# Migration RBAC de Key Vault

Microsoft fait évoluer Azure Key Vault vers Azure RBAC comme modèle de contrôle d’accès par défaut pour tous les nouveaux Key Vaults à partir de la version d’API **2026‑02‑01**. En savoir plus [ici](https://learn.microsoft.com/en-us/azure/key-vault/general/access-control-default?tabs=azure-cli). 

Bien que RBAC ne soit pas strictement obligatoire et **que les Key Vaults existants utilisant des stratégies d’accès puissent continuer à fonctionner tels quels,** les tenants qui créent un nouveau Key Vault après la mise à niveau vers la nouvelle API auront RBAC par défaut, sauf si des stratégies d’accès sont explicitement configurées.

Il peut être judicieux de migrer vers RBAC quoi qu’il en soit, car cela fournit un modèle d’autorisations plus unifié et évolutif, aligné sur Microsoft Entra ID, et pérennise votre configuration au cas où Microsoft déprécierait les stratégies d’accès de Key Vault.

## Guide de migration

{% hint style="warning" %}
Tenez compte d’un éventuel temps d’arrêt avant de poursuivre. SCEPman ne pourra pas émettre ni vérifier de certificats tant que les autorisations n’auront pas été migrées avec succès.
{% endhint %}

{% stepper %}
{% step %}

### Accédez à votre Key Vault SCEPman

Accédez à Azure > Key Vaults > *Votre Key Vault SCEPman* 

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F9bKH9aF9Q6kydSEieT2V%2Fimage.png?alt=media&#x26;token=23dcdccb-c2c5-4514-8372-ab21f4aacaee" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Passez en revue vos Access Policies existantes

Accédez à **stratégies d’accès** et documentez les stratégies d’accès de votre SCEPman sous **Application***.* Les stratégies d’accès SCEPman doivent porter le même nom que votre App Service SCEPman (ainsi que tout App Service SCEPman géoredondant).&#x20;

*Utilisateur* les stratégies d’accès n’ont pas besoin d’être migrées, car elles n’auront pas d’impact sur les fonctionnalités de SCEPman. Les utilisateurs qui nécessitent un accès continu doivent voir leurs stratégies d’accès examinées et migrées vers des rôles Azure selon le tableau suivant : <https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mapping>

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F2UbFjoOgavF5Igu7miQm%2Fimage.png?alt=media&#x26;token=960b3d8d-bfe6-4b21-a333-bd76f1cec7f1" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Modifier le modèle d’autorisations

Modifier le modèle d’autorisations de **Vault access policy** vers **Azure role-based access control**

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FfyT4DqTi3pkfZxT1IgjI%2Fimage.png?alt=media&#x26;token=089ef0fd-77f7-46bc-8658-bff619006329" alt=""><figcaption></figcaption></figure>

Appuyer sur **Apply** déconnectera votre instance SCEPman du Key Vault jusqu’à ce que des rôles Azure soient attribués. Les anciennes stratégies d’accès seront également supprimées.
{% endstep %}

{% step %}

### Attribuer des rôles Azure

Accédez à Contrôle d’accès (IAM) et attribuez les rôles suivants à l’ **identité managée** de votre App Service SCEPman (ainsi que de tout App Service SCEPman géoredondant) :

* Key Vault Certificates Officer
* Key Vault Crypto Officer
* Key Vault Secrets User

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FFfkpt5imnAJVZrgVlbCt%2Fimage.png?alt=media&#x26;token=afdda1b3-6353-4f2c-90eb-d99c20c4d9a9" alt=""><figcaption></figcaption></figure>

Les rôles doivent être attribués un par un, mais plusieurs identités peuvent être attribuées à un même rôle.

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FzHWUGaIvBJDlZLB1aNIV%2Fimage.png?alt=media&#x26;token=db111569-53c0-4c79-9b76-3d176b304733" alt=""><figcaption></figcaption></figure>

L’identité managée du Certificate Master (avec -cm dans son nom) **ne** nécessite un accès au Key Vault.
{% endstep %}

{% step %}

### Vérifier la connectivité du Key Vault

Redémarrez votre App Service SCEPman, puis accédez à la page d’accueil de SCEPman et vérifiez que votre Key Vault est connecté.

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F3a2szozK7DVq7CGIvzYL%2Fimage.png?alt=media&#x26;token=144cf4b0-e176-461c-8327-6836010d5d59" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}