Partager via

Chiffrement des données au repos de Azure AI Content Service

  • Article

Azure AI Content Safety chiffre automatiquement vos données lors de leur conservation dans le cloud. Le chiffrement protège vos données et vous aide à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. Cet article explique comment Azure AI Content Safety gère le chiffrement des données au repos.

À propos du chiffrement Azure AI services

Azure AI Content Safety fait partie des services Azure AI. Les données Azure AI services sont chiffrées et déchiffrées à l'aide du chiffrement AES 256 bits compatible FIPS 140-2. Le chiffrement et le déchiffrement sont transparents, ce qui signifie que le chiffrement et l’accès sont gérés automatiquement. Vos données étant sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement.

À propos de la gestion des clés de chiffrement

Par défaut, votre abonnement utilise des clés de chiffrement gérées par Microsoft. Une option vous permet également de gérer votre abonnement avec vos propres clés grâce à des clés gérées par le client (CMK). Les CMK offrent plus de flexibilité pour créer, alterner, désactiver et révoquer des contrôles d’accès. Vous pouvez également effectuer un audit sur les clés de chiffrement utilisées pour protéger vos données.

Important

Pour le nom de liste de refus, seul le chiffrement MMK est appliqué par défaut. L’utilisation ou non de cmk ne modifie pas ce comportement. Toutes les autres données utilisent MMK ou CMK en fonction de ce que vous avez sélectionné.

Clés gérées par le client avec Azure Key Vault

Les clés gérées par le client (CMK), également appelées BYOK (Bring Your Own Key), offrent plus de flexibilité pour créer, permuter, désactiver et révoquer des contrôles d'accès. Vous pouvez également effectuer un audit sur les clés de chiffrement utilisées pour protéger vos données.

Vous devez utiliser Azure Key Vault pour stocker vos clés managées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser les API d’Azure Key Vault pour générer des clés. La ressource Azure AI services et le coffre de clés doivent se trouver dans la même région et dans le même locataire Microsoft Entra, mais ils peuvent se trouver dans des abonnements différents. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?.

Pour activer des clés gérées par le client, vous devez activer les propriétés Suppression réversible et Ne pas vider sur le coffre de clés.

Seules les clés RSA de taille 2048 sont prises en charge avec le chiffrement Azure AI services. Pour plus d’informations sur les clés, consultez Clés Key Vault dans À propos des clés, des secrets et des certificats Azure Key Vault.

Activer des clés gérées par le client pour votre ressource

Pour activer des clés gérées par le client dans le portail Azure, procédez comme suit :

  1. Accédez à votre ressource Azure AI services.
  2. À gauche, sélectionnez Chiffrement.
  3. Sous Type de chiffrement, sélectionnez Clés gérées par le client, comme illustré dans la capture d’écran suivante.

Capture d’écran de l’onglet chiffrement dans le portail Azure.

Spécifier une clé

Après avoir activé les clés gérées par le client, vous pouvez spécifier une clé à associer à la ressource Azure AI services.

Pour spécifier une clé en tant qu’URI, procédez comme suit :

  1. Dans le portail Azure, accédez à votre coffre de clés.

  2. Sous Paramètres, sélectionnez Clés.

  3. Sélectionnez la clé souhaitée, puis cliquez dessus pour afficher ses versions. Sélectionnez une version de clé pour afficher les paramètres de cette version.

  4. Copier la valeur Identificateur de clé, qui fournit l’URI.

    Capture d’écran de la page du portail Azure pour une version de clé. La zone Identificateur de clé contient un espace réservé pour un URI de clé.

  5. Revenez à votre ressource Azure AI Services, puis sélectionnez Chiffrement.

  6. Sous Clé de chiffrement, sélectionnez Entrer l’URI de clé.

  7. Collez l’URI que vous avez copié dans la zone URI de clé.

    Capture d'écran de la page Chiffrement d'une ressource Azure AI services. L'option Entrée clé URI est sélectionnée et la case Clé URI contient une valeur.

  8. Sous Abonnement, sélectionnez l’abonnement contenant le coffre de clés.

  9. Enregistrez vos modifications.

Mettre à jour la version de la clé

Lors de la création d’une nouvelle version d’une clé, mettez à jour la ressource Azure AI services afin qu’elle utilise cette nouvelle version. Suivez ces étapes :

  1. Accédez à votre ressource Azure AI services, puis sélectionnez Chiffrement.
  2. Saisissez l’URI de la nouvelle version de clé. Vous pouvez également sélectionner à nouveau le coffre de clés, puis la clé pour mettre à jour la version.
  3. Enregistrez vos modifications.

Utiliser une autre clé

Pour modifier la clé utilisée pour le chiffrement, procédez comme suit :

  1. Accédez à votre ressource Azure AI services, puis sélectionnez Chiffrement.
  2. Entrez l’URI de la nouvelle clé. Vous pouvez également sélectionner le coffre de clés, puis choisir une nouvelle clé.
  3. Enregistrez vos modifications.

Permuter des clés gérées par le client

Vous pouvez permuter une clé gérée par le client dans Key Vault en fonction de vos stratégies de conformité. Une fois la rotation de la clé effectuée, vous devez mettre à jour la ressource Azure AI services pour utiliser le nouvel URI de la clé. Pour savoir comment mettre à jour la ressource afin d’utiliser une nouvelle version de la clé dans le portail Azure, consultez Mettre à jour la version de la clé.

La permutation de la clé ne déclenche pas le rechiffrement des données dans la ressource. Aucune action supplémentaire n’est nécessaire de la part de l’utilisateur.

Révoquer une clé gérée par le client

Pour révoquer l’accès aux clés gérées par le client, utilisez PowerShell ou Azure CLI. Pour plus d’informations, consultez Azure Key Vault PowerShell ou Interface de ligne de commande Azure Key Vault. La révocation de l’accès bloque efficacement l’accès à toutes les données de la ressource Azure AI services, car Azure AI services n’a pas accès à la clé de chiffrement.

Désactiver les clés gérées par le client

Lorsque vous désactivez les clés gérées par le client, votre ressource Azure AI services est chiffrée avec des clés gérées par Microsoft. Pour désactiver les clés gérées par le client, procédez comme suit :

  1. Accédez à votre ressource Azure AI services, puis sélectionnez Chiffrement.
  2. Sélectionnez Microsoft Clés managées>Enregistrer.

Lorsque vous avez précédemment activé les clés gérées par le client, cela a également activé une identité managée affectée par le système, une fonctionnalité de Microsoft Entra ID. Une fois l’identité managée attribuée par le système activée, cette ressource est enregistrée auprès de Microsoft Entra ID. Une fois inscrite, elle a accès au coffre de clés sélectionné lors de la configuration des clés gérées par le client. Découvrez-en plus sur les identités managées.

Important

Si vous désactivez les identités managées affectées par le système, l'accès au coffre de clés est supprimé et toutes les données chiffrées avec les clés client deviennent inaccessibles. Toutes les fonctionnalités dépendant de ces données cessent de fonctionner.

Important

Les identités managées ne prennent actuellement pas en charge les scénarios entre répertoires. Lorsque vous configurez des clés managées par le client sur le portail Azure, une identité managée est automatiquement affectée. Si, par la suite, vous déplacez l'abonnement, le groupe de ressources ou la ressource d'un répertoire Microsoft Entra vers un autre, l'identité managée associée à la ressource n'est pas transférée vers le nouveau locataire. Par conséquent, les clés gérées par le client peuvent ne plus fonctionner. Pour plus d'informations, consultez Transfert d'un abonnement entre les répertoires Microsoft Entra dans les FAQ et problèmes connus avec les identités managées pour les ressources Azure.

Étapes suivantes