Partage via


Configurer des clés gérées par le client dans le même locataire pour un nouveau compte de stockage

Le stockage Azure chiffre toutes les données dans un compte de stockage au repos. Par défaut, les données sont chiffrées avec des clés managées par Microsoft Pour un contrôle supplémentaire des clés de chiffrement, vous pouvez gérer vos propres clés. Les clés gérées par le client doivent être stockées dans un coffre de clés Azure Key Vault ou dans un module de sécurité matériel (HSM) géré par Azure Key Vault.

Cet article montre comment configurer le chiffrement avec des clés gérées par le client au moment où vous créez un compte de stockage. Les clés gérées par le client doivent être stockées dans un coffre de clés.

Pour savoir comment configurer des clés gérées par le client pour un compte de stockage existant, consultez Configurer des clés gérées par le client dans un coffre de clés Azure pour un compte de stockage existant.

Notes

Azure Key Vault et le module HSM managé par Azure Key Vault prennent en charge les mêmes API et interfaces de gestion de configuration des clés gérées par le client. Toute action prise en charge par Azure Key Vault est également prise en charge par HSM managé Azure Key Vault.

Configurer le coffre de clés

Vous pouvez utiliser un coffre de clés nouveau ou existant pour stocker les clés gérées par le client. Le compte de stockage et le coffre de clés peuvent se trouver dans des régions ou des abonnements différents dans le même locataire. Pour en savoir plus sur Azure Key Vault, consultez Vue d’ensemble d’Azure Key Vault et Qu’est-ce qu’Azure Key Vault ?.

L’utilisation de clés gérées par le client avec le chiffrement Azure Storage requiert que la suppression réversible et la protection contre le vidage soient activées pour le coffre de clés. Lorsque vous créez un coffre de clés, la suppression réversible est activée par défaut et vous ne pouvez pas la désactiver. Vous pouvez activer la protection contre le vidage lorsque vous créez le coffre de clés ou après la création de celui-ci.

Azure Key Vault prend en charge l’autorisation avec le contrôle d’accès en fonction du rôle (RBAC) Azure via un modèle d’autorisation Azure RBAC. Microsoft recommande d’utiliser le modèle d’autorisation Azure RBAC sur les stratégies d’accès au coffre de clés. Pour plus d’informations, consultez Accorder à des applications l’autorisation d’accéder à un coffre de clés Azure en utilisant le RBAC Azure.

Pour en savoir plus sur la création d’un coffre de clés via le portail Azure, consultez Démarrage rapide : Créer un coffre de clés avec le portail Azure. Lorsque vous créez le coffre de clés, sélectionnez Activer la protection contre le vidage, comme illustré dans l’image suivante.

Capture d’écran montrant comment activer la protection contre la suppression définitive lors de la création d’un coffre de clés.

Pour activer la protection contre le vidage sur un coffre de clés existant, procédez comme suit :

  1. Accédez à votre coffre de clés dans le portail Azure.
  2. Sous Paramètres, choisissez Propriétés.
  3. Dans la section Protection contre le vidage, choisissez Activer la protection contre le vidage.

Ajouter une clé

Ensuite, ajoutez une clé au coffre de clés. Avant d’ajouter la clé, assurez-vous que vous vous êtes attribué le rôle Agent de chiffrement Key Vault.

Le chiffrement du service Stockage Azure prend en charge les clés RSA et RSA-HSM dans les tailles 2048, 3072 et 4096. Pour plus d’informations sur les types de clés pris en charge, consultez À propos des clés.

Pour savoir comment ajouter une clé avec le portail Azure, consultez Démarrage rapide : Définir et récupérer une clé dans Azure Key Vault avec le portail Azure.

Utiliser une identité managée affectée par l’utilisateur pour autoriser l’accès au coffre de clés

Lorsque vous activez des clés gérées par le client pour un nouveau compte de stockage, vous devez spécifier une identité managée affectée par l’utilisateur. Un compte de stockage existant prend en charge l’utilisation d’une identité managée affectée par l’utilisateur ou d’une identité managée affectée par le système pour la configuration des clés gérées par le client.

Lorsque vous configurez des clés gérées par le client avec une identité managée affectée par l’utilisateur, celle-ci est utilisée pour autoriser l’accès au coffre de clés contenant la clé. Vous devez créer l’identité affectée par l’utilisateur avant de configurer les clés gérées par le client.

Une identité managée affectée par l’utilisateur est créée en tant que ressource Azure autonome. Pour en savoir plus sur les identités managées affectées par l’utilisateur, consultez Types d’identités managées. Pour plus d’informations sur la création et la gestion d’une identité managée affectée par l’utilisateur, consulter Gérer les identités managées affectées par l’utilisateur.

L’identité managée affectée par l’utilisateur doit avoir les autorisations d’accès à la clé stockée dans le coffre de clés. Attribuez le rôle Utilisateur du service de chiffrement Key Vault à l’identité managée affectée par l’utilisateur avec l’étendue du coffre de clés pour accorder ces autorisations.

Avant de pouvoir configurer des clés gérées par le client avec une identité managée affectée par l’utilisateur, vous devez attribuer le rôle Utilisateur du service de chiffrement Key Vault à l’identité managée affectée par l’utilisateur, étendue au coffre de clés. Ce rôle accorde à l’identité managée affectée par l’utilisateur des autorisations d’accès à la clé stockée dans le coffre de clés. Pour plus d’informations sur l’attribution de rôles RBAC Azure avec le portail Azure, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Lorsque vous configurez des clés gérées par le client avec le portail Azure, vous pouvez sélectionner une identité affectée par l’utilisateur existante via l’interface utilisateur du portail.

Configurer des clés gérées par le client pour un nouveau compte de stockage

Quand vous configurez le chiffrement avec des clés gérées par le client pour un nouveau compte de stockage, vous pouvez choisir de mettre à jour automatiquement la version de clé utilisée pour le chiffrement du service Stockage Azure chaque fois qu’une nouvelle version est disponible dans le coffre de clés associé. Vous pouvez également spécifier explicitement une version de clé à utiliser pour le chiffrement jusqu’à ce que la version de clé soit mise à jour manuellement.

Vous devez utiliser une identité managée affectée par l’utilisateur existante pour autoriser l’accès au coffre de clés lorsque vous configurez des clés gérées par le client lors de la création du compte de stockage. L’identité managée affectée par l’utilisateur doit avoir les autorisations appropriées pour accéder au coffre de clés. Pour plus d’informations, consultez S’authentifier auprès d’Azure Key Vault.

Configurer le chiffrement pour la mise à jour automatique des versions de clé

Le stockage Azure peut automatiquement mettre à jour la clé gérée par le client qui est utilisée pour le chiffrement afin d’utiliser la dernière version de la clé dans le coffre de clés. Le stockage Azure vérifie quotidiennement dans le coffre de clés s’il y a une nouvelle version de la clé. Lorsqu’une nouvelle version est disponible, le stockage Azure commence automatiquement à utiliser la dernière version de la clé pour le chiffrement.

Important

Le stockage Azure vérifie le coffre de clés pour une nouvelle version de clé une fois par jour. Lorsque vous changez de clé, veillez à patienter 24 heures avant de désactiver l’ancienne version.

Pour configurer les clés gérées par le client pour un nouveau compte de stockage avec une mise à jour automatique de la version de la clé, procédez comme suit :

  1. Dans le portail Azure, accédez à la page Comptes de stockage, puis sélectionnez le bouton Créer pour créer un compte.

  2. Suivez les étapes décrites dans Créer un compte de stockage pour remplir les champs sous les onglets Général, Avancé, Réseau et Protection des données.

  3. Sous l’onglet Chiffrement, indiquez les services pour lesquels vous voulez activer la prise en charge des clés gérées par le client dans le champ Activer la prise en charge des clés gérées par le client.

  4. Dans le champ Type de chiffrement, sélectionnez Clés gérées par le client (CMK).

  5. Dans le champ Clé de chiffrement, sélectionnez Sélectionner un coffre de clés et une clé, puis spécifiez le coffre de clés et la clé.

  6. Pour le champ Identité affectée par l’utilisateur, sélectionnez une identité managée affectée par l’utilisateur existante.

    Capture d’écran montrant comment configurer des clés gérés par le client pour un nouveau compte de stockage dans le portail Azure.

  7. Sélectionnez le bouton Vérifier pour valider et créer le compte.

Vous pouvez également configurer les clés gérées par le client avec la mise à jour manuelle de la version de clé lorsque vous créez un compte de stockage. Suivez les étapes décrites dans Configurer le chiffrement pour la mise à jour manuelle des versions de clé.

Configurer le chiffrement pour la mise à jour manuelle des versions de clé

Si vous préférez mettre à jour manuellement la version de la clé, spécifiez explicitement la version utilisée pour configurer le chiffrement avec des clés gérées par le client au moment de la création du compte de stockage. Dans ce cas, le Stockage Azure ne met pas automatiquement à jour la version de clé lors de la création d’une version dans le coffre de clés. Pour utiliser une nouvelle version de clé, vous devez mettre à jour manuellement la version utilisée pour le chiffrement Stockage Azure.

Vous devez utiliser une identité managée affectée par l’utilisateur existante pour autoriser l’accès au coffre de clés lorsque vous configurez des clés gérées par le client lors de la création du compte de stockage. L’identité managée affectée par l’utilisateur doit avoir les autorisations appropriées pour accéder au coffre de clés. Pour plus d’informations, consultez S’authentifier auprès d’Azure Key Vault.

Pour configurer des clés gérées par le client avec la mise à jour manuelle de la version de la clé dans le portail Azure, spécifiez l’URI de la clé, avec la version de la clé, au moment où vous créez le compte de stockage. Pour spécifier une clé en tant qu’URI, procédez comme suit :

  1. Dans le portail Azure, accédez à la page Comptes de stockage, puis sélectionnez le bouton Créer pour créer un compte.

  2. Suivez les étapes décrites dans Créer un compte de stockage pour remplir les champs sous les onglets Général, Avancé, Réseau et Protection des données.

  3. Sous l’onglet Chiffrement, indiquez les services pour lesquels vous voulez activer la prise en charge des clés gérées par le client dans le champ Activer la prise en charge des clés gérées par le client.

  4. Dans le champ Type de chiffrement, sélectionnez Clés gérées par le client (CMK).

  5. Pour localiser l’URI de la clé dans le portail Azure, naviguez jusqu'à votre coffre de clés, puis sélectionnez le paramètre Clés. Sélectionnez la clé souhaitée, puis cliquez dessus pour afficher ses versions. Sélectionnez une version de clé pour afficher les paramètres de cette version.

  6. Copiez la valeur du champ Identificateur de clé, qui fournit l’URI.

    Capture d’écran montrant l’URI de la clé du coffre de clés dans le portail Azure.

  7. Dans les paramètres de clé de chiffrement de votre compte de stockage, choisissez l’option Entrer l’URI de la clé.

  8. Collez l’URI que vous avez copié dans le champ URI de clé. Incluez la version de la clé dans l’URI pour configurer la mise à jour manuelle de la version de la clé.

  9. Spécifiez une identité managée affectée par l’utilisateur en choisissant le lien Sélectionner une identité.

    Capture d’écran montrant comment entrer l’URI d’une clé dans le portail Azure.

  10. Sélectionnez le bouton Vérifier pour valider et créer le compte.

Modifier la clé

Vous pouvez modifier la clé que vous utilisez pour le chiffrement du service Stockage Azure à tout moment.

Notes

Quand vous modifiez la clé ou la version de clé, la protection de la clé de chiffrement racine change, mais les données de votre compte de stockage Azure ne restent pas chiffrées tout le temps. Aucune action supplémentaire n’est requise de votre part pour garantir la protection de vos données. La modification de la clé ou la rotation de la version de la clé n’a pas d’impact sur le niveau de performance. Aucun temps d’arrêt n’est associé à la rotation de la version de la clé ou à la modification de clé.

Pour modifier la clé avec le portail Azure, procédez comme suit :

  1. Accédez à votre compte de stockage et affichez les paramètres de chiffrement.
  2. Sélectionnez le coffre de clés, puis choisissez une nouvelle clé.
  3. Enregistrez vos modifications.

Si la nouvelle clé se trouve dans un autre coffre de clés, vous devez accorder à l’identité managée l’accès à la clé dans le nouveau coffre. Si vous choisissez la mise à jour manuelle de la version de la clé, vous devez également mettre à jour l’URI du coffre de clés.

Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client

Pour révoquer temporairement l’accès à un compte de stockage qui utilise des clés gérées par le client, désactivez la clé actuellement utilisée dans le coffre de clés. Aucun impact sur les performances ni aucun temps d’arrêt n’est associé à la désactivation et à la réactivation de la clé.

Après la désactivation de la clé, les clients ne peuvent pas appeler les opérations de lecture ou d’écriture dans un objet blob ou ses métadonnées. Pour plus d’informations sur les opérations qui échouent, consultez la section Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client.

Attention

Lorsque vous désactivez la clé dans le coffre de clés, les données de votre compte de stockage Azure restent chiffrées, mais elles deviennent inaccessibles jusqu’à ce que vous réactiviez la clé.

Pour désactiver un clé gérée par le client dans le portail Azure, procédez comme suit :

  1. Accédez au coffre de clés qui contient la clé.

  2. Sous Objets, sélectionnez Clés.

  3. Cliquez avec le bouton droit sur la clé, puis sélectionnez Désactiver.

    Capture d’écran montrant comment désactiver une clé gérée par le client dans le coffre de clés.

La désactivation de la clé entraîne l’échec des tentatives d’accès aux données du compte de stockage avec le code d’erreur 403 (interdit). Pour obtenir la liste des opérations de compte de stockage qui seront affectées par la désactivation de la clé, consultez Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client.

Revenir aux clés gérées par Microsoft

Vous pouvez passer des clés gérées par le client aux clés gérées par Microsoft à tout moment, à l’aide du portail Azure, de PowerShell ou d’Azure CLI.

Pour passer des clés gérées par le client aux clés gérées par Microsoft dans le portail Azure, procédez comme suit :

  1. Accédez à votre compte de stockage.

  2. Sous Sécurité + mise en réseau, sélectionnez Chiffrement.

  3. Définissez le Type de chiffrement sur Clés gérées par Microsoft.

    Capture d’écran montrant comment basculer vers des clés gérées par Microsoft pour un compte de stockage.

Étapes suivantes