Partager via


Configurer des clés gérées par le client pour la ressource Test de charge Azure avec Azure Key Vault

Test de charge Azure chiffre automatiquement toutes les données stockées dans votre ressource de test de charge avec des clés fournies par Microsoft (clés gérées par le service). Si vous le souhaitez, vous pouvez ajouter une deuxième couche de sécurité en fournissant également vos propres clés (gérées par le client). Les clés gérées par le client offrent une plus grande flexibilité pour contrôler l’accès et l’utilisation des stratégies de permutation de clés.

Les clés que vous fournissez sont stockées de manière sécurisée avec Azure Key Vault. Vous pouvez créer une clé distincte pour chaque ressource de test de charge Azure que vous activez avec des clés gérées par le client.

Lorsque vous utilisez des clés de chiffrement gérées par le client, vous devez spécifier une identité managée affectée par l’utilisateur pour récupérer les clés à partir d’Azure Key Vault.

Test de charge Azure utilise la clé gérée par le client pour chiffrer les données suivantes dans la ressource de test de charge :

  • Script de test et fichiers de configuration
  • Secrets
  • Variables d'environnement

Remarque

Le Test de charge Azure ne chiffre pas les données de métriques pour une exécution de test avec votre clé gérée par le client, y compris les noms d’échantillonneurs de métriques JMeter que vous spécifiez dans le script JMeter. Microsoft a accès à ces données de métriques.

Prérequis

Limites

  • Les clés gérées par le client sont disponibles uniquement pour les nouvelles ressources de test de charge Azure. Vous devez configurer la clé lors de la création de la ressource.

  • Une fois le chiffrement à clé gérée par le client activé sur une ressource, il ne peut pas être désactivé.

  • Test de charge Azure ne peut pas permuter automatiquement la clé gérée par le client de façon à utiliser la dernière version de la clé de chiffrement. Vous devez mettre à jour l’URI de clé dans la ressource une fois la clé permutée dans Azure Key Vault.

Configurer votre instance d’Azure Key Vault

Pour utiliser des clés de chiffrement gérées par le client avec de Test de charge Azure, vous devez stocker la clé dans Azure Key Vault. Vous pouvez utiliser un coffre de clés existant ou en créer un. La ressource de test de charge et le coffre de clés peuvent se trouver dans des régions ou des abonnements différents dans le même locataire.

Veillez à configurer les paramètres de coffre de clés suivants lorsque vous utilisez des clés de chiffrement gérées par le client.

Configurer les paramètres réseau du coffre de clés

Si vous avez restreint l’accès à votre coffre de clés Azure par un pare-feu ou une mise en réseau virtuelle, vous devez accorder l’accès au Test de charge Azure pour récupérer vos clés gérées par le client. Suivez ces étapes pour octroyer l’accès aux services Azure approuvés.

Important

La récupération de clés gérées par le client à partir d’un coffre de clés Azure privé disposant de restrictions d’accès n’est actuellement pas prise en charge dans la région US Gov Virginie.

Configurer la suppression réversible et la protection contre le vidage

Vous devez définir les propriétés Suppression réversible et Protection contre le vidage sur votre instance coffre de clés, afin d’utiliser des clés gérées par le client avec Test de charge Azure. Lorsque vous créez un coffre de clés, la suppression réversible est activée par défaut et vous ne pouvez pas la désactiver. Vous pouvez activer la protection de purge à tout moment. En savoir plus sur la suppression réversible et la protection contre le vidage dans Azure Key Vault.

Suivez ces étapes pour vérifier si la suppression réversible est activée et l’activer sur un coffre de clés. La suppression réversible est désactivée par défaut lorsque vous créez un coffre de clés.

Vous pouvez activer la protection contre le vidage lorsque vous créer un coffre de clés en sélectionnant les paramètres Activer la protection contre le vidage.

Capture d’écran montrant comment activer la protection contre le vidage lors de la création d’un coffre de clés dans le portail Azure.

Pour activer la protection contre le vidage sur un coffre de clés existant, procédez comme suit :

  1. Accédez à votre coffre de clés dans le portail Azure.
  2. Sous Paramètres, choisissez Propriétés.
  3. Dans la section Protection contre le vidage, choisissez Activer la protection contre le vidage.

Ajouter une clé gérée par le client à Azure Key Vault

Ensuite, ajoutez une clé au coffre de clés. Le chiffrement de Test de charge Azure prend en charge les clés RSA. Pour plus d’informations sur les types de clés pris en charge dans Azure Key Vault, consultez À propos des clés.

Pour savoir comment créer un coffre de clés à l’aide du portail Azure, consultez Définir et récupérer une clé à partir d’Azure Key Vault à l’aide du portail Azure.

Ajouter une stratégie d’accès à votre coffre de clés

Lorsque vous utilisez des clés de chiffrement gérées par le client, vous devez spécifier une identité managée affectée par l’utilisateur. L’identité managée affectée par l’utilisateur pour accéder aux clés gérées par le client dans Azure Key Vault doit disposer des autorisations appropriées pour accéder au coffre de clés.

  1. Dans le Portail Azure, accédez à l’instance Azure Key Vault que vous prévoyez d’utiliser pour héberger vos clés de chiffrement.

  2. Sélectionnez Stratégies d’accès dans le menu de gauche.

    Capture d’écran montrant l’option stratégies d’accès pour un coffre de clés dans le portail Azure.

  3. Sélectionnez + Ajouter une stratégie d’accès.

  4. Dans le menu déroulant Autorisations de clé, sélectionnez les autorisations Get, Unwrap Key et Wrap Key.

    Capture d’écran montrant les autorisations Azure Key Vault.

  5. Dans Sélectionner le principal, sélectionnez Aucune sélection.

  6. Recherchez l’identité managée affectée par l’utilisateur que vous avez créée précédemment et sélectionnez-la dans la liste.

  7. Choisissez Sélectionner en bas.

  8. Sélectionnez Ajouter pour ajouter la nouvelle stratégie d’accès.

  9. Sélectionnez Enregistrer sur l’instance de coffre de clés pour enregistrer toutes les modifications.

Utiliser des clés gérées par le client avec Test de charge Azure

Vous pouvez uniquement configurer des clés de chiffrement gérées par le client lorsque vous créez une ressource de test de charge Azure. Lorsque vous spécifiez les détails de la clé de chiffrement, vous devez également sélectionner une identité managée affectée par l'utilisateur qui va récupérer la clé à partir d’Azure Key Vault.

Pour configurer des clés gérées par le client pour une nouvelle ressource de test de charge Azure, effectuez ces étapes :

  1. Suivez ces étapes pour Créer une ressource de test de charge Azure dans le portail Azure et remplissez les champs sous l’onglet Informations de base.

  2. Accédez à l’onglet Chiffrement, puis sélectionnez Clés gérées par le client (CMK) pour le champ Type de chiffrement.

  3. Dans le champ URI de clé, collez l’identificateur de clé/URI de la clé Azure Key Vault, y compris la version de clé.

  4. Pour le champ Identité affectée par l’utilisateur, sélectionnez une identité managée affectée par l’utilisateur existante.

  5. Sélectionnez Vérifier + créer pour valider et créer la nouvelle ressource.

Capture d’écran montrant comment activer le chiffrement de clé gérée par le client lors de la création d’une ressource de test de charge Azure.

Modifier l’identité managée pour récupérer la clé de chiffrement

Vous pouvez changer l’identité managée pour les clés gérées par le client pour une ressource de test de charge Azure existante à tout moment.

  1. Dans le portail Azure, accédez à votre ressource de test de charge Azure.

  2. Dans la page Paramètres, sélectionnez Chiffrement.

    Le type de chiffrement indique le type de chiffrement utilisé pour créer la ressource de test de charge.

  3. Si le type de chiffrement est Clés gérées par le client, sélectionnez le type d’identité à utiliser pour vous authentifier auprès du coffre de clés. Les options incluent Affectée au par le système (valeur par défaut) ou Affectée par l’utilisateur.

    Pour en savoir plus sur chaque type d’identité managée, consultez Types d’identité managée.

    • Si vous sélectionnez Affectée par le système, vous devez activer l’identité managée affectée par le système sur la ressource et lui accorder l’accès au coffre Azure Key Vault avant de changer l’identité pour les clés gérées par le client.
    • Si vous sélectionnez Affectée par l’utilisateur, vous devez sélectionner une identité affectée par l’utilisateur existante qui dispose des autorisations nécessaires pour accéder au coffre de clés. Pour savoir comment créer une identité affectée par l’utilisateur, consultez Utiliser des identités managées pour Test de charge Azure Préversion.
  4. Enregistrez vos modifications.

Capture d’écran montrant comment changer l’identité managée pour les clés gérées par le client sur une ressource Test de charge Azure existante.

Important

Vérifiez que l’identité managée sélectionnée a accès à l’Azure Key Vault.

Mettre à jour la clé de chiffrement gérée par le client

Vous pouvez changer la clé que vous utilisez pour le chiffrement Test de charge Azure à tout moment. Pour modifier la clé avec le portail Azure, procédez comme suit :

  1. Dans le portail Azure, accédez à votre ressource de test de charge Azure.

  2. Dans la page Paramètres, sélectionnez Chiffrement. Type de chiffrement indique le chiffrement sélectionné pour la ressource lors de la création.

  3. Si le type de chiffrement sélectionné est Clés gérées par le client, vous pouvez modifier le champ d’URI de clé en indiquant le nouvel URI de clé.

  4. Enregistrez vos modifications.

Effectuer la rotation des clés de chiffrement

Vous pouvez permuter une clé gérée par le client dans Azure Key Vault en fonction de vos stratégies de conformité. Pour faire pivoter une clé :

  1. Dans Azure Key Vault, mettez à jour la version de clé ou créez une nouvelle clé.
  2. Mettez à jour la clé de chiffrement gérée par le client pour votre ressource de test de charge.

Forum aux questions

Des frais supplémentaires sont-ils facturés pour les clés gérées par le client ?

Non, il n’y a aucun frais pour activer cette fonctionnalité.

Les clés gérées par le client sont-elles prises en charge pour les ressources de test de charge Azure existantes ?

Cette fonctionnalité est actuellement disponible uniquement pour les nouvelles ressources de test de charge Azure.

Comment puis-je savoir si les clés gérées par le client sont activées sur ma ressource de test de charge Azure ?

  1. Dans le portail Azure, accédez à votre ressource de test de charge Azure.
  2. Accédez à l’élément Chiffrement dans la barre de navigation gauche.
  3. Vous pouvez vérifier le Type de chiffrement sur votre ressource.

Comment révoquer une clé de chiffrement ?

Vous pouvez révoquer une clé en désactivant la dernière version de la clé dans Azure Key Vault. Sinon, pour révoquer toutes les clés d’une instance Azure Key Vault, vous pouvez supprimer la stratégie d’accès accordée à l’identité managée de la ressource de test de charge Azure.

Lorsque vous révoquez la clé de chiffrement, vous pourrez peut-être exécuter des tests pendant environ 10 minutes, après quoi la seule opération disponible sera la suppression de ressources. Nous vous recommandons de permuter la clé au lieu de la révoquer pour gérer la sécurité des ressources et conserver vos données.