Partager via


Démarrage rapide : Connectez les services Azure et stockez les secrets dans Azure Key Vault

Azure Key Vault est un service cloud qui fonctionne comme un magasin sécurisé contenant des secrets. Vous pouvez stocker des clés, des mots de passe, des certificats et d’autres secrets en toute sécurité. Quand vous créez une connexion de service, vous pouvez stocker en toute sécurité les clés d’accès et les secrets dans les coffres Key Vault connectés. Dans ce tutoriel, vous effectuez les tâches suivantes à l’aide du portail Azure. Les deux méthodes sont expliquées dans les procédures suivantes.

  • Créer une connexion de service à Azure Key Vault dans Azure App Service
  • Créer une connexion de service à Stockage Blob Azure et stocker des secrets dans Key Vault
  • Afficher des secrets dans Key Vault

Prérequis

Voici les éléments nécessaires pour créer une connexion de service et stocker des secrets dans Key Vault avec le connecteur de services :

Créer une connexion Key Vault dans App Service

Pour stocker vos clés d’accès et secrets de connexion dans un coffre de clés, commencez par connecter votre App Service à un coffre de clés.

  1. Dans le Portail Microsoft Azure, tapez App Service dans le menu de recherche et sélectionnez le nom de l'App Service que vous souhaitez utiliser dans la liste.

  2. Sélectionnez Connecteur de services dans la table des matières à gauche. Sélectionnez ensuite Créer.

  3. Sélectionnez ou saisissez les paramètres suivants.

    Paramètre Valeur suggérée Description
    Type de service Key Vault Type du service cible. Si vous n’avez pas de Key Vault, créez-en un.
    Abonnement Un de vos abonnements. Abonnement dans lequel votre service cible est déployé. Le service cible est celui auquel vous souhaitez vous connecter. L’abonnement par défaut est l’abonnement répertorié pour App Service.
    Nom de connexion Nom unique généré Nom de la connexion qui existe entre votre instance App Service et le service cible
    Nom du coffre de clés Votre nom de Key Vault Key Vault cible auquel vous souhaitez vous connecter.
    Type de client La même pile d’applications sur cette instance App Service Votre pile d’applications qui fonctionne avec le service cible que vous avez sélectionné. La valeur par défaut est issue de la pile d’exécution App Service.
  4. Sélectionnez Suivant : Authentification pour sélectionner le type d’authentification. Sélectionnez ensuite l’identité managée affectée par le système pour connecter votre Key Vault.

  5. Sélectionnez Suivant : Réseau pour sélectionner la configuration réseau. Sélectionnez ensuite Activer les paramètres de pare-feu pour mettre à jour la liste d’autorisation du pare-feu dans Key Vault afin que votre App Service puisse atteindre le Key Vault.

  6. Sélectionnez ensuite Suivant : Vérifier + créer pour passer en revue les informations fournies. Sélectionnez Créer pour créer la connexion de service. Cette opération peut prendre 1 minute.

Créez une connexion de Stockage Blob dans App Service et stockez les clés d’accès dans Key Vault

Vous pouvez maintenant créer une connexion de service à un autre service cible, et stocker directement des clés d’accès dans un coffre de clés connecté lors de l’utilisation d’une chaîne de connexion/clé d’accès ou d’un principal de service pour l’authentification. Nous utilisons le Stockage Blob en guise d’exemple ci-dessous. Procédez de la même manière pour les autres services cibles.

  1. Dans le Portail Microsoft Azure, tapez App Service dans le menu de recherche et sélectionnez le nom de l'App Service que vous souhaitez utiliser dans la liste.

  2. Sélectionnez Connecteur de services dans la table des matières à gauche. Sélectionnez ensuite Créer.

  3. Sélectionnez ou saisissez les paramètres suivants.

    Paramètre Valeur suggérée Description
    Type de service Stockage Blob Type du service cible. Si vous n’avez pas de conteneur Stockage Blob, vous pouvez en créer un ou utiliser un autre type de service.
    Abonnement L’un de vos abonnements Abonnement dans lequel votre service cible est déployé. Le service cible est celui auquel vous souhaitez vous connecter. L’abonnement par défaut est l’abonnement répertorié pour App Service.
    Nom de connexion Nom unique généré Nom qui permet d’identifier la connexion entre votre instance App Service et le service cible.
    Compte de stockage Votre compte de stockage Compte de stockage cible auquel vous souhaitez vous connecter. Si vous choisissez un autre type de service, sélectionnez l’instance de service cible correspondante.
    Type de client La même pile d’applications sur cette instance App Service Votre pile d’applications qui fonctionne avec le service cible que vous avez sélectionné. La valeur par défaut est issue de la pile d’exécution App Service.
  4. Configurer l’authentification

    Important

    Microsoft vous recommande d’utiliser le flux d’authentification le plus sécurisé disponible. Le flux d'authentification décrit dans cette procédure demande un degré de confiance très élevé dans l'application et comporte des risques qui ne sont pas présents dans d'autres flux. Vous ne devez utiliser ce flux que si d’autres flux plus sécurisés, tels que les identités managées, ne sont pas viables.

    Sélectionnez Suivant : Authentification pour sélectionner le type d'authentification et sélectionnez Chaîne de connexion pour utiliser une clé d'accès pour connecter votre compte de stockage.

    Paramètre Valeur suggérée Description
    Stocker le secret dans Key Vault Vérification Cette option permet au connecteur de services de stocker la chaîne de connexion/la clé d’accès dans votre coffre Key Vault.
    Connexion Key Vault Une de vos connexions Key Vault Sélectionnez le Key Vault dans lequel vous souhaitez stocker votre chaîne de connexion/clé d’accès.
  5. Sélectionnez Suivant : Réseau et Activer les paramètres du Pare-feu pour mettre à jour la liste blanche du pare-feu dans Key Vault afin que votre App Service puisse atteindre Key Vault.

  6. Sélectionnez ensuite Suivant : Vérifier + créer pour passer en revue les informations fournies.

  7. Sélectionnez Créer pour créer la connexion de service. L'opération peut prendre jusqu'à une minute.

Afficher votre configuration dans Key Vault

  1. Développez la connexion Stockage Blob, sélectionnez Valeur masquée. Cliquez pour afficher la valeur. Vous pouvez constater que la valeur est une référence Key Vault.

  2. Sélectionnez le Key Vault dans la colonne Type de service de votre connexion Key Vault. Vous êtes redirigé vers la page du portail Key Vault.

  3. Sélectionnez Secrets dans la table des matières Key Vault à gauche, puis sélectionnez le nom du secret du Stockage Blob.

    Conseil

    Vous n’êtes pas autorisé à répertorier les secrets ? Reportez-vous au dépannage d’Azure Key Vault.

  4. Sélectionnez un ID de version dans la liste Version actuelle.

  5. Sélectionnez Afficher la valeur secrète pour obtenir la chaîne de connexion de cette connexion de stockage blob.

Nettoyer les ressources

Quand vous n’en avez plus besoin, supprimez le groupe de ressources et toutes les ressources créées pour ce tutoriel. Pour cela, sélectionnez un groupe de ressources ou les ressources individuelles que vous avez créées et sélectionnez Supprimer.

Étapes suivantes