circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Migration RBAC Key Vault

Microsoft oriente Azure Key Vault vers Azure RBAC comme modèle de contrôle d’accès par défaut pour tous les nouveaux Key Vaults à partir de la version d’API 2026‑02‑01. En savoir plus iciarrow-up-right.

Bien que RBAC ne soit pas strictement obligatoire et les Key Vaults existants utilisant des stratégies d’accès peuvent continuer à fonctionner tels quels, les locataires qui créent un nouveau Key Vault après la mise à niveau vers la nouvelle API obtiendront RBAC par défaut sauf si des stratégies d’accès sont explicitement configurées.

Il peut être judicieux de migrer vers RBAC de toute façon, car il offre un modèle d’autorisations plus unifié et évolutif aligné sur Microsoft Entra ID et protège votre configuration pour l’avenir au cas où Microsoft déprécierait les stratégies d’accès de Key Vault.

hashtag
Guide de migration

circle-exclamation

Prévoir une interruption avant de continuer. SCEPman ne pourra pas émettre ni vérifier de certificats tant que les autorisations n’auront pas été migrées avec succès.

1

hashtag
Accédez à votre Key Vault SCEPman

Accédez à Azure > Key Vaults > Votre Key Vault SCEPman

2

hashtag
Examinez vos stratégies d’accès existantes

Accédez à Stratégies d’accès et documentez les stratégies d’accès de votre SCEPman sous Application. Les stratégies d’accès SCEPman doivent porter le même nom que votre App Service SCEPman (et tous les App Services SCEPman en géo‑redondance).

Utilisateur les stratégies d’accès des utilisateurs n’ont pas besoin d’être migrées car elles n’affecteront pas le fonctionnement de SCEPman. Les utilisateurs nécessitant un accès continu devraient voir leurs stratégies d’accès examinées et migrées vers des rôles Azure selon le tableau suivant : https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mappingarrow-up-right

3

hashtag
Modifier le modèle d’autorisations

Modifier le modèle d’autorisations de Stratégie d’accès du coffre vers Contrôle d’accès en fonction des rôles Azure

En appuyant sur Appliquer vous déconnecterez votre instance SCEPman du Key Vault jusqu’à ce que des rôles Azure soient attribués. Les stratégies d’accès précédentes seront également supprimées.

4

hashtag
Attribuer des rôles Azure

Accédez à Contrôle d’accès (IAM) et attribuez les rôles suivants à la identité gérée de votre App Service SCEPman (et de tous les App Services SCEPman en géo‑redondance) :

  • Responsable des certificats Key Vault

  • Responsable crypto Key Vault

  • Utilisateur de secrets Key Vault

Les rôles doivent être attribués un par un, toutefois plusieurs identités peuvent être affectées à un même rôle.

L’identité gérée du Certificate Master (avec -cm dans son nom) ne requiert pas

5

hashtag
Vérifier la connectivité du Key Vault

Redémarrez votre App Service SCEPman, puis accédez à la page d’accueil de votre SCEPman et vérifiez que votre Key Vault est connecté.

Mis à jour

Ce contenu vous a-t-il été utile ?