Configurer des clés gérées par le client pour le chiffrement de volume Azure NetApp Files

Les clés gérées par le client pour le chiffrement de volume Azure NetApp Files vous permettent d’utiliser vos propres clés plutôt qu’une clé gérée par la plateforme quand vous créez un volume. Avec les clés gérées par le client, vous pouvez gérer entièrement la relation entre le cycle de vie d’une clé, les autorisations d’utilisation des clés et les opérations d’audit sur les clés.

Le diagramme suivant montre comment les clés gérées par le client fonctionnent avec Azure NetApp Files :

1. Azure NetApp Files accorde des autorisations sur les clés de chiffrement à une identité managée. L’identité managée peut être une identité managée affectée par l’utilisateur que vous créez et gérez, ou une identité managée affectée par le système associée au compte NetApp.

2. Vous configurez le chiffrement avec une clé gérée par le client pour le compte NetApp.

3. Vous utilisez l’identité managée à laquelle l’administrateur Azure Key Vault a accordé des autorisations à l’étape 1 pour authentifier l’accès à Azure Key Vault avec Microsoft Entra ID.

4. Azure NetApp Files enveloppe la clé de chiffrement du compte avec la clé gérée par le client dans Azure Key Vault.

   Les clés gérées par le client n’impactent pas les performances d’Azure NetApp Files. La seule différence par rapport aux clés gérées par la plateforme est la façon dont la clé est gérée.

5. Pour les opérations de lecture/écriture, Azure NetApp Files envoie des demandes à Azure Key Vault pour désenvelopper la clé de chiffrement du compte afin d’effectuer des opérations de chiffrement et de déchiffrement.

À propos de l’installation

• Les clés gérées par le client peuvent être configurées seulement sur les nouveaux volumes. Vous ne pouvez pas migrer de volumes existants vers le chiffrement avec une clé gérée par le client.
• Pour créer un volume en utilisant des clés gérées par le client, vous devez sélectionner les fonctionnalités réseau Standard. Vous ne pouvez pas utiliser de clés gérées par le client avec un volume configuré en utilisant des fonctionnalités réseau de base. Suivez les instructions de Définir l’option Fonctionnalités réseau dans la page de création de volume.
• Pour durcir la sécurité, vous pouvez sélectionner l’option Désactiver l’accès public dans les paramètres réseau de votre coffre de clés. Quand vous sélectionnez cette option, vous devez également sélectionner Autoriser les services Microsoft approuvés à contourner ce pare-feu pour permettre au service Azure NetApp Files d’accéder à votre clé de chiffrement.
• Les clés gérées par le client prennent en charge le renouvellement automatique des certificats MSI (Managed System Identity). Si votre certificat est valide, vous n’avez pas besoin de le mettre à jour manuellement.
• L’application de groupes de sécurité réseau Azure sur le sous-réseau de liaison privée à Azure Key Vault n’est pas prise en charge pour les clés Azure NetApp Files gérées par le client. Les groupes de sécurité réseau n’affectent pas la connectivité à Private Link, sauf si Private endpoint network policy est activé sur le sous-réseau. Il est obligatoire de laisser cette option désactivée.
• Si Azure NetApp Files ne parvient pas à créer un volume avec une clé gérée par le client, des messages d’erreur s’affichent. Pour plus d’informations, consultez la section Messages d’erreur et résolution des problèmes.
• Si Azure Key Vault devient inaccessible, Azure NetApp Files perd son accès aux clés de chiffrement et la possibilité de lire ou d’écrire des données sur des volumes activés avec des clés gérées par le client. Dans ce cas, créez un ticket de support pour que l’accès soit restauré manuellement pour les volumes affectés.
• Azure NetApp Files prend en charge les clés gérées par le client sur les volumes de réplication source et de données avec des relations de réplication interrégionale ou de réplication interzone.

Régions prises en charge

Les clés Azure NetApp Files gérées par le client sont prises en charge pour les régions suivantes :

• Centre de l’Australie
• Centre de l’Australie 2
• Australie Est
• Sud-Australie Est
• Brésil Sud
• Brésil Sud-Est
• Centre du Canada
• Est du Canada
• Inde centrale
• USA Centre
• Asie Est
• USA Est
• USA Est 2
• France Centre
• Allemagne Nord
• Allemagne Centre-Ouest
• Japon Est
• OuJapon Est
• Centre de la Corée
• Corée du Sud
• Centre-Nord des États-Unis
• Europe Nord
• Norvège Est
• Norvège Ouest
• Qatar Central
• Afrique du Sud Nord
• États-Unis - partie centrale méridionale
• Inde Sud
• Asie Sud-Est
• Suède Centre
• Suisse Nord
• Suisse Ouest
• Émirats arabes unis Centre
• Émirats arabes unis Nord
• Sud du Royaume-Uni
• Ouest du Royaume-Uni
• Europe Ouest
• USA Ouest
• USA Ouest 2
• USA Ouest 3

Spécifications

Avant de créer votre premier volume avec une clé gérée par le client, vous devez configurer :

• Un coffre de clés Azure contenant au moins une clé.
  • Le coffre de clés doit avoir la suppression réversible et la protection contre la suppression définitive activées.
  • La clé doit être de type RSA.
• Le coffre de clés doit avoir un point de terminaison privé Azure.
  • Le point de terminaison privé doit résider dans un sous-réseau différent de celui délégué à Azure NetApp Files. Le sous-réseau doit se trouver dans le même VNet que celui délégué à Azure NetApp.

Pour plus d’informations sur Azure Key Vault et le point de terminaison privé Azure, consultez :

• Démarrage rapide : Créer un coffre de clés
• Créer ou importer une clé dans le coffre
• Créer un point de terminaison privé
• En savoir plus sur les clés et les types de clés pris en charge
• Groupes de sécurité réseau
• Gérer les stratégies réseau pour les points de terminaison privés

Configurer un compte NetApp pour qu’il utilise des clés gérées par le client

Portail

1. Dans le portail Azure et sous Azure NetApp Files, sélectionnez Chiffrement.

   La page Chiffrement vous permet de gérer les paramètres de chiffrement de votre compte NetApp. Elle comprend une option permettant de définir votre compte NetApp pour qu’il utilise votre propre clé de chiffrement, qui est stockée dans Azure Key Vault. Ce paramètre fournit une identité affectée par le système au compte NetApp et ajoute une stratégie d’accès pour l’identité avec les autorisations de clé nécessaires.

   

2. Quand vous définissez votre compte NetApp pour qu’il utilise la clé gérée par le client, vous avez deux façons de spécifier l’URI de clé :

   • L’option Sélectionner dans le coffre de clés vous permet de sélectionner un coffre de clés et une clé.

   • L’option Entrer l’URI de clé vous permet d’entrer manuellement l’URI de la clé.

3. Sélectionnez le type d’identité que vous voulez utiliser pour l’authentification dans le coffre de clés Azure. Si votre coffre de clés Azure est configuré pour utiliser la stratégie d’accès du coffre comme modèle d’autorisation, les deux options sont disponibles. Sinon, seule l’option Affectée par l’utilisateur est disponible.

   • Si vous choisissez Affectée par le système, sélectionnez le bouton Enregistrer. Le portail Azure configure automatiquement le compte NetApp avec le processus suivant : une identité affectée par le système est ajoutée à votre compte NetApp. Une stratégie d’accès doit être créée sur votre coffre de clés Azure avec les autorisations de clé Obtenir, Chiffrer, Déchiffrer.

   

   • Si vous choisissez Affectée par l’utilisateur, vous devez sélectionner une identité. Choisissez Sélectionner une identité pour ouvrir un volet contextuel dans lequel vous sélectionnez une identité managée affectée par l’utilisateur.

   

   Si vous avez configuré votre coffre de clés Azure pour qu’il utilise la stratégie d’accès du coffre, le portail Azure configure automatiquement le compte NetApp avec le processus suivant : l’identité affectée par l’utilisateur que vous sélectionnez est ajoutée à votre compte NetApp. Une stratégie d’accès est créée sur votre coffre de clés Azure avec les autorisations de clé Obtenir, Chiffrer, Déchiffrer.

   Si vous avez configuré votre coffre de clés Azure pour qu’il utilise le contrôle d’accès en fonction du rôle Azure, vous devez vérifier que l’identité affectée par l’utilisateur sélectionnée a une attribution de rôle sur le coffre de clés avec des autorisations pour les actions :

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action L’identité affectée par l’utilisateur que vous sélectionnez est ajoutée à votre compte NetApp. En raison de la nature personnalisable du contrôle d’accès en fonction du rôle (RBAC), le portail Azure ne configure pas l’accès au coffre de clés. Consultez Attribution de l’accès aux clés, certificats et secrets Key Vault avec un contrôle d’accès en fonction du rôle Azure pour plus de détails sur la configuration d’Azure Key Vault.

4. Sélectionnez Enregistrer, puis observez la notification indiquant l’état de l’opération. Si l’opération n’a pas réussi, un message d’erreur s’affiche. Consultez les messages d’erreur et la résolution des problèmes pour obtenir de l’aide pour résoudre l’erreur.

Azure CLI

La façon dont vous configurez un compte NetApp avec des clés gérées par le client en utilisant Azure CLI varie selon que vous utilisez une identité affectée par le système ou une identité affectée par l’utilisateur.

Utiliser une identité affectée par le système

1. Mettez à jour votre compte NetApp pour qu’il utilise une identité affectée par le système.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Pour utiliser une stratégie d’accès, créez une variable qui inclut l’ID de principal de l’identité de compte, puis exécutez az keyvault set-policy et attribuez les autorisations « Obtenir », « Chiffrer » et « Déchiffrer ».

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Mettez à jour le compte NetApp avec votre coffre de clés.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Utiliser une nouvelle identité affectée par l’utilisateur

1. Créez une identité affectée par l’utilisateur.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Définissez une stratégie d’accès pour le coffre de clés.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Remarque

   Vous pouvez également utiliser le contrôle d’accès en fonction du rôle pour accorder l’accès au coffre de clés.

3. Attribuez l’identité affectée par l’utilisateur au compte NetApp et mettez à jour le chiffrement du coffre de clés.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

Le processus de configuration d’un compte NetApp avec des clés gérées par le client dans Azure CLI varie selon que vous utilisez une identité affectée par le système ou une identité affectée par l’utilisateur.

Activer l’accès pour l’identité affectée par le système

1. Mettez à jour votre compte NetApp pour qu’il utilise une identité affectée par le système.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Pour utiliser une stratégie d’accès, exécutez Set-AzKeyVaultAccessPolicy avec le nom du coffre de clés, l’ID de principal de l’identité du compte, et les autorisations « Obtenir », « Chiffrer » et « Déchiffrer ».

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Mettez à jour votre compte NetApp avec les informations du coffre de clés.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Activer l’accès pour l’identité affectée par l’utilisateur

1. Créez une identité affectée par l’utilisateur.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Attribuez la stratégie d’accès au coffre de clés.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Remarque

   Vous pouvez également utiliser le contrôle d’accès en fonction du rôle pour accorder l’accès au coffre de clés.

3. Attribuez l’identité affectée par l’utilisateur au compte NetApp et mettez à jour le chiffrement du coffre de clés.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Utiliser le contrôle d’accès en fonction du rôle

Vous pouvez utiliser un coffre de clés Azure configuré pour utiliser le contrôle d’accès en fonction du rôle Azure. Pour configurer des clés gérées par le client dans le portail Azure, vous devez fournir une identité affectée par l’utilisateur.

1. Dans votre compte Azure, accédez à Coffres de clés, puis Stratégies d’accès.

2. Pour créer une stratégie d’accès, sous Modèle d’autorisation, sélectionnez Contrôle d’accès en fonction du rôle Azure.

3. Quand vous créez le rôle affecté par l’utilisateur, il existe trois autorisations nécessaires pour les clés gérées par le client :

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Bien que des rôles prédéfinis incluent ces autorisations, ces rôles accordent plus de privilèges que ceux nécessaires. Nous vous recommandons de créer un rôle personnalisé avec uniquement les autorisations minimales nécessaires. Pour plus d’informations, consultez Rôles Azure personnalisés.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Une fois le rôle personnalisé créé et disponible pour être utilisé avec le coffre de clés, vous l’appliquez à l’identité affectée par l’utilisateur.

Créer un volume Azure NetApp Files en utilisant des clés gérées par le client

1. Dans Azure NetApp Files, sélectionnez Volumes, puis + Ajouter un volume.

2. Suivez les instructions indiquées dans Configurer les fonctionnalités réseau d’un volume Azure NetApp Files :

   • Définir l’option Fonctionnalités réseau dans la page de création du volume.
   • Le groupe de sécurité réseau du sous-réseau délégué du volume doit autoriser le trafic entrant à partir de la machine virtuelle de stockage de NetApp.

3. Pour un compte NetApp configuré pour utiliser une clé gérée par le client, la page Créer un volume comprend l’option Source de la clé de chiffrement.

   Pour chiffrer le volume avec votre clé, sélectionnez Clé gérée par le client dans le menu déroulant Source de la clé de chiffrement.

   Quand vous créez un volume avec une clé gérée par le client, vous devez également sélectionner Standard pour l’option Fonctionnalités réseau. Les fonctionnalités réseau de base ne sont pas prises en charge.

   Vous devez également sélectionner un point de terminaison privé de coffre de clés. Le menu déroulant affiche des points de terminaison privés dans le réseau virtuel sélectionné. S’il n’y a pas de point de terminaison privé pour votre coffre de clés dans le réseau virtuel sélectionné, la liste déroulante est vide et vous ne pouvez pas continuer. Si c’est le cas, consultez Point de terminaison privé Azure.

   

4. Continuez pour terminer le processus de création du volume. Consultez :

   • Créer un volume NFS
   • Créer un volume SMB
   • Créer un volume à deux protocoles

Recréer la clé de tous les volumes sous un compte NetApp

Si vous avez déjà configuré votre compte NetApp pour les clés gérées par le client et que vous avez un ou plusieurs volumes chiffrés avec des clés gérées par le client, vous pouvez changer la clé utilisée pour chiffrer tous les volumes sous le compte NetApp. Vous pouvez sélectionner n’importe quelle clé qui se trouve dans le même coffre de clés. Le changement des coffres de clés n’est pas pris en charge.

1. Sous votre compte NetApp, accédez au menu Chiffrement. Sous le champ d’entrée Clé actuelle, sélectionnez le lien Recréer la clé.

2. Dans le menu Recréer la clé, sélectionnez une des clés disponibles dans le menu déroulant. La clé choisie doit être différente de la clé actuelle.

3. Sélectionnez OK pour enregistrer. L’opération de recréation de la clé peut prendre plusieurs minutes.

Passer d’une identité affectée par le système à une identité affectée par l’utilisateur

Pour passer d’une identité affectée par le système à une identité affectée par l’utilisateur, vous devez accorder l’accès à l’identité cible sur le coffre de clés utilisé avec les autorisations lire/obtenir, chiffrer et déchiffrer.

1. Mettez à jour le compte NetApp en envoyant une requête PATCH avec la commande az rest :

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   La charge utile doit utiliser la structure suivante :

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Vérifiez que l’opération a été correctement exécutée avec la commande az netappfiles account show. La sortie comprend les champs suivants :

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Assurez-vous que :

   • encryption.identity.principalId correspond à la valeur dans identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity correspond à la valeur dans identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Messages d’erreur et résolution des problèmes

Cette section liste les messages d’erreur et les résolutions possibles quand Azure NetApp Files ne parvient pas à configurer le chiffrement avec des clés gérées par le client ou à créer un volume utilisant une clé gérée par le client.

Erreurs de configuration du chiffrement avec une clé gérée par le client sur un compte NetApp

Condition d'erreur	Résolution
The operation failed because the specified key vault key was not found	Quand vous entrez manuellement l’URI de clé, vérifiez que l’URI est correct.
Azure Key Vault key is not a valid RSA key	Vérifiez que la clé sélectionnée est de type RSA.
Azure Key Vault key is not enabled	Vérifiez que la clé sélectionnée est activée.
Azure Key Vault key is expired	Vérifiez que la clé sélectionnée n’a pas expiré.
Azure Key Vault key has not been activated	Vérifiez que la clé sélectionnée est active.
Key Vault URI is invalid	Quand vous entrez manuellement l’URI de clé, vérifiez que l’URI est correct.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Mettez à jour le niveau de récupération du coffre de clés sur : “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Vérifiez que le coffre de clés est dans la même région que le compte NetApp.

Erreurs de création d’un volume chiffré avec des clés gérées par le client

Condition d'erreur	Résolution
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	Le chiffrement par clé gérée par le client de votre compte NetApp n’est pas activé. Configurez le compte NetApp pour qu’il utilise une clé gérée par le client.
EncryptionKeySource cannot be changed	Aucune résolution. La propriété EncryptionKeySource d’un volume ne peut pas être modifiée.
Unable to use the configured encryption key, please check if key is active	Vérifiez les éléments suivants : - Les stratégies d’accès sont-elles toutes correctes sur le coffre de clés : Obtenir, Chiffrer, Déchiffrer ? - Y a-t-il un point de terminaison privé pour le coffre de clés ? - Y a-t-il une traduction NAT de réseau virtuel dans le VNet, avec le sous-réseau Azure NetApp Files délégué activé ?
Could not connect to the KeyVault	Vérifiez que le point de terminaison privé est correctement configuré et que les pare-feu ne bloquent pas la connexion depuis votre Réseau virtuel Microsoft Azure à votre coffre de clés.

Étapes suivantes

• API Azure NetApp Files