Partage via


Configurer des clés gérées par le client pour le chiffrement de volume Azure NetApp Files

Les clés gérées par le client pour le chiffrement de volume Azure NetApp Files vous permettent d’utiliser vos propres clés plutôt qu’une clé gérée par la plateforme quand vous créez un volume. Avec les clés gérées par le client, vous pouvez gérer entièrement la relation entre le cycle de vie d’une clé, les autorisations d’utilisation des clés et les opérations d’audit sur les clés.

Le diagramme suivant montre comment les clés gérées par le client fonctionnent avec Azure NetApp Files :

Diagramme conceptuel des clés gérées par le client.

  1. Azure NetApp Files accorde des autorisations sur les clés de chiffrement à une identité managée. L’identité managée peut être une identité managée affectée par l’utilisateur que vous créez et gérez, ou une identité managée affectée par le système associée au compte NetApp.

  2. Vous configurez le chiffrement avec une clé gérée par le client pour le compte NetApp.

  3. Vous utilisez l’identité managée à laquelle l’administrateur Azure Key Vault a accordé des autorisations à l’étape 1 pour authentifier l’accès à Azure Key Vault avec Microsoft Entra ID.

  4. Azure NetApp Files enveloppe la clé de chiffrement du compte avec la clé gérée par le client dans Azure Key Vault.

    Les clés gérées par le client n’impactent pas les performances d’Azure NetApp Files. La seule différence par rapport aux clés gérées par la plateforme est la façon dont la clé est gérée.

  5. Pour les opérations de lecture/écriture, Azure NetApp Files envoie des demandes à Azure Key Vault pour désenvelopper la clé de chiffrement du compte afin d’effectuer des opérations de chiffrement et de déchiffrement.

À propos de l’installation

  • Pour créer un volume en utilisant des clés gérées par le client, vous devez sélectionner les fonctionnalités réseau Standard. Vous ne pouvez pas utiliser de clés gérées par le client avec un volume configuré en utilisant des fonctionnalités réseau de base. Suivez les instructions de Définir l’option Fonctionnalités réseau dans la page de création de volume.
  • Pour durcir la sécurité, vous pouvez sélectionner l’option Désactiver l’accès public dans les paramètres réseau de votre coffre de clés. Quand vous sélectionnez cette option, vous devez également sélectionner Autoriser les services Microsoft approuvés à contourner ce pare-feu pour permettre au service Azure NetApp Files d’accéder à votre clé de chiffrement.
  • Les clés gérées par le client prennent en charge le renouvellement automatique des certificats MSI (Managed System Identity). Si votre certificat est valide, vous n’avez pas besoin de le mettre à jour manuellement.
  • L’application de groupes de sécurité réseau Azure sur le sous-réseau de liaison privée à Azure Key Vault n’est pas prise en charge pour les clés Azure NetApp Files gérées par le client. Les groupes de sécurité réseau n’affectent pas la connectivité à Private Link, sauf si Private endpoint network policy est activé sur le sous-réseau. Il est obligatoire de laisser cette option désactivée.
  • Si Azure NetApp Files ne parvient pas à créer un volume avec une clé gérée par le client, des messages d’erreur s’affichent. Pour plus d’informations, consultez la section Messages d’erreur et résolution des problèmes.
  • N’apportez aucune modification au coffre de clés Azure ou au point de terminaison privé Azure sous-jacent après avoir créé un volume de clés gérées par le client. Les modifications peuvent rendre les volumes inaccessibles.
  • Si Azure Key Vault devient inaccessible, Azure NetApp Files perd son accès aux clés de chiffrement et la possibilité de lire ou d’écrire des données sur des volumes activés avec des clés gérées par le client. Dans ce cas, créez un ticket de support pour que l’accès soit restauré manuellement pour les volumes affectés.
  • Azure NetApp Files prend en charge les clés gérées par le client sur les volumes de réplication source et de données avec des relations de réplication interrégionale ou de réplication interzone.

Régions prises en charge

Les clés Azure NetApp Files gérées par le client sont prises en charge pour les régions suivantes :

  • Centre de l’Australie
  • Centre de l’Australie 2
  • Australie Est
  • Sud-Australie Est
  • Brésil Sud
  • Brésil Sud-Est
  • Centre du Canada
  • Est du Canada
  • Inde centrale
  • USA Centre
  • Asie Est
  • USA Est
  • USA Est 2
  • France Centre
  • Allemagne Nord
  • Allemagne Centre-Ouest
  • Israël Central
  • Italie Nord
  • Japon Est
  • OuJapon Est
  • Centre de la Corée
  • Corée du Sud
  • Centre-Nord des États-Unis
  • Europe Nord
  • Norvège Est
  • Norvège Ouest
  • Qatar Central
  • Afrique du Sud Nord
  • États-Unis - partie centrale méridionale
  • Inde Sud
  • Asie Sud-Est
  • Espagne Centre
  • Suède Centre
  • Suisse Nord
  • Suisse Ouest
  • Émirats arabes unis Centre
  • Émirats arabes unis Nord
  • Sud du Royaume-Uni
  • Ouest du Royaume-Uni
  • Gouvernement des États-Unis – Arizona
  • Gouvernement des États-Unis – Texas
  • Gouvernement américain - Virginie
  • Europe Ouest
  • USA Ouest
  • USA Ouest 2
  • USA Ouest 3

Spécifications

Avant de créer votre premier volume avec une clé gérée par le client, vous devez configurer :

  • Un coffre de clés Azure contenant au moins une clé.
    • Le coffre de clés doit avoir la suppression réversible et la protection contre la suppression définitive activées.
    • La clé doit être de type RSA.
  • Le coffre de clés doit avoir un point de terminaison privé Azure.
    • Le point de terminaison privé doit résider dans un sous-réseau différent de celui délégué à Azure NetApp Files. Le sous-réseau doit se trouver dans le même VNet que celui délégué à Azure NetApp.

Pour plus d’informations sur Azure Key Vault et le point de terminaison privé Azure, consultez :

Configurer un compte NetApp pour qu’il utilise des clés gérées par le client

  1. Dans le portail Azure et sous Azure NetApp Files, sélectionnez Chiffrement.

    La page Chiffrement vous permet de gérer les paramètres de chiffrement de votre compte NetApp. Elle comprend une option permettant de définir votre compte NetApp pour qu’il utilise votre propre clé de chiffrement, qui est stockée dans Azure Key Vault. Ce paramètre fournit une identité affectée par le système au compte NetApp et ajoute une stratégie d’accès pour l’identité avec les autorisations de clé nécessaires.

    Capture d’écran du menu Chiffrement.

  2. Quand vous définissez votre compte NetApp pour qu’il utilise la clé gérée par le client, vous avez deux façons de spécifier l’URI de clé :

    • L’option Sélectionner dans le coffre de clés vous permet de sélectionner un coffre de clés et une clé. Capture d’écran de la sélection d’une interface clé.

    • L’option Entrer l’URI de clé vous permet d’entrer manuellement l’URI de la clé. Capture d’écran du menu Chiffrement montrant le champ URI de clé.

  3. Sélectionnez le type d’identité que vous voulez utiliser pour l’authentification dans le coffre de clés Azure. Si votre coffre de clés Azure est configuré pour utiliser la stratégie d’accès du coffre comme modèle d’autorisation, les deux options sont disponibles. Sinon, seule l’option Affectée par l’utilisateur est disponible.

    • Si vous choisissez Affectée par le système, sélectionnez le bouton Enregistrer. Le portail Azure configure automatiquement le compte NetApp en ajoutant une identité attribuée par le système à votre compte NetApp. Une stratégie d’accès est également créée sur votre coffre de clés Azure avec des autorisations d’accès aux clés Obtenir, Chiffrer, Déchiffrer.

    Capture d’écran du menu Chiffrement avec les options attribuées par le système.

    • Si vous choisissez Affectée par l’utilisateur, vous devez sélectionner une identité. Choisissez Sélectionner une identité pour ouvrir un volet contextuel dans lequel vous sélectionnez une identité managée affectée par l’utilisateur.

    Capture d’écran du sous-menu attribué par l’utilisateur.

    Si vous avez configuré votre coffre de clés Azure pour qu’il utilise la stratégie d’accès du coffre, le portail Azure configure automatiquement le compte NetApp avec le processus suivant : l’identité affectée par l’utilisateur que vous sélectionnez est ajoutée à votre compte NetApp. Une stratégie d’accès est créée sur votre coffre de clés Azure avec les autorisations de clé Obtenir, Chiffrer, Déchiffrer.

    Si vous avez configuré votre coffre de clés Azure pour qu’il utilise le contrôle d’accès en fonction du rôle Azure, vous devez vérifier que l’identité affectée par l’utilisateur sélectionnée a une attribution de rôle sur le coffre de clés avec des autorisations pour les actions :

  4. Sélectionnez Enregistrer, puis observez la notification indiquant l’état de l’opération. Si l’opération n’a pas réussi, un message d’erreur s’affiche. Consultez les messages d’erreur et la résolution des problèmes pour obtenir de l’aide pour résoudre l’erreur.

Utiliser le contrôle d’accès en fonction du rôle

Vous pouvez utiliser un coffre de clés Azure configuré pour utiliser le contrôle d’accès en fonction du rôle Azure. Pour configurer des clés gérées par le client dans le portail Azure, vous devez fournir une identité affectée par l’utilisateur.

  1. Dans votre compte Azure, accédez à Coffres de clés, puis Stratégies d’accès.

  2. Pour créer une stratégie d’accès, sous Modèle d’autorisation, sélectionnez Contrôle d’accès en fonction du rôle Azure. Capture d’écran du menu Configuration d’accès.

  3. Quand vous créez le rôle affecté par l’utilisateur, il existe trois autorisations nécessaires pour les clés gérées par le client :

    1. Microsoft.KeyVault/vaults/keys/read
    2. Microsoft.KeyVault/vaults/keys/encrypt/action
    3. Microsoft.KeyVault/vaults/keys/decrypt/action

    Bien que des rôles prédéfinis incluent ces autorisations, ces rôles accordent plus de privilèges que ceux nécessaires. Nous vous recommandons de créer un rôle personnalisé avec uniquement les autorisations minimales nécessaires. Pour plus d’informations, consultez Rôles Azure personnalisés.

    {
        "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
        "properties": {
            "roleName": "NetApp account",
            "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
            "assignableScopes": [
                "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
            ],
            "permissions": [
              {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/keys/encrypt/action",
                    "Microsoft.KeyVault/vaults/keys/decrypt/action"
                ],
                "notDataActions": []
                }
            ]
          }
    }
    
  4. Une fois le rôle personnalisé créé et disponible pour être utilisé avec le coffre de clés, vous l’appliquez à l’identité affectée par l’utilisateur.

Capture d’écran de la révision RBAC et de l’attribution du menu.

Créer un volume Azure NetApp Files en utilisant des clés gérées par le client

  1. Dans Azure NetApp Files, sélectionnez Volumes, puis + Ajouter un volume.

  2. Suivez les instructions indiquées dans Configurer les fonctionnalités réseau d’un volume Azure NetApp Files :

  3. Pour un compte NetApp configuré pour utiliser une clé gérée par le client, la page Créer un volume comprend l’option Source de la clé de chiffrement.

    Pour chiffrer le volume avec votre clé, sélectionnez Clé gérée par le client dans le menu déroulant Source de la clé de chiffrement.

    Quand vous créez un volume avec une clé gérée par le client, vous devez également sélectionner Standard pour l’option Fonctionnalités réseau. Les fonctionnalités réseau de base ne sont pas prises en charge.

    Vous devez également sélectionner un point de terminaison privé de coffre de clés. Le menu déroulant affiche des points de terminaison privés dans le réseau virtuel sélectionné. S’il n’y a pas de point de terminaison privé pour votre coffre de clés dans le réseau virtuel sélectionné, la liste déroulante est vide et vous ne pouvez pas continuer. Si c’est le cas, consultez Point de terminaison privé Azure.

    Capture d’écran du menu Créer un volume.

  4. Continuez pour terminer le processus de création du volume. Consultez :

Faire transitionner un volume Azure NetApp Files vers des clés gérées par le client (préversion)

Azure NetApp Files prend en charge la possibilité de déplacer des volumes existants à l’aide de clés gérées par la plateforme vers des clés gérées par le client. Une fois la migration terminée, vous ne pouvez pas revenir aux clés gérées par la plateforme.

Inscrire la fonctionnalité

La Transition de clé de chiffrement pour Azure NetApp Files est actuellement en préversion. Avant d’utiliser cette fonctionnalité pour la première fois, vous devez commencer par l’inscrire.

  1. Inscrivez la fonctionnalité :

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk 
    
  2. Vérifiez l’état d’inscription de la fonctionnalité :

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk
    

    Remarque

    RegistrationState peut rester à l’état Registering jusqu’à 60 minutes avant de passer à l’état Registered. Avant de continuer, attendez que l’état soit Inscrit.

Vous pouvez également utiliser les commandes Azure CLI az feature register et az feature show pour inscrire la fonctionnalité et afficher l’état de l’inscription.

Volumes de transition

Remarque

Lorsque vous effectuez la transition de volumes vers des clés gérées par le client, vous devez effectuer la transition pour chaque réseau virtuel sur lequel votre compte Azure NetApp Files possède des volumes.

  1. Vérifiez que vous avez configuré votre compte Azure NetApp Files pour l’utilisation de clés gérées par le client.
  2. Dans le portail Azure, accédez au Chiffrement.
  3. Sélectionnez l’onglet Migration CMK.
  4. Dans le menu déroulant, sélectionnez le réseau virtuel et le point de terminaison privé du coffre de clés que vous souhaitez utiliser.
  5. Azure génère une liste de volumes à chiffrer par votre clé gérée par le client.
  6. Sélectionnez Confirmer pour effectuer la migration.

Recréer la clé de tous les volumes sous un compte NetApp

Si vous avez déjà configuré votre compte NetApp pour les clés gérées par le client et que vous avez un ou plusieurs volumes chiffrés avec des clés gérées par le client, vous pouvez changer la clé utilisée pour chiffrer tous les volumes sous le compte NetApp. Vous pouvez sélectionner n’importe quelle clé qui se trouve dans le même coffre de clés. Le changement des coffres de clés n’est pas pris en charge.

  1. Sous votre compte NetApp, accédez au menu Chiffrement. Sous le champ d’entrée Clé actuelle, sélectionnez le lien Recréer la clé. Capture d’écran de la clé de chiffrement.

  2. Dans le menu Recréer la clé, sélectionnez une des clés disponibles dans le menu déroulant. La clé choisie doit être différente de la clé actuelle. Capture d’écran du menu Rekey.

  3. Sélectionnez OK pour enregistrer. L’opération de recréation de la clé peut prendre plusieurs minutes.

Passer d’une identité affectée par le système à une identité affectée par l’utilisateur

Pour passer d’une identité affectée par le système à une identité affectée par l’utilisateur, vous devez accorder l’accès à l’identité cible sur le coffre de clés utilisé avec les autorisations lire/obtenir, chiffrer et déchiffrer.

  1. Mettez à jour le compte NetApp en envoyant une requête PATCH avec la commande az rest :

    az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
    

    La charge utile doit utiliser la structure suivante :

    {
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
         "<identity-resource-id>": {}
        }
      },
      "properties": {
        "encryption": {
          "identity": {
            "userAssignedIdentity": "<identity-resource-id>"
          }
        }
      }
    }
    
  2. Vérifiez que l’opération a été correctement exécutée avec la commande az netappfiles account show. La sortie comprend les champs suivants :

        "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
        "identity": {
            "principalId": null,
            "tenantId": null,
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                    "clientId": "<client-id>",
                    "principalId": "<principalId>",
                    "tenantId": <tenantId>"
                }
            }
        },
    

    Assurez-vous que :

    • encryption.identity.principalId correspond à la valeur dans identity.userAssignedIdentities.principalId
    • encryption.identity.userAssignedIdentity correspond à la valeur dans identity.userAssignedIdentities[]
    "encryption": {
        "identity": {
            "principalId": "<principal-id>",
            "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
        },
        "KeySource": "Microsoft.KeyVault",
    },
    

Messages d’erreur et résolution des problèmes

Cette section liste les messages d’erreur et les résolutions possibles quand Azure NetApp Files ne parvient pas à configurer le chiffrement avec des clés gérées par le client ou à créer un volume utilisant une clé gérée par le client.

Erreurs de configuration du chiffrement avec une clé gérée par le client sur un compte NetApp

Condition d'erreur Résolution
The operation failed because the specified key vault key was not found Quand vous entrez manuellement l’URI de clé, vérifiez que l’URI est correct.
Azure Key Vault key is not a valid RSA key Vérifiez que la clé sélectionnée est de type RSA.
Azure Key Vault key is not enabled Vérifiez que la clé sélectionnée est activée.
Azure Key Vault key is expired Vérifiez que la clé sélectionnée n’a pas expiré.
Azure Key Vault key has not been activated Vérifiez que la clé sélectionnée est active.
Key Vault URI is invalid Quand vous entrez manuellement l’URI de clé, vérifiez que l’URI est correct.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault Mettez à jour le niveau de récupération du coffre de clés sur :
“Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault Vérifiez que le coffre de clés est dans la même région que le compte NetApp.

Erreurs de création d’un volume chiffré avec des clés gérées par le client

Condition d'erreur Résolution
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption Le chiffrement par clé gérée par le client de votre compte NetApp n’est pas activé. Configurez le compte NetApp pour qu’il utilise une clé gérée par le client.
EncryptionKeySource cannot be changed Aucune résolution. La propriété EncryptionKeySource d’un volume ne peut pas être modifiée.
Unable to use the configured encryption key, please check if key is active Vérifiez les éléments suivants :
- Les stratégies d’accès sont-elles toutes correctes sur le coffre de clés : Obtenir, Chiffrer, Déchiffrer ?
- Y a-t-il un point de terminaison privé pour le coffre de clés ?
- Y a-t-il une traduction NAT de réseau virtuel dans le VNet, avec le sous-réseau Azure NetApp Files délégué activé ?
Could not connect to the KeyVault Vérifiez que le point de terminaison privé est correctement configuré et que les pare-feu ne bloquent pas la connexion depuis votre Réseau virtuel Microsoft Azure à votre coffre de clés.

Étapes suivantes