Utiliser des clés gérées par le client dans Azure Key Vault pour le service Import/Export

  • Article

Azure Import/Export protège les clés BitLocker utilisées pour verrouiller les lecteurs à l’aide d’une clé de chiffrement. Par défaut, les clés BitLocker sont chiffrées avec des clés gérées par Microsoft. Pour un contrôle supplémentaire sur les clés de chiffrement, vous pouvez également fournir des clés gérées par le client.

Les clés gérées par le client doivent être créées et stockées dans Azure Key Vault. Pour plus d’informations sur le coffre de clés Azure, consultez la page Présentation du coffre de clés Azure

Cet article explique comment utiliser des clés gérées par le client avec le service Import/Export dans le portail Azure.

Prérequis

Avant de commencer, vérifiez les points suivants :

  1. Vous avez créé une tâche d’importation ou d’exportation conformément aux instructions de :

  2. Vous disposez d’une instance Azure Key Vault existante avec une clé que vous pouvez utiliser pour protéger votre clé BitLocker. Pour savoir comment créer un coffre de clés à l’aide du portail Azure, consultez Démarrage rapide : Créer un coffre de clés Azure Key Vault à l'aide du portail Azure.

    • Les options Suppression réversible et Ne pas vider sont définies sur votre instance Key Vault existante. Ces propriétés ne sont pas activées par défaut. Pour activer ces propriétés, consultez les sections intitulées Activation de la suppression réversible et Activation de la protection contre le vidage dans l’un des articles suivants :

    • Le coffre de clés existant doit avoir une clé RSA d’une taille de 2048 ou plus. Pour plus d’informations sur les clés, consultez À propos des clés.

    • Le coffre de clés doit se trouver dans la même région que le compte de stockage pour vos données.

    • Si vous n’avez pas d’instances Azure Key Vault existantes, vous pouvez également en créer de façon intégrée comme décrit dans la section suivante.

Activer les clés

La configuration de la clé gérée par le client pour votre service Import/Export est facultative. Par défaut, le service Import/Export utilise une clé gérée par Microsoft pour protéger votre clé BitLocker. Pour activer des clés gérées par le client dans le portail Azure, procédez comme suit :

  1. Accédez au panneau Vue d’ensemble de votre tâche d’importation.

  2. Dans le volet droit, sélectionnez Choisir la méthode de chiffrement de vos clés BitLocker.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. Dans le panneau Chiffrement, vous pouvez afficher et copier la clé BitLocker de l’appareil. Sous Type de chiffrement, vous pouvez choisir la façon dont vous souhaitez protéger votre clé BitLocker. Par défaut, une clé gérée par Microsoft est utilisée.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Vous avez la possibilité de spécifier une clé gérée par le client. Après avoir sélectionné la clé gérée par le client, Sélectionnez un coffre de clés et une clé.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. Dans le panneau Sélectionner une clé dans Azure Key Vault, l’abonnement est automatiquement renseigné. Pour Coffre de clés, vous pouvez sélectionner un coffre de clés existant dans la liste déroulante.

    Screenshot of the

  6. Vous pouvez également sélectionner Créer pour créer un coffre de clés. Dans le panneau Créer un coffre de clés, saisissez le groupe de ressources et le nom du coffre de clés. Acceptez toutes les autres valeurs par défaut. Sélectionnez Vérifier + créer.

    Screenshot of

  7. Passez en revue les informations associées à votre coffre de clés, puis sélectionnez Créer. Patientez quelques minutes avant la fin de la création du coffre de clés.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. Dans Sélectionner une clé dans Azure Key Vault, vous pouvez sélectionner une clé dans le coffre de clés existant.

  9. Si vous avez créé un coffre de clés, sélectionnez Créer pour créer une clé. La taille de la clé RSA peut être supérieure ou égale à 2048.

    Screenshot of the

    Si la suppression réversible et la protection contre le vidage ne sont pas activées lorsque vous créez le coffre de clés, le coffre de clés est mis à jour pour que la suppression réversible et la protection contre le vidage soient activées.

  10. Indiquez le nom de votre clé, acceptez les autres valeurs par défaut, puis sélectionnez Créer.

    Screenshot of the

  11. Sélectionnez la Version, puis choisissez Sélectionner. Vous êtes averti qu’une clé est créée dans votre coffre de clés.

    Screenshot of the

Dans le panneau Chiffrement, vous pouvez voir le coffre de clés et la clé sélectionnée pour votre clé gérée par le client.

Important

Vous pouvez uniquement désactiver les clés gérées par Microsoft et passer à des clés gérées par le client à n’importe quel moment de la tâche d’importation/exportation. Toutefois, vous ne pouvez pas désactiver la clé gérée par le client une fois que vous l’avez créée.

Résoudre les erreurs pour les clés gérées par le client

Si vous recevez des erreurs liées à votre clé gérée par le client, utilisez le tableau suivant pour résoudre les problèmes :

Code d'erreur Détails Récupérable ?
CmkErrorAccessRevoked L’accès à la clé gérée par le client est révoqué. Oui, case activée si :
  1. Le coffre de clés contient toujours le fichier MSI dans la stratégie d’accès.
  2. Les autorisations d’extraction, de renvoi à la ligne et de désencapsulage sont activées pour la stratégie d’accès.
  3. Si le coffre de clés se trouve dans un réseau virtuel derrière le pare-feu, vérifiez si Autoriser les services de confiance Microsoft est activé.
  4. Vérifiez si le MSI de la ressource du travail a été réinitialisé sur la valeur None à l’aide des API.
    Si oui, redéfinissez la valeur sur Identity = SystemAssigned. Cela recrée l’identité pour la ressource du travail.
    Lorsque la nouvelle identité a été créée, activez autorisations Get, Wrap, et Unwrap sur la nouvelle identité dans la stratégie d’accès du coffre de clés.
CmkErrorKeyDisabled La clé gérée par le client est désactivée. Oui, en activant la version de clé
CmkErrorKeyNotFound Impossible de trouver la clé gérée par le client. Oui, si la clé a été supprimée mais qu’elle est toujours dans la durée de vidage, en utilisant Undo-AzKeyVaultKeyRemoval.
Autre
  1. Oui, si le client dispose de la clé sauvegardée et la restaure.
  2. « NON » dans le cas contraire.
CmkErrorVaultNotFound Le coffre de clés de la clé gérée par le client est introuvable. Si le coffre de clés a été supprimé :
  1. Oui, s’il s’agit de la durée de la protection contre le vidage, à l’aide des étapes de Récupérer un coffre de clés.
  2. Non au-delà de la durée de la protection contre le vidage.

Sinon, si le coffre de clés a été migré sur un autre locataire, oui, il peut être récupéré à l’aide d’une des étapes ci-dessous :
  1. Restaurez le coffre de clés sur l’ancien locataire.
  2. Définissez Identity = None, puis redéfinissez la valeur sur Identity = SystemAssigned. Cela supprime et recrée l’identité une fois que la nouvelle identité a été créée. Activez les autorisations Get, Wrap et Unwrap sur la nouvelle identité dans la stratégie d’accès du coffre de clés.

Étapes suivantes