de stockage. Vous pouvez utiliser une identité managée Microsoft Entra quand votre machine s’exécute sur Azure. Les identités managées suppriment l’authentification du client ainsi que le stockage des informations d’identification dans ou avec votre application. Utilisez la solution ci-dessous uniquement quand l’authentification Microsoft Entra n’est pas possible.
Un compte de stockage Azure utilise des informations d’identification comprenant un nom de compte et une clé. La clé qui est générée automatiquement sert de mot de passe et non de clé de chiffrement. Key Vault gère les clés de compte de stockage en les regénérant régulièrement dans le compte de stockage. De plus, il fournit des jetons de signature d’accès partagé pour permettre un accès délégué aux ressources de votre compte de stockage.
Vous pouvez utiliser la fonctionnalité de clé de compte de stockage gérée de Key Vault pour lister (synchroniser) les clés avec un compte de stockage Azure et regénérer (faire tourner) régulièrement les clés. Vous pouvez gérer les clés des comptes de stockage et des comptes de stockage classiques.
Gestion des clés de compte de stockage Azure
Key Vault peut gérer les clés de compte de stockage Azure :
- En interne, Key Vault peut lister (synchroniser) les clés avec un compte de stockage Azure.
- Key Vault regénère (fait tourner) les clés régulièrement.
- Les valeurs de clés ne sont jamais retournées en réponse à l’appelant.
- Key Vault gère les clés des comptes de stockage et des comptes de stockage classiques.
Pour plus d'informations, consultez les pages suivantes :
Contrôle d’accès aux comptes de stockage
Vous pouvez utiliser les autorisations suivantes quand vous autorisez un utilisateur ou un principal d’application à effectuer des opérations sur un compte de stockage géré :
Autorisations pour les opérations de définition SAS et de compte de stockage géré
- get : obtenir des informations sur un compte de stockage
- list : lister les comptes de stockage gérés par un coffre de clés
- update : mettre à jour un compte de stockage
- delete : Suppression d'un compte de stockage
- recover : récupérer un compte de stockage supprimé
- backup : sauvegarder un compte de stockage
- restore : restaurer un compte de stockage sauvegardé sur un coffre de clés
- set : créer ou mettre à jour un compte de stockage
- regeneratekey : regénérer une valeur de clé spécifiée pour un compte de stockage
- getsas : obtenir des informations sur une définition SAS pour un compte de stockage
- listsas : lister les définitions SAS de stockage d’un compte de stockage
- deletesas : supprimer une définition SAS d’un compte de stockage
- setsas : créer ou mettre à jour une définition/des attributs SAS pour un compte de stockage
Autorisations pour les opérations privilégiées
- purge : effacer (supprimer définitivement) un compte de stockage géré
Pour plus d’informations, consultez Informations de référence sur les opérations de compte de stockage dans l’API REST Key Vault. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.