Gérer les secrets d’Azure Stack Edge à l’aide d’Azure Key Vault
S’APPLIQUE À : Azure Stack Edge Pro : GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Azure Key Vault est intégré à la ressource Azure Stack Edge pour la gestion des secrets. Cet article fournit des détails sur la création d’un Azure Key Vault pour la ressource Azure Stack Edge pendant l’activation de l’appareil et qui est ensuite utilisé pour la gestion des secrets.
À propos du coffre de clés et d’Azure Stack Edge
Le service cloud Azure Key Vault peut être utilisé pour stocker en toute sécurité les jetons, mots de passe, certificats, clés d’API et autres secrets, et en contrôler étroitement l’accès. Key Vault simplifie la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données.
Pour le service Azure Stack Edge, l’intégration au coffre de clés offre les avantages suivants :
Stocke les secrets des clients. L’un des secrets utilisés pour le service Azure Stack Edge est la clé d’intégrité de canal (CIK). Cette clé vous permet de chiffrer vos secrets et est stockée en toute sécurité dans le coffre de clés. Les secrets de l’appareil, tels que la clé de récupération BitLocker et le mot de passe de l’utilisateur du contrôleur de gestion de la carte de base (BMC), sont également stockés dans le coffre de clés.
Pour plus d’informations, consultez la rubrique Stocker en toute sécurité les secrets et clés.
Transmet les secrets chiffrés du client à l’appareil.
Affiche les secrets de l’appareil pour faciliter l’accès en cas de défaillance de l’appareil.
Générer une clé d’activation et créer un coffre de clés
Un coffre de clés est créé pour la ressource Azure Stack Edge pendant le processus de génération de clé d’activation. Le coffre de clés est créé dans le même groupe de ressources que celui où se trouve la ressource Azure Stack Edge. Une autorisation de Contributeur est requise pour le coffre de clés.
Conditions préalables pour le coffre de clés
Avant la création du coffre de clés lors de l’activation, les conditions préalables suivantes doivent être remplies :
Inscrivez le fournisseur de ressources Microsoft.KeyVault avant de créer la ressource Azure Stack Edge. Le fournisseur de ressources est automatiquement inscrit si vous disposez d’un accès propriétaire ou contributeur à l’abonnement. Le coffre de clés est créé dans le même abonnement et le même groupe de ressources que la ressource Azure Stack Edge.
Lorsque vous créez une ressource Azure Stack Edge, une identité managée affectée par le système est également créée ; elle persiste pendant toute la durée de vie de la ressource et communique avec le fournisseur de ressources sur le cloud.
Lorsque l’identité managée est activée, Azure crée une identité approuvée pour la ressource Azure Stack Edge.
Création d’un coffre de clés
Une fois que vous avez créé la ressource, vous devez l’activer avec l’appareil. Pour ce faire, vous allez générer une clé d’activation à partir du portail Azure.
Lorsque vous générez une clé d’activation, les événements suivants se produisent :
- Vous demandez une clé d’activation dans le portail Azure. La demande est ensuite envoyée au fournisseur de ressources du coffre de clés.
- Un coffre de clés de niveau standard avec une stratégie d’accès est créé et est verrouillé par défaut.
Ce coffre de clés utilise le nom par défaut ou un nom personnalisé de 3 à 24 caractères que vous avez spécifié. Vous ne pouvez pas utiliser un coffre de clés qui est déjà en cours d’utilisation.
Les détails du coffre de clés sont stockés dans le service. Ce coffre de clés est utilisé pour la gestion des secrets et persiste tant que la ressource Azure Stack Edge existe.
- Un verrou de ressource est activé sur le coffre de clés pour éviter toute suppression accidentelle. Une suppression réversible est également activée sur le coffre de clés, ce qui permet la restauration du coffre de clés dans un délai de 90 jours en cas de suppression accidentelle. Pour plus d’informations, consultez Vue d’ensemble de la suppression réversible d’Azure Key Vault.
- Une identité managée affectée par le système, qui a été créée lorsque vous avez créé la ressource Azure Stack Edge, est désormais activée.
- Une clé d’intégrité de canal (CIK) est générée et placée dans le coffre de clés. Les détails de la CIK sont affichés dans le service.
- Un compte de stockage redondant interzone (ZRS) est également créé dans la même étendue que la ressource Azure Stack Edge, et un verrou est placé sur le compte.
- Ce compte est utilisé pour stocker les journaux d’audit.
- La création du compte de stockage est un processus long et prend quelques minutes.
- Le compte de stockage est étiqueté avec le nom du coffre de clés.
- Un paramètre de diagnostic est ajouté au coffre de clés et la journalisation est activée.
- L’identité managée est ajoutée à la stratégie d’accès du coffre de clés pour permettre l’accès au coffre de clés, car l’appareil utilise le coffre de clés pour stocker et récupérer des secrets.
- Le coffre de clés authentifie la demande à l’aide de l’identité managée pour générer la clé d’activation. La clé d’activation est renvoyée au portail Azure. Vous pouvez ensuite copier cette clé et l’utiliser dans l’interface utilisateur locale pour activer votre appareil.
Remarque
- Si vous disposiez d’une ressource Azure Stack Edge existante avant l’intégration d’Azure Key Vault à la ressource Azure Stack Edge, vous n’êtes pas affecté. Vous pouvez continuer à utiliser votre ressource Azure Stack Edge existante.
- La création du coffre de clés et du compte de stockage augmente le coût global des ressources. Pour plus d’informations sur les transactions autorisées et les frais correspondants, consultez les pages de tarification pour Azure Key Vault et de tarification pour un compte de stockage.
Si vous rencontrez des problèmes liés au coffre de clés et à l’activation d’appareil, consultez Résoudre les problèmes d’activation d’appareil.
Afficher les propriétés du coffre de clés
Une fois la clé d’activation générée et le coffre des clés créé, vous souhaiterez peut-être accéder au coffre des clés pour consulter les secrets, les stratégies d’accès, les diagnostics et les insights. La procédure suivante décrit chacune de ces opérations.
Afficher les secrets
Une fois la clé d’activation générée et le coffre de clés créé, vous souhaiterez peut-être accéder au coffre de clés.
Pour accéder au coffre de clés et afficher les secrets, procédez comme suit :
Dans le portail Azure, sur la page de votre ressource Azure Stack Edge, accédez à Sécurité.
Dans le volet de droite, sous Sécurité, vous pouvez voir les secrets.
Vous pouvez également accéder au coffre de clés associé à votre ressource Azure Stack Edge. Sélectionnez Nom du coffre de clés.
Pour afficher les secrets stockés dans votre coffre de clés, accédez à Secrets. La clé d’intégrité de canal, la clé de récupération BitLocker et les mots de passe d’utilisateur du contrôleur de gestion de la carte de base (BMC) sont stockés dans le coffre de clés. Si l’appareil tombe en panne, le portail permet d’accéder facilement à la clé de récupération BitLocker et au mot de passe d’utilisateur du BMC.
Afficher les stratégies d’accès de l’identité managée
Pour accéder aux stratégies d’accès de votre coffre de clés et de votre identité managée, procédez comme suit :
Dans le portail Azure, sur la page de votre ressource Azure Stack Edge, accédez à Sécurité.
Sélectionnez le lien correspondant à Nom du coffre de clés pour accéder au coffre de clés associé à votre ressource Azure Stack Edge.
Pour afficher les stratégies d’accès associées à votre coffre de clés, accédez à Stratégies d’accès. Vous pouvez voir que l’identité managée a reçu un accès. Sélectionnez Autorisations du secret. Vous pouvez voir que l’accès de l’identité managée est limité uniquement aux opérations Get et Set du secret.
Afficher les journaux d’audit
Pour accéder au coffre de clés et afficher les paramètres de diagnostic et les journaux d’audit, procédez comme suit :
Dans le portail Azure, sur la page de votre ressource Azure Stack Edge, accédez à Sécurité.
Sélectionnez le lien correspondant à Nom du coffre de clés pour accéder au coffre de clés associé à votre ressource Azure Stack Edge.
Pour afficher les paramètres de diagnostic associés à votre coffre de clés, accédez à Paramètres de diagnostic. Ce paramètre vous permet de surveiller comment et quand vos coffres de clés sont accessibles, et par qui. Vous pouvez voir qu’un paramètre de diagnostic a été créé. Les journaux circulent dans le compte de stockage qui a également été créé. Des événements d’audit sont également créés dans le coffre de clés.
Si vous avez configuré une autre cible de stockage pour les journaux sur le coffre de clés, vous pouvez consulter les journaux directement dans ce compte de stockage.
Afficher les informations
Pour accéder aux insights relatifs au coffre de clés, y compris les opérations effectuées sur le coffre de clés, procédez comme suit :
Dans le portail Azure, sur la page de votre ressource Azure Stack Edge, accédez à Sécurité.
Sélectionnez le lien correspondant à Diagnostics du coffre de clés.
Le panneau Insights donne une vue d’ensemble des opérations effectuées sur le coffre de clés.
Afficher l’état de l’identité managée
Pour afficher l’état de l’identité managée affectée par le système associée à votre ressource Azure Stack Edge, procédez comme suit :
Dans le portail Azure, sur la page de votre ressource Azure Stack Edge, accédez à Sécurité.
Dans le volet de droite, accédez à Identité managée affectée par le système pour voir si l’identité managée affectée par le système est activée ou désactivée.
Afficher les verrous du coffre de clés
Pour accéder au coffre de clés et afficher les verrous, procédez comme suit :
Dans le portail Azure, sur la page de votre ressource Azure Stack Edge, accédez à Sécurité.
Sélectionnez le lien correspondant à Nom du coffre de clés pour accéder au coffre de clés associé à votre ressource Azure Stack Edge.
Pour afficher les verrous sur votre coffre de clés, accédez à Verrous. Pour éviter toute suppression accidentelle, un verrou de ressource est activé sur le coffre de clés.
Régénérer la clé d’activation
Dans certains cas, vous devrez peut-être régénérer la clé d’activation. Lorsque vous régénérez une clé d’activation, les événements suivants se produisent :
- Vous demandez la régénération d’une clé d’activation dans le portail Azure.
- La clé d’activation est renvoyée au portail Azure. Vous pouvez ensuite copier cette clé et l’utiliser.
Le coffre de clés n’est pas accessible lorsque vous régénérez la clé d’activation.
Récupérer les secrets de l’appareil
Si la CIK est supprimée par inadvertance ou si des secrets (par exemple, le mot de passe d’utilisateur du BMC) sont devenus obsolètes dans le coffre de clés, vous devez transmettre par push les secrets à partir de l’appareil pour mettre à jour les secrets du coffre de clés.
Pour synchroniser les secrets de l’appareil, procédez comme suit :
Sur le portail Azure, accédez à votre ressource Azure Stack Edge, puis à Sécurité.
Dans le volet de droite, dans la barre de commande supérieure, sélectionnez Synchroniser les secrets de l’appareil.
Les secrets de l’appareil sont transmis par push au coffre de clés pour restaurer ou mettre à jour les secrets dans le coffre de clés. Une notification s’affiche lorsque la synchronisation est terminée.
Supprimer un coffre de clés
Il existe deux façons de supprimer le coffre de clés associé à la ressource Azure Stack Edge :
- Supprimer la ressource Azure Stack Edge et choisir de supprimer le coffre de clés associé en même temps.
- Suppression accidentelle du coffre de clés directement.
Lorsque votre ressource Azure Stack Edge est supprimée, le coffre de clés est également supprimé avec la ressource. Vous êtes invité à confirmer l’opération. Si vous stockez d’autres clés dans ce coffre de clés et que vous n’avez pas l’intention de le supprimer, vous pouvez choisir de ne pas donner votre consentement. Seule la ressource Azure Stack Edge est supprimée, laissant le coffre de clés intact.
Procédez comme suit pour supprimer la ressource de Azure Stack Edge et le coffre de clés associé :
Dans le portail Azure, accédez à votre ressource Azure Stack Edge, puis à Vue d’ensemble.
Dans le volet de droite, sélectionnez Supprimer. Cette action supprimera la ressource Azure Stack Edge.
Un panneau de confirmation s’affiche. Saisissez le nom de votre ressource Azure Stack Edge. Pour confirmer la suppression du coffre de clés associé, saisissez Oui.
Sélectionnez Supprimer.
La ressource Azure Stack Edge et le coffre de clés sont supprimés.
Le coffre de clés peut être supprimé accidentellement lorsque la ressource Azure Stack Edge est en cours d’utilisation. Dans ce cas, une alerte critique est déclenchée dans la page Sécurité de votre ressource Azure Stack Edge. Vous pouvez accéder à cette page pour récupérer votre coffre de clés.
Récupérer le coffre de clés
Vous pouvez récupérer le coffre de clés associé à votre ressource Azure Stack Edge s’il a été supprimé accidentellement ou vidé. Si ce coffre de clés a été utilisé pour stocker d’autres clés, vous devrez récupérer ces clés en restaurant le coffre de clés.
- Dans les 90 jours suivant la suppression, vous pouvez restaurer le coffre de clés qui a été supprimé.
- Si la période de protection contre le vidage de 90 jours est déjà écoulée, vous ne pouvez pas restaurer le coffre de clés. Vous devez alors créer un nouveau coffre de clés.
Dans les 90 jours suivant la suppression, procédez comme suit pour récupérer votre coffre de clés :
Dans le portail Azure, accédez à la page Sécurité de votre ressource Azure Stack Edge. Vous verrez une notification indiquant que le coffre de clés associé à votre ressource a été supprimé. Vous pouvez sélectionner la notification ou sélectionner Reconfigurer à côté du nom du coffre de clés sous Préférences de sécurité pour récupérer votre coffre de clés.
Dans le panneau Récupérer un coffre de clés, sélectionnez Configurer. Les opérations suivantes sont effectuées dans le cadre de la récupération :
Un coffre de clés est récupéré avec le même nom, et un verrou est placé sur la ressource du coffre de clés.
Remarque
Si votre coffre de clés est supprimé et que la période de protection contre le vidage de 90 jours n’est pas écoulée, alors le nom du coffre de clés ne peut pas être utilisé pour créer un nouveau coffre de clés pendant cette période.
Un compte de stockage est créé pour stocker les journaux d’audit.
L’accès au coffre de clés est accordé à l’identité managée affectée par le système.
Les secrets de l’appareil sont transmis par push au coffre de clés.
Sélectionnez Configurer.
Le coffre de clés est récupéré et, une fois la récupération terminée, une notification s’affiche à cet effet.
Si le coffre de clés est supprimé et que la période de protection contre le vidage de 90 jours s’est écoulée, vous avez la possibilité de créer un nouveau coffre de clés en suivant la procédure de récupération de clé décrite ci-dessus. Dans ce cas, vous devrez donner un nouveau nom à votre coffre de clés. Un nouveau compte de stockage est créé, l’identité managée se voit accorder l’accès à ce coffre de clés et les secrets de l’appareil sont transmis par push à ce coffre de clés.
Récupérer l’accès à l’identité managée
Si la stratégie d’accès de l’identité managée affectée par le système est supprimée, une alerte est déclenchée lorsque l’appareil est incapable de resynchroniser les secrets du coffre de clés. Si l’identité managée n’a pas accès au coffre de clés, une nouvelle alerte d’appareil est générée. Sélectionnez l’alerte dans chaque cas pour ouvrir le panneau Récupérer un coffre de clés et reconfigurer. Ce processus doit restaurer l’accès de l’identité managée.
Étapes suivantes
- En savoir plus sur la façon de Générer une clé d’activation.
- Résoudre les erreurs de coffre de clés sur votre appareil Azure Stack Edge.