Je fais des recherches initiales et je suis incapable de trouver une réponse claire à mon problème. Le plan consiste à avoir plusieurs environnements (c'est-à-dire, Dev, Prod et QA) aurais-je besoin d'une nouvelle instance d'Azure Key Vaults pour chaque environnement ou pourrais-je simplement partager les données entre eux?Azure Key Vault: plusieurs environnements, ai-je besoin d'un coffre-fort Azure pour chaque environnement?
Plusieurs ressources/entités peuvent accéder à une seule instance Key Vault - à condition qu'elles se trouvent toutes au même endroit (centre de données).
Vous pouvez choisir de segmenter vos clés, vos secrets et vos certificats, soit en les plaçant dans différents coffres à clés, soit en utilisant différentes méthodes d'accès/identités, ce qui n'est toutefois pas nécessaire.
La seule fois où vous avez besoin une instance Key Vault séparée est lorsque les ressources/entités qui y accèdent sont dans un autre emplacement (centre de données/région).
Il est important de noter que vous n'avez pas besoin de trop vous soucier de provisionnement de la récupération après sinistre pour les ressources utilisant Key Vault, car le SLA fourni par Microsoft est sans surprise bon: https://docs.microsoft.com/en-gb/azure/key-vault/key-vault-disaster-recovery-guidance. Une mise en garde à ce sujet serait si vous exécutez des instances IaaS/PaaS et voulez exécuter un basculement de DR vous-même vers un autre centre de données, à quel point vous devez migrer manuellement les clés/secrets/certificats dans votre clé principale Vault dans une autre instance (et repositionnez vos machines virtuelles en conséquence)
Dans ce contexte, un coffre-fort d'un abonnement Azure peut-il donner l'autorisation à une application Azure AD d'un autre abonnement Azure? Ex: Nous fournissons une interface à nos applications distribuées pour interagir à partir de notre abonnement Azure, tandis que le client peut gérer leurs clés/secrets respectifs à partir de leurs coffres à clés relevant de leur abonnement Azure. Ce scénario est-il possible? – sm2mafaz
Je ne pense pas que ce soit possible dans cet exemple, car les deux applications AAD doivent être dans le même locataire AAD, à tout le moins, sinon vous n'avez aucun moyen de définir les autorisations du Vault. – AndyHerb