Partager via


Chiffrer Azure Data Factory avec des clés gérées par le client

S’APPLIQUE À : Azure Data Factory Azure Synapse Analytics

Conseil

Essayez Data Factory dans Microsoft Fabric, une solution d’analyse tout-en-un pour les entreprises. Microsoft Fabric couvre tous les aspects, du déplacement des données à la science des données, en passant par l’analyse en temps réel, l’aide à la décision et la création de rapports. Découvrez comment démarrer un nouvel essai gratuitement !

Azure Data Factory chiffre les données au repos, y compris les définitions d’entités et les données mises en cache pendant les exécutions. Par défaut, les données sont chiffrées à l’aide d’une clé générée de manière aléatoire et gérée par Microsoft, qui est affectée de manière unique à votre fabrique de données. Pour plus de sécurité, vous pouvez maintenant activer la fonctionnalité Bring Your Own Key (BYOK) avec des clés gérées par le client dans Azure Data Factory. Lorsque vous spécifiez une clé gérée par le client (CMK), Data Factory utilise à la fois la clé système d’usine et la clé CMK pour chiffrer les données client. L’absence d’une de ces clés entraîne le refus d’accès aux données et à la fabrique.

Azure Key Vault est nécessaire pour stocker les clés gérées par le client. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser les API d’Azure Key Vault pour générer des clés. Key Vault et Data Factory doivent se trouver dans le même locataire Microsoft Entra et dans la même région, mais ils peuvent se trouver dans des abonnements différents. Pour plus d’informations sur le coffre de clés Azure, consultez la page Présentation du coffre de clés Azure

À propos des clés gérées par le client

Le diagramme suivant montre comment Data Factory utilise l’ID Microsoft Entra et Azure Key Vault pour effectuer des requêtes à l’aide de la clé gérée par le client :

Diagramme montrant le fonctionnement des clés gérées par le client dans Azure Data Factory

La liste suivante décrit les étapes numérotées dans le diagramme :

  1. Un administrateur Azure Key Vault accorde des autorisations d’accès à des clés de chiffrement à l’identité managée associée à l'Azure Data Factory.
  2. Un administrateur Data Factory active la fonctionnalité de clé gérée par le client dans la fabrique
  3. Data Factory utilise l’identité managée associée à la fabrique pour authentifier l’accès à Azure Key Vault via Microsoft Entra ID
  4. Data Factory encapsule la clé de chiffrement de la fabrique avec la clé du client dans Azure Key Vault
  5. Pour les opérations de lecture/écriture, Data Factory envoie des requêtes à Azure Key Vault pour désencapsuler la clé de chiffrement du compte afin d’effectuer des opérations de chiffrement et de déchiffrement

Il existe deux façons d’ajouter un chiffrement avec une clé gérée par le client pour les fabriques de données. L’une intervient pendant la création d'une fabrique dans le portail Azure, l’autre après cette création, dans l’interface utilisateur de Data Factory.

Conditions préalables : configurer Azure Key Vault et générer des clés

Activer la Suppression douce et Ne pas purger dans Azure Key Vault

Pour utiliser des clés gérées par le client avec Data Factory, deux propriétés doivent être configurées sur le coffre de clés, Suppression réversible et Ne pas vider. Ces propriétés peuvent être activées à l’aide de PowerShell ou d’Azure CLI sur un coffre de clés nouveau ou existant. Pour savoir comment activer ces propriétés sur un coffre de clés existant, consultez Gestion de la récupération d’Azure Key Vault avec suppression réversible et protection contre la suppression définitive.

Si vous créez un coffre de clés Azure par le biais du portail Azure, les options Suppression réversible et Ne pas vider peuvent être activées comme suit :

Capture d’écran montrant comment activer les options Suppression réversible et Protection contre la suppression définitive lors de la création de Key Vault.

Accorder à Data Factory l’accès à Azure Key Vault

Vérifiez qu’Azure Key Vault et Azure Data Factory se trouvent dans le même locataire Microsoft Entra et dans la même région. Vous pouvez utiliser des stratégies d’accès ou des autorisations de contrôle d’accès :

  1. Stratégie d’accès : dans votre coffre de clés, sélectionnez Stratégies d’accès -> Ajouter une stratégie d’accès -> recherchez votre identité managée Azure Data Factory et accordez des autorisations Get, Unwrap Key et Wrap Key dans la liste déroulante Des autorisations secrètes.

  2. Contrôle d’accès : votre identité managée aura besoin de deux rôles dans le contrôle d’accès : Utilisateur du service de chiffrement Key Vault Crypto et Utilisateur de secrets Key Vault. Dans votre coffre de clés, sélectionnez Contrôle d’accès (IAM) ->+ Ajouter ->Ajouter une attribution de rôle. Sélectionnez l’un des rôles, puis sélectionnez Suivant. Sous Membres , sélectionnez Identité managée , puis sélectionnez membres et recherchez votre identité managée Azure Data Factory. Ensuite, sélectionnez vérifier + affecter. Répétez le deuxième rôle.

Générer ou charger une clé gérée par le client sur Azure Key Vault

Vous pouvez créer vos propres clés et les stocker dans un coffre de clés. Si vous préférez, vous pouvez utiliser les API Azure Key Vault pour générer des clés. Seules les clés RSA sont prises en charge avec le chiffrement Data Factory. RSA-HSM est également pris en charge. Pour plus d’informations, consultez À propos des clés, des secrets et des certificats.

Capture d’écran montrant comment générer une clé gérée par le client

Activer des clés gérées par le client

Après la création de la fabrique dans l’interface utilisateur de Data Factory

Cette section explique comment ajouter le chiffrement à clé gérée par le client dans l'interface utilisateur de l'usine de données, après la création de l'usine.

Remarque

Une clé gérée par le client ne peut être configurée que sur un Data Factory vide. La fabrique de données ne peut pas contenir de ressources telles que des services liés, des pipelines et des flux de données. Il est recommandé d’activer la clé gérée par le client juste après la création de la fabrique.

Important

Cette approche ne fonctionne pas avec les fabriques managées compatibles avec les réseaux virtuels. Considérez l’autre itinéraire, si vous souhaitez chiffrer ces usines.

  1. Assurez-vous que l’identité MSI de la fabrique de données dispose des autorisations Obtenir, Ne pas inclure la clé et Inclure la clé pour Key Vault.

  2. Vérifiez que le Data Factory est vide. La fabrique de données ne peut pas contenir de ressources telles que des services liés, des pipelines et des flux de données. Pour le moment, le déploiement d’une clé gérée par le client vers une usine non vide entraîne une erreur.

  3. Pour localiser l’URI de la clé dans le portail Azure, naviguez jusqu'à Azure Key Vault, puis sélectionnez le paramètre Clés. Sélectionnez la clé souhaitée, puis resélectionnez-la pour afficher ses versions. Sélectionner une version principale pour afficher les paramètres

  4. Copiez la valeur du champ Identificateur de clé, qui fournit l’URI. Capture d’écran montrant comment obtenir l’URI de la clé à partir de Key Vault.

  5. Lancez le portail Azure Data Factory, puis, à l’aide de la barre de navigation sur la gauche, accédez au portail de gestion Data Factory.

  6. Sélectionnez l'icône Clé gérée par le clientCapture d’écran montrant comment activer la clé gérée par le client dans l’interface utilisateur de Data Factory.

  7. Entrer l’URI de la clé gérée par le client que vous avez copiée précédemment

  8. Sélectionnez Enregistrer et le chiffrement de clé gérée par le client est activé pour Data Factory

Lors de la création de l'usine dans le portail Azure

Cette section explique comment ajouter le chiffrement à clé gérée par le client dans le portail Azure, pendant le déploiement de l'usine.

Pour chiffrer Data Factory, celle-ci doit d'abord récupérer la clé gérée par le client depuis Key Vault. Étant donné que le déploiement de l'usine est toujours en cours, l’identité de service géré (Managed Service Identity, MSI) n’est pas encore disponible pour s’authentifier auprès de Key Vault. Ainsi, pour utiliser cette approche, le client doit attribuer une identité gérée assignée par l'utilisateur (UA-MI) à l'usine de données. Nous assumerons les rôles définis dans l'UA-MI et nous authentifierons auprès de Key Vault.

Pour en savoir plus sur les identités managées affectées par l’utilisateur, consultez Types d’identités managées et Attribution de rôle pour une identité managée affectée par l’utilisateur.

  1. Assurez-vous que l’identité managée affectée par l’utilisateur (UA-MI) dispose des autorisations Obtenir, Ne pas inclure la clé et Inclure la clé pour Key Vault

  2. Sous l’onglet Avancé, cochez la case Activer le chiffrement avec une clé gérée par le client.Capture d’écran de l’onglet Avancé illustrant la création d’une fabrique de données dans le portail Azure.

  3. Fournissez l’URL de la clé gérée par le client stockée dans Key Vault.

    Conseil

    Si vous ne passez pas la version de clé dans l’URL après la dernière « / » (par exemple : https://mykeyvault.vault.azure.net/keys/cmk/), la version est toujours la plus récente si la clé est mise à jour ultérieurement.

    Actuellement, cela est uniquement pris en charge à l’aide du portail Azure.

  4. Sélectionnez une identité managée affectée par l’utilisateur appropriée pour effectuer l’authentification auprès d’Azure Key Vault.

  5. Poursuivez avec votre déploiement d’usine.

Mettre à jour la version de la clé

Lors de la création d’une nouvelle version d’une clé, mettez à jour la fabrique de données afin qu’elle utilise cette nouvelle version :

  1. Recherchez l’URI de la nouvelle version de clé via le portail Azure Key Vault :

    1. Accédez à Azure Key Vault, puis sélectionnez le paramètre Clés.
    2. Sélectionnez la clé souhaitée, puis resélectionnez-la pour afficher ses versions.
    3. Sélectionnez une version clé pour afficher les paramètres.
  2. Copiez la valeur du champ Identificateur de clé, qui fournit l’URI.

  3. Lancez le portail Azure Data Factory et, à l’aide de la barre de navigation à gauche, sélectionnez le portail de gestion Data Factory.

  4. Sélectionnez le paramètre de clé gérée par le client .

  5. Entrez l’URI de la clé gérée par le client que vous avez copiée précédemment.

  6. Sélectionnez Enregistrer et Data Factory chiffrera maintenant avec la nouvelle version de la clé.

Utiliser une autre clé

Pour modifier la clé utilisée pour le chiffrement Data Factory, vous devez mettre à jour manuellement les paramètres dans Azure Data Factory :

  1. Recherchez l’URI de la nouvelle version de clé via le portail Azure Key Vault :

    1. Accédez à Azure Key Vault, puis sélectionnez le paramètre Clés.
    2. Sélectionnez la clé souhaitée, puis resélectionnez-la pour afficher ses versions.
    3. Sélectionnez une version clé pour afficher les paramètres.
  2. Copiez la valeur du champ Identificateur de clé, qui fournit l’URI.

  3. Lancez le portail Azure Data Factory et, à l’aide de la barre de navigation à gauche, sélectionnez le portail de gestion Data Factory.

  4. Sélectionnez le paramètre de clé gérée par le client .

  5. Entrez l’URI pour sélectionner celui que vous avez copié précédemment.

  6. Sélectionnez Enregistrer et Data Factory chiffrera maintenant avec la nouvelle version de la clé.

Désactiver les clés gérées par le client

Par conception, une fois la fonctionnalité sélectionnée activée, vous ne pouvez pas supprimer l’étape de sécurité supplémentaire. Nous attendrons toujours une clé client pour chiffrer l'usine et les données.

Clé gérée par le client et intégration et déploiement continus

Par défaut, la configuration de CMK n’est pas incluse dans le modèle ARM (Azure Resource Manager). Pour inclure les paramètres de chiffrement à clé gérée par le client dans le modèle ARM pour l’intégration continue (CI/CD) :

  1. S’assurer que la fabrique est en mode Git
  2. Accéder au portail de gestion - section clé gérée par le client
  3. Sélectionner l’option Inclure dans le modèle ARM

Capture d’écran montrant l’inclusion du paramètre de clé gérée par le client dans le modèle ARM.

Les paramètres suivants seront ajoutés dans le modèle ARM. Ces propriétés peuvent être paramétrées dans des pipelines d’intégration et de livraison continues en modifiant la configuration des paramètres Azure Resource Manager.

Capture d’écran montrant l’inclusion du paramètre de clé gérée par le client dans le modèle Azure Resource Manager.

Remarque

L’ajout du paramètre de chiffrement aux modèles ARM ajoute un paramètre de niveau fabrique qui remplace les autres paramètres de niveau fabrique, tels que les configurations git, dans d’autres environnements. Si ces paramètres sont activés dans un environnement avec élévation de privilèges tels que UAT ou PROD, reportez-vous aux paramètres globaux dans CI/CD.

Consultez les didacticiels pour en savoir plus sur l’utilisation de Data Factory dans d’autres scénarios.