Azure Key Vault

Azure Key Vault est le service Azure de gestion sécurisée centralisée de secrets, clés cryptographiques et certificats. Backend HSM (Hardware Security Module) certifié FIPS 140-2 Level 2 (Standard) ou Level 3 (Premium + Managed HSM). Équivalent fonctionnel d'AWS KMS + Secrets Manager + ACM combinés.

Trois types d'objets : (1) Secrets — strings arbitraires chiffrés (database passwords, connection strings, API keys), max 25 KB ; (2) Keys — clés cryptographiques (RSA, EC, oct symmetric) utilisables pour encrypt/decrypt, sign/verify, wrap/unwrap, jamais exportées (les operations cryptographiques se font dans le vault) ; (3) Certificates — X.509 certs avec lifecycle complet (création via providers like Let's Encrypt/DigiCert/integration internal CA, renouvellement automatique, déploiement vers App Service/Application Gateway).

Deux SKUs : (1) Standard — software-protected keys, FIPS 140-2 Level 2 multi-tenant HSM, ~0.03\$/10k operations ; (2) Premium — HSM-protected keys (mais shared HSM multi-tenant FIPS 140-2 Level 2/Level 3 selon ops), ~1\$/key/mois additional ; (3) Managed HSM (separate service) — single-tenant FIPS 140-2 Level 3 HSM, plus cher (~5000\$/mois pour 3 nodes HA), pour besoins compliance/souveraineté strict.

Accès et auth : (1) Access Policies (legacy, soon deprecated) — list-based permissions par object type ; (2) Azure RBAC (recommandé, depuis 2020) — Role assignments standard Azure, plus granulaire, intégration PIM (Privileged Identity Management JIT) ; (3) Network restrictions — VNet service endpoints, Private Link, IP firewall ; (4) Managed Identities pour apps Azure (App Service, Functions, AKS Workload Identity, VMs) accèdent sans credentials hardcodés.

Features : (1) Soft delete + Purge protection (immutable retention 7-90j) — protection contre suppression accidentelle ou malveillante ; (2) Versioning automatique des secrets/keys/certs ; (3) Auto-rotation des secrets via Event Grid + Function/Logic App ; (4) Replication géo-redondante automatique read-only ; (5) Diagnostic Logs vers Log Analytics/Storage/Event Hubs pour audit ; (6) Bring Your Own Key (BYOK) — import key from on-prem HSM ; (7) Customer-Managed Key (CMK) pour Azure storage encryption SSE-CMK ; (8) Always Encrypted (SQL DB, SQL MI) ; (9) AKS Secrets Store CSI Driver — mount secrets as files in pods.

Intégrations natives : App Service & Functions secrets references (@Microsoft.KeyVault(...)), Azure SQL, Storage, ADF, AKS, ARM/Bicep deployment secrets. Best practices : 1 vault par environnement/app, soft delete enabled, purge protection enabled, Azure RBAC, Managed Identities, no service principal secrets if possible. Compétences AZ-500, SC-300, AZ-104, AZ-204.