Chiffrement des données de sauvegarde à l’aide de clés gérées par le client

La Sauvegarde Azure vous permet de chiffrer vos données de sauvegarde en utilisant des clés gérées par le client (CMK) au lieu de clés gérées par la plateforme, qui sont activées par défaut. Vos clés qui chiffrent les données de sauvegarde doivent être stockées dans Azure Key Vault.

La clé de chiffrement utilisée pour le chiffrement des sauvegardes peut être différente de celle utilisée pour la source. Les données sont protégées avec une clé de chiffrement de données (DEK) basée sur AES 256, qui est à son tour protégée par vos clés de chiffrement de clé (KEK). Cela vous offre un contrôle total sur les données et les clés. Pour autoriser le chiffrement, vous devez accorder au coffre Recovery Services les autorisations d’accès à la clé de chiffrement dans le coffre de clés Azure. Vous pouvez changer la clé si nécessaire.

Dans cet article, vous allez apprendre à :

• Créer un coffre Recovery Services
• Configurer le coffre Recovery Services pour chiffrer les données de sauvegarde avec des clés gérées par le client (CMK)
• Effectuer une sauvegarde dans des coffres chiffrés avec des clés gérées par le client
• Restaurer les données à partir des sauvegardes

Avant de commencer

• Cette fonctionnalité vous permet de chiffrer les nouveaux coffres Recovery Services uniquement. Les coffres contenant des éléments existants inscrits ou en attente de l’être ne sont pas pris en charge.

• Après l’avoir activé pour un coffre Recovery Services, le chiffrement à base de clés gérées par le client ne peut pas être annulé pour revenir à l’utilisation de clés gérées par la plateforme (option par défaut). Vous pouvez changer les clés de chiffrement selon les exigences.

• Pour l’heure, cette fonctionnalité ne prend pas en charge la sauvegarde à l’aide de l’agent MARS, et vous ne pourrez peut-être pas utiliser de coffre chiffré par une clé CMK à cette fin. L’agent MARS utilise un chiffrement basé sur une phrase secrète utilisateur. Cette fonctionnalité ne prend pas non plus en charge la sauvegarde de machines virtuelles classiques.

• Elle n’est pas liée à Azure Disk Encryption, qui utilise le chiffrement basé sur l’invité du disque d’une machine virtuelle à l’aide de BitLocker (pour Windows) et de DM-Crypt (pour Linux).

• Le coffre Recovery Services ne peut être chiffré qu’avec des clés stockées dans Azure Key Vault, situé dans la même région. De même, les clés doivent être des clés RSAprises en charge uniquement et doivent être à l’état activé.

• Le déplacement d’un coffre Recovery Services chiffré par clé CMK d’un groupe de ressources ou d’un abonnement vers un autre n’est pas actuellement pris en charge.

• Quand vous déplacez un coffre Recovery Services déjà chiffré avec des clés gérées par le client vers un nouveau locataire, vous devez le mettre à jour pour recréer et reconfigurer son identité managée et sa CMK (qui doivent se trouver dans le nouveau locataire). Si cela n’est pas fait, les opérations de sauvegarde et de restauration échouent. De plus, toutes les autorisations de contrôle d'accès basé sur les rôles Azure (Azure RBAC) configurées dans l'abonnement devront être reconfigurées.

• Cette fonctionnalité peut être configurée à l’aide du portail Azure ou de PowerShell.

  Notes

  Utilisez le module Az 5.3.0 ou version ultérieure afin d’utiliser des clés gérées par le client pour les sauvegardes dans le coffre Recovery Services.

  Avertissement

  Si vous utilisez PowerShell pour gérer les clés de chiffrement pour Sauvegarde, nous vous déconseillons de mettre à jour les clés à partir du portail.
  Si vous mettez à jour la clé à partir du portail, vous ne pouvez plus utiliser PowerShell pour mettre à jour la clé de chiffrement jusqu’à ce qu’une mise à jour de PowerShell prenant en charge le nouveau modèle soit disponible. Toutefois, vous pouvez continuer à mettre à jour la clé depuis le portail Azure.

Si vous n’avez pas encore créé et configuré votre coffre Recovery Services, cliquez ici pour accéder aux instructions correspondantes.

Configurer un coffre à chiffrer avec des clés gérées par le client

Pour configurer un coffre, effectuez les actions suivantes dans la séquence donnée afin d’obtenir les résultats prévus. Chaque action est abordée en détail dans les sections ci-après :

1. Activer une identité managée pour votre coffre Recovery Services.

2. Attribuer des autorisations au coffre pour lui permettre d’accéder à la clé de chiffrement dans Azure Key Vault.

3. Activer la suppression réversible et la protection contre le vidage sur Azure Key Vault.

4. Attribuez la clé de chiffrement au coffre Recovery Services.

Activer une identité managée pour votre coffre Recovery Services

Sauvegarde Azure utilise les identités managées affectées par le système et les identités managées affectées par l’utilisateur pour authentifier le coffre Recovery Services et lui permettre d’accéder aux clés de chiffrement stockées dans Azure Key Vault. Pour activer l’identité managée pour votre coffre Recovery Services, suivez les étapes ci-dessous :

Notes

Une fois que l’identité managée est activée, vous ne devez pas la désactiver (même temporairement). La désactivation de l’identité managée peut entraîner un comportement incohérent.

Activer l’identité managée affectée par le système pour le coffre

Choisissez un client :

Azure portal

1. Accédez à votre coffre Recovery Services ->Identité.

   

2. Accédez à l’onglet Affectée par le système.

3. Modifiez l’état sur Activé.

4. Sélectionnez Enregistrer pour activer l’identité pour le coffre.

Un ID d’objet est généré, qui correspond à l’identité managée affectée par le système du coffre.

Notes

Une fois activée, l’identité managée ne doit pas être désactivée (même temporairement). La désactivation de l’identité managée peut entraîner un comportement incohérent.

PowerShell

Utilisez la commande Update-AzRecoveryServicesVault pour activer l’identité managée attribuée par le système pour le coffre Recovery Services.

Exemple :

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

Sortie :

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

INTERFACE DE LIGNE DE COMMANDE

Utilisez la commande az backup vault identity assign afin d’activer l’identité managée affectée par le système pour le coffre Recovery Services.

Exemple :

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

Sortie :

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Attribuer une identité managée affectée par l’utilisateur au coffre (préversion)

Notes

• Les coffres utilisant des identités gérées affectées par l’utilisateur pour le chiffrement CMK ne prennent pas en charge l’utilisation de points de terminaison privés pour Sauvegarde Microsoft Azure.
• Les coffres de clés Azure qui limitent l’accès à des réseaux spécifiques ne sont pas encore pris en charge pour une utilisation avec des identités managées affectées par l’utilisateur pour le chiffrement CMK.

Pour attribuer l’identité managée affectée par l’utilisateur pour votre coffre Recovery Services, choisissez un client :

Azure portal

1. Accédez à votre coffre Recovery Services ->Identité.

   

2. Accédez à l’onglet Affectée par l’utilisateur.

3. Sélectionnez +Ajouter pour ajouter une identité managée affectée par l’utilisateur.

4. Dans le panneau Ajouter une identité managée affectée par l’utilisateur qui s’ouvre, sélectionnez l’abonnement correspondant à votre identité.

5. Sélectionnez l’identité dans la liste. Vous pouvez également filtrer par le nom de l’identité ou du groupe de ressources.

6. Ensuite, sélectionnez Ajouter pour terminer l’attribution de l’identité.

PowerShell

Utilisez la commande Update-AzRecoveryServicesVault pour activer l’identité managée attribuée par l’utilisateur pour le coffre Recovery Services.

Exemple :

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

Sortie :

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

INTERFACE DE LIGNE DE COMMANDE

Utilisez la commande az backup vault identity assign afin d’activer l’identité managée affectée par le système pour le coffre Recovery Services.

Exemple :

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

Sortie :

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Attribuer des autorisations au coffre Recovery Services pour lui permettre d’accéder à la clé de chiffrement dans Azure Key Vault

Notes

Si vous utilisez des identités affectées par l’utilisateur, les mêmes autorisations doivent être attribuées à l’identité affectée par l’utilisateur.

Vous devez maintenant autoriser le coffre Recovery Services à accéder au coffre de clés Azure qui contient la clé de chiffrement. Pour cela, vous devez autoriser l’identité managée du coffre Recovery Services à accéder au coffre de clés.

Choisissez un client :

Azure portal

1. Accédez à votre coffre de clés Azure ->Stratégies d’accès. Continuez pour +Ajouter une stratégie d’accès.

   

2. Sous Autorisations de clé, sélectionnez les opérations Obtenir, Lister, Ne pas inclure la clé et Inclure la clé. Cela indique les actions qui seront autorisées sur la clé.

   

3. Accédez à Sélectionner le principal et recherchez votre coffre dans la zone de recherche à partir de son nom ou de son identité managée. Une fois le coffre affiché, sélectionnez-le, puis choisissez Sélectionner au bas du volet.

   

4. Après quoi, sélectionnez Ajouter pour ajouter la nouvelle stratégie d’accès.

5. Sélectionnez Enregistrer pour enregistrer les modifications apportées à la stratégie d’accès du coffre de clés Azure.

Notes

Vous pouvez également affecter un rôle RBAC au coffre Recovery Services qui contient les autorisations mentionnées ci-dessus, telles que le rôle Agent de chiffrement Key Vault .

Ces rôles peuvent contenir des autorisations supplémentaires autres que celles décrites ci-dessus.

PowerShell

Utilisez la commande Get-AzADServicePrincipal pour obtenir l’ID principal du coffre Recovery Services, puis utilisez cet ID dans la commande Get-AzADServicePrincipal afin de définir une stratégie d’accès pour le coffre de clés.

Exemple :

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

INTERFACE DE LIGNE DE COMMANDE

Utilisez la commande az ad sp list pour obtenir l’ID principal du coffre Recovery Services, puis utilisez cet ID dans la commande az keyvault set-policy afin de définir une stratégie d’accès pour le coffre de clés.

Exemple :

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Activer la suppression réversible et la protection contre le vidage sur Azure Key Vault

Vous devez activer la suppression réversible et la protection contre le vidage sur votre coffre de clés Azure qui stocke votre clé de chiffrement.

Pour activer la suppression réversible et la protection contre le vidage, choisissez un client :

Azure portal

Cette opération s’effectue dans l’interface utilisateur d’Azure Key Vault comme indiqué ci-dessous. Vous pouvez aussi définir ces propriétés au moment de créer le coffre de clés. Découvrez-en plus sur ces propriétés du coffre de clés.

PowerShell

1. Connectez-vous à votre compte Azure.

   Login-AzAccount
   

2. Sélectionnez l’abonnement qui contient votre coffre.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Activer la suppression réversible.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Activez la protection contre la suppression définitive.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

INTERFACE DE LIGNE DE COMMANDE

1. Connectez-vous à votre compte Azure.

   az login
   

2. Sélectionnez l’abonnement qui contient votre coffre.

   az account set --subscription "Subscription1"
   

3. Activer la suppression réversible.

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Activez la protection contre la suppression définitive.

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   
   

Affecter une clé de chiffrement au coffre Recovery Services

Notes

Avant de continuer, vérifiez les points suivants :

• Toutes les étapes mentionnées ci-dessus ont été effectuées avec succès :
  • L’identité managée du coffre Recovery Services a été activée et a reçu les autorisations nécessaires.
  • La suppression réversible et la protection contre la suppression définitive ont été activées sur le coffre de clés Azure.
• Le coffre Recovery Services pour lequel vous voulez activer le chiffrement CMK n’a pas d’éléments protégés ou inscrits.

Une fois les éléments ci-dessus vérifiés, poursuivez en sélectionnant la clé de chiffrement de votre coffre.

Pour attribuer la clé et suivre les étapes, choisissez un client :

Azure portal

1. Accédez à votre coffre Recovery Services ->Propriétés.

   

2. Sélectionnez Mettre à jour en dessous de Paramètres de chiffrement.

3. Dans le volet Paramètres de chiffrement, sélectionnez Utiliser votre propre clé, puis continuez à spécifier la clé de l’une des façons suivantes.

   Veillez à utiliser une clé RSA, qui est à l’état activé.

   1. Entrez l’URI de clé avec lequel vous souhaitez chiffrer les données dans ce coffre Recovery Services. Vous devez aussi spécifier l’abonnement dans lequel le coffre de clés Azure (qui contient cette clé) est présent. Cet URI de clé peut être obtenu à partir de la clé correspondante dans votre coffre de clés Azure. Vérifiez que l’URI de la clé est correctement copié. Il est recommandé d’utiliser le bouton Copier dans le Presse-papiers fourni avec l’identificateur de clé.

      Notes

      Quand vous spécifiez la clé de chiffrement avec l’URI de clé complet, la clé n’est pas permutée automatiquement et vous devez effectuer manuellement des mises à jour de clé en spécifiant la nouvelle clé si nécessaire. Vous pouvez également supprimer le composant Version de l’URI de clé pour obtenir la rotation automatique.

      

   2. Recherchez la clé dans le coffre de clés et sélectionnez-la dans le volet de sélection de clé.

      Notes

      Quand vous spécifiez la clé de chiffrement dans le volet du sélecteur de clés, la clé est automatiquement permutée chaque fois qu’une nouvelle version est activée. En savoir plus sur l’activation de la permutation automatique des clés de chiffrement.

      

4. Sélectionnez Enregistrer.

5. Suivi de la progression et de l’état de la mise à jour de la clé de chiffrement : Vous pouvez suivre la progression et l’état de l’attribution de la clé de chiffrement à l’aide de l'affichage Travaux de sauvegarde dans la barre de navigation de gauche. L’état doit passer rapidement à Teminé. Votre coffre chiffre alors toutes les données avec la clé spécifiée en tant que KEK.

   

   Les mises à jour de la clé de chiffrement sont également consignées dans le journal d’activité du coffre.

   

PowerShell

Utilisez la commande Set-AzRecoveryServicesVaultProperty pour activer le chiffrement à l’aide de clés gérées par le client, et attribuer ou mettre à jour la clé de chiffrement à utiliser.

Exemple :

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

Sortie :

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

INTERFACE DE LIGNE DE COMMANDE

Utilisez la commande az backup vault encryption update pour activer le chiffrement avec des clés gérées par le client, et attribuer ou mettre à jour la clé de chiffrement à utiliser.

Exemple :

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

Sortie :

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Notes

Ce processus est le même quand vous souhaitez mettre à jour ou modifier la clé de chiffrement. Si vous voulez mettre à jour et utiliser une clé d’un autre coffre de clés (différent de celui actuellement utilisé), vérifiez que :

• Le coffre de clés se trouve dans la même région que le coffre Recovery Services.

• La suppression réversible et la protection contre la suppression définitive sont activées sur le coffre de clés.

• Le coffre Recovery Services dispose des autorisations nécessaires pour accéder au coffre de clés.

Effectuer une sauvegarde dans un coffre chiffré avec des clés gérées par le client

Avant de continuer la configuration de la protection, nous vous recommandons vivement de suivre la check-list suivante. Ceci est important, car une fois qu’un élément a été configuré pour être sauvegardé (ou tenté de l’être) dans un coffre qui n’a pas été chiffré avec des clés gérées par le client, le chiffrement à base de clés de ce type peut pas être activé pour le coffre et des clés gérées par la plateforme continuent d’être utilisées.

Important

Avant de poursuivre la configuration de la protection, vous devez avoir correctement effectué les étapes suivantes :

1. Création de votre coffre Recovery Services.
2. Activation de l’identité managée affectée par le système du coffre Recovery Services ou attribution d’une identité managée affectée par l’utilisateur au coffre.
3. Attribution d’autorisations à votre coffre Recovery Services (ou l’identité managée affectée par l’utilisateur) pour lui permettre d’accéder aux clés de chiffrement à partir de votre coffre de clés.
4. Activation de la suppression définitive et de la protection contre le vidage pour votre coffre de clés.
5. Affectation d’une clé de chiffrement valide à votre coffre Recovery Services.

Si toutes les étapes ci-dessus ont été confirmées, poursuivez alors la configuration de la sauvegarde.

Le processus de configuration et l’exécution de sauvegardes dans un coffre Recovery Services chiffré avec des clés gérées par le client sont les mêmes que pour un coffre qui utilise des clés gérées par la plateforme, sans aucun changement au niveau de l’expérience. Cela est vrai pour la sauvegarde de machines virtuelles Azure, mais aussi pour la sauvegarde des charges de travail s’exécutant dans une machine virtuelle (par exemple, les bases de données SAP HANA, SQL Server).

Restauration des données à partir d’une sauvegarde

Sauvegarde de machines virtuelles

Les données stockées dans le coffre Recovery Services peuvent être restaurées selon les étapes décrites ici. Si vous restaurez à partir d’un coffre Recovery Services chiffré à l’aide de clés gérées par le client, vous pouvez choisir de chiffrer les données restaurées avec un jeu de chiffrement de disque (DES).

Notes

L’expérience décrite dans cette section s’applique uniquement à la restauration de données à partir de coffres chiffrés par CMK. Lorsque vous restaurez des données à partir d’un coffre qui n’utilise pas le chiffrement CMK, les données restaurées sont chiffrées à l’aide de clés gérées par la plateforme. Si vous effectuez une restauration à partir d’une instantané de récupération instantanée, elle est chiffrée à l’aide du mécanisme utilisé pour chiffrer le disque source.

Restaurer une machine virtuelle/un disque

1. Quand vous récupérez un disque ou une machine virtuelle à partir d’un point de récupération d’instantané, les données restaurées sont chiffrées avec le DES utilisé pour le chiffrement des disques de la machine virtuelle source.

2. Si vous restaurez un disque ou une machine virtuelle à partir d’un point de récupération avec le type de récupération Coffre, vous pouvez choisir de chiffrer les données restaurées en utilisant un DES spécifié au moment de la restauration. Vous pouvez aussi choisir de continuer la restauration des données sans spécifier de DES. Auquel cas, le paramètre de chiffrement de la machine virtuelle est appliqué.

3. Pendant une restauration inter-régions, les machines virtuelles Azure compatibles CMK (clés gérées par le client) qui ne sont pas sauvegardées dans un coffre Recovery Services compatible CMK sont restaurées comme des machines virtuelles non compatibles CMK dans la région secondaire.

Vous pouvez chiffrer la machine virtuelle ou le disque restaurés une fois la restauration terminée, quelle que soit la sélection effectuée au lancement de la restauration.

Sélectionner un jeu de chiffrement de disque pendant la restauration à partir du point de récupération du coffre

Choisissez un client :

Azure portal

Pour spécifier le jeu de chiffrement de disque sous Paramètres de chiffrement dans le volet de restauration, suivez ces étapes :

1. Dans Chiffrer le(s) disque(s) à l’aide de votre clé, sélectionnez Oui.

2. Dans la liste déroulante, sélectionnez le jeu de chiffrement que vous voulez utiliser pour le ou les disques restaurés. Vérifiez que vous avez accès au jeu de chiffrement de disque.

Notes

La possibilité de choisir un DES pendant la restauration est désormais prise en charge pour les restaurations inter-régions. Toutefois, ce n’est pas le cas si vous restaurez une machine virtuelle qui utilise Azure Disk Encryption.

PowerShell

Utilisez la commande obtenir-AzRecoveryServicesBackupItem avec le paramètre [-DiskEncryptionSetId <string>] pour spécifier le DES à utiliser pour chiffrer le disque restauré. Pour plus d’informations sur la restauration de disques à partir d’une sauvegarde de machine virtuelle, consultez cet article.

Exemple :

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

INTERFACE DE LIGNE DE COMMANDE

Utilisez la commande az backup restore restore-disks avec le paramètre [-DiskEncryptionSetId <string>] pour spécifier le DES à utiliser pour chiffrer le disque restauré.

Exemple :

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

Restaurer des fichiers

Quand vous effectuez une restauration de fichiers, les données restaurées sont chiffrées à l’aide de la clé utilisée pour chiffrer l’emplacement cible.

Effectuer une restauration de bases de données SAP HANA/SQL dans des machines virtuelles Azure

Quand vous restaurez à partir d’une base de données SAP HANA/SQL sauvegardée qui s’exécute dans une machine virtuelle Azure, les données restaurées sont chiffrées à l’aide de la clé de chiffrement utilisée à l’emplacement de stockage cible. Il peut s’agir d’une clé gérée par le client ou d’une clé gérée par la plateforme utilisée pour chiffrer les disques de la machine virtuelle.

Rubriques supplémentaires

Activer le chiffrement à l’aide de clés gérées par le client lors de la création du coffre (en préversion)

Notes

L’activation du chiffrement lors de la création du coffre à l’aide de clés gérées par le client est en préversion publique limitée et nécessite d’ajouter les abonnements à une liste d’autorisation. Pour vous inscrire à la préversion, remplissez le formulaire et écrivez-nous à l’adresse AskAzureBackupTeam@microsoft.com.

Lorsque votre abonnement a été ajouté à la liste d’autorisation, l’onglet Chiffrement de sauvegarde s’affiche. Cela vous permet d’activer le chiffrement sur la sauvegarde à l’aide de clés gérées par le client lors de la création d’un coffre Recovery Services. Pour activer le chiffrement, procédez comme suit :

1. A côté de l’onglet Informations de base, sur l’onglet Chiffrement de sauvegarde, spécifiez la clé de chiffrement et l’identité à utiliser pour le chiffrement.

   

   Notes

   Les paramètres s’appliquent uniquement à Sauvegarde et sont facultatifs.

2. Sélectionnez Utiliser une clé gérée par le client comme type de chiffrement.

3. Pour spécifier la clé à utiliser pour le chiffrement, sélectionnez l’option appropriée.

   Vous pouvez fournir l’URI de la clé de chiffrement ou parcourir et sélectionner la clé. Quand vous spécifiez la clé avec l’option Sélectionner le coffre de clés, la permutation automatique de la clé de chiffrement est activée automatiquement. En savoir plus sur la permutation automatique.

4. Spécifiez l’identité managée affectée par l’utilisateur pour gérer le chiffrement avec des clés gérées par le client. Cliquez sur Sélectionner pour parcourir et sélectionner l’identité requise.

5. Passez à l’ajout d’étiquettes (facultatif) et poursuivez la création du coffre.

Activer la permutation automatique des clés de chiffrement

Lorsque vous spécifiez la clé gérée par le client qui doit être utilisée pour chiffrer les sauvegardes, utilisez les méthodes suivantes :

• Entrer l’URI de la clé
• Sélectionner dans le coffre de clés

L’utilisation de l’option Sélectionner dans le coffre de clés permet d’activer la permutation automatique de la clé sélectionnée. Cela élimine l’effort manuel de mise à jour vers la version suivante. Toutefois, en utilisant cette option :

• La mise à jour de la version de la clé peut nécessiter jusqu’à une heure pour prendre effet.
• Lorsqu’une nouvelle version de la clé prend effet, l’ancienne version doit également être disponible (à l’état activé) pour au moins une tâche de sauvegarde ultérieure après que la mise à jour de la clé a pris effet.

Notes

Quand vous spécifiez la clé de chiffrement avec l’URI de clé complet, la clé n’est pas permutée automatiquement et vous devez effectuer manuellement des mises à jour de clé en spécifiant la nouvelle clé si nécessaire. Pour activer la permutation automatique, supprimez le composant Version de l’URI de clé.

Utiliser des stratégies Azure pour auditer et appliquer le chiffrement avec des clés gérées par le client (en préversion)

Sauvegarde Azure vous permet d’utiliser les stratégies Azure pour auditer et appliquer le chiffrement, à l’aide de clés gérées par le client, de données dans le coffre Recovery Services. Utilisation des stratégies Azure :

• La stratégie d’audit peut être utilisée pour auditer des coffres avec chiffrement à l’aide de clés gérées par le client qui sont activées après le 04/01/2021. Pour les coffres avec le chiffrement CMK activé avant cette date, la stratégie peut ne pas s’appliquer ou montrer des résultats faux négatifs (autrement dit, ces coffres peuvent être signalés comme non conformes, même s’ils ont le chiffrement CMK activé).

• Pour utiliser la stratégie d’audit pour l’audit des coffres avec chiffrement CMK activé avant 04/01/2021, utilisez le Portail Azure pour mettre à jour une clé de chiffrement. Cela permet d’effectuer une mise à niveau vers le nouveau modèle. Si vous ne souhaitez pas modifier la clé de chiffrement, fournissez à nouveau la même clé par le biais de l’URI de clé ou de l’option de sélection de clé.

  Avertissement

  Si vous utilisez PowerShell pour gérer les clés de chiffrement pour la Sauvegarde, nous vous déconseillons de mettre à jour les clés à partir du portail.
  Si vous mettez à jour la clé à partir du portail, vous ne pourrez plus utiliser PowerShell pour mettre à jour la clé de chiffrement, jusqu’à ce qu’une mise à jour de PowerShell prenant en charge le nouveau modèle soit disponible. Toutefois, vous pouvez continuer à mettre à jour la clé depuis le portail Azure.

Questions fréquentes (FAQ)

Puis-je chiffrer un coffre de sauvegarde existant avec des clés gérées par le client ?

Non, le chiffrement CMK ne peut être activé que pour les nouveaux coffres. Le coffre ne doit donc jamais contenir d’éléments protégés. En fait, vous ne devez en aucun cas tenter de protéger des éléments dans le coffre avant d’avoir activé le chiffrement à l’aide de clés gérées par le client.

J’ai essayé en vain de protéger un élément dans mon coffre, et le coffre ne contient toujours aucun élément protégé. Puis-je activer le chiffrement CMK pour ce coffre ?

Non, le coffre ne doit pas avoir subi de tentatives de protection.

J’ai un coffre qui utilise le chiffrement CMK. Puis-je revenir par la suite à un chiffrement à l’aide de clés gérées par la plateforme, même si le coffre contient des éléments de sauvegarde protégés ?

Non, une fois que vous avez activé le chiffrement CMK, vous ne pouvez pas revenir à une utilisation de clés gérées par la plateforme. Vous pouvez modifier les clés en fonction de vos besoins.

Le chiffrement CMK pour Sauvegarde Azure s’applique-t-il aussi à Azure Site Recovery ?

Non, cet article traite du chiffrement de données de sauvegarde uniquement. Pour Azure Site Recovery, vous devez définir la propriété séparément comme étant disponible à partir du service.

Je n’ai pas suivi l’une des étapes de cet article, mais j’ai pu protéger ma source de données. Puis-je continuer d’utiliser le chiffrement CMK ?

Si vous ne suivez pas les étapes de cet article et que vous continuez à protéger des éléments, le coffre risque de ne pas pouvoir utiliser le chiffrement à l'aide de clés gérées par le client. C’est pourquoi nous vous recommandons de vous référer à cette liste de vérification avant de procéder à la protection d’éléments.

L’utilisation du chiffrement CMK augmente-elle le coût de mes sauvegardes ?

L’utilisation du chiffrement CMK pour la sauvegarde n’entraîne pas de frais supplémentaires. En revanche, l’utilisation de votre coffre de clés Azure Key où est stockée votre clé peut continuer d’occasionner des frais.

Étapes suivantes

Vue d’ensemble des fonctionnalités de sécurité de la Sauvegarde Azure.