Faire pivoter les clés gérées par le client sur les machines virtuelles confidentielles

Les machines virtuelles confidentielles Azure prennent en charge les clés gérées par le client. Les clés gérées par le client aident les machines virtuelles confidentielles et les artefacts associés à fonctionner correctement. Vous pouvez gérer ces clés dans Azure Key Vault ou via un module de sécurité matériel managé (HSM managé). Cet article se concentre sur la gestion des clés par le biais d’un HSM managé, sauf indication contraire.

Si vous souhaitez utiliser une clé gérée par le client, vous devez fournir une ressource de jeu de chiffrement de disque lorsque vous créez votre machine virtuelle confidentielle. Le jeu de chiffrement de disque doit référencer la clé gérée par le client. En règle générale, vous pouvez associer un jeu de chiffrement de disque à plusieurs machines virtuelles confidentielles. Faire pivoter régulièrement une clé gérée par le client est recommandé en tant que meilleure pratique de sécurité. La fréquence de rotation est une décision relative au principe de directive organisationnelle. La rotation est également nécessaire si une clé gérée par le client est compromise.

Modifier une clé gérée par le client

Vous pouvez modifier la clé que vous utilisez pour les machines virtuelles confidentielles à tout moment. Pour faire pivoter une clé gérée par le client :

1. Connectez-vous au portail Azure.
2. Accédez au service Machines virtuelles.
3. Arrêtez toutes les machines virtuelles confidentielles avec le même jeu de chiffrement de disque. Si une ou plusieurs machines virtuelles ne sont pas dans l’état arrêté, aucune des machines virtuelles ne peut recevoir la nouvelle clé.
4. Accédez au service Jeux de chiffrement de disque .
5. Sélectionnez la ressource de jeu de chiffrement de disque associée à votre machine virtuelle confidentielle.
6. Dans le menu de la ressource, sous Paramètres, sélectionnez Clé.
7. Sélectionnez Changer la clé.
8. Sélectionnez le coffre de clés, la clé et la version appropriés.
9. Enregistrez vos modifications. L’opération d’enregistrement met à jour la clé pour tous les artefacts de machine virtuelle confidentielle.

Réessayer la rotation de la clé

Dans de rares cas, la clé gérée par le client peut ne pas être pivotée pour toutes les machines virtuelles confidentielles, même lorsque toutes les machines virtuelles ont été arrêtées. Si la clé gérée par le client n’est pas pivotée, la ressource jeu de chiffrement de disque contient toujours une référence à l’ancienne clé. Ainsi, certaines machines virtuelles confidentielles peuvent avoir la nouvelle clé et d’autres l’ancienne clé.

Pour résoudre ce problème, répétez les étapes de la section Mettre à jour le jeu de chiffrement de disque.

Limites

• La rotation automatique des clés n’est actuellement pas prise en charge pour les machines virtuelles confidentielles.
• La rotation des clés n’est pas prise en charge pour les disques éphémères. Il est recommandé d’avoir un jeu de chiffrement de disque distinct pour les machines virtuelles confidentielles avec un disque éphémère. Si des machines virtuelles confidentielles avec des disques éphémères et non éphémères partagent le même jeu de chiffrement de disque, vous devez supprimer les machines virtuelles confidentielles avec des disques éphémères avant de faire pivoter les clés des machines virtuelles confidentielles avec des disques non éphémères.