Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?
Dans Azure, les clés de chiffrement peuvent être gérées par la plateforme ou gérées par le client.
Les clés gérées par la plateforme (PMK) sont des clés de chiffrement qui sont entièrement générées, stockées et gérées par Azure. Les clients n’interagissent pas avec les PMK. Les clés utilisées pour Chiffrement des données au repos Azure, par exemple, sont des PMK par défaut.
Les clés gérées par le client (CMK), en revanche, sont des clés qui sont lues, créées, supprimées, mises à jour ou gérées par un ou plusieurs clients. Les clés stockées dans un coffre de clés ou un module de sécurité matériel (HSM) appartenant au client sont des CMK. Bring Your Own Key (BYOK) est un scénario CMK dans lequel un client importe (apporte) des clés d’un emplacement de stockage extérieur dans un service de gestion de clés Azure (voir Azure Key Vault : Spécification Bring Your Own Key).
La « clé de chiffrement de clé » (KEK) est un type spécifique de clé gérée par le client. Une KEK est une clé primaire, qui contrôle l’accès à une ou plusieurs clés de chiffrement qui sont elles-mêmes chiffrées.
Les clés gérées par le client peuvent être stockées localement ou, plus communément, dans un service de gestion des clés dans le cloud.
Services de gestion des clés Azure
Azure offre plusieurs options pour stocker et gérer vos clés dans le cloud, notamment Azure Key Vault, Azure Managed HSM, Azure Cloud HSM Preview, Azure Dedicated HSM et Azure Payment HSM. Ces options diffèrent en termes de niveau de conformité aux normes FIPS (Federal Information Processing Standard), de frais de gestion et d’applications prévues.
Pour obtenir une vue d’ensemble de chaque service de gestion des clés et un guide complet pour choisir la solution de gestion des clés qui vous convient, consultez Comment choisir la solution de gestion des clés appropriée.
Tarifs
Les niveaux Azure Key Vault Standard et Premium sont facturés sur une base transactionnelle, avec des frais mensuels supplémentaires par clé pour les clés sauvegardées par matériel Premium. HSM managé, version préliminaire HSM cloud, HSM dédié et HSM de paiement ne sont pas facturés sur une base transactionnelle, au lieu de cela, ils sont des appareils toujours en fonctionnement facturés à un tarif horaire fixe. Pour obtenir des informations détaillées concernant les tarifs, consultez la tarification de Key Vault, la tarification de Dedicated HSM et la tarification de Payment HSM.
Limites du service
Le HSM managé, la préversion HSM cloud, le HSM dédié et le HSM de paiement offrent une capacité dédiée. Key Vault Standard et Premium sont des offres multilocataires qui ont des limitations. Pour connaître les limites de service, consultez Limites du service Key Vault.
Chiffrement au repos
Azure Key Vault et Azure Key Vault Managed HSM ont des intégrations avec les services Azure et Microsoft 365 pour les clés gérées par le client, ce qui signifie que les clients peuvent utiliser leurs propres clés dans Azure Key Vault et Azure Managed HSM pour le chiffrement au repos des données stockées dans ces services. La préversion du HSM cloud, le HSM dédié et le HSM de paiement sont des offres d’infrastructure en tant que service et n’offrent pas d’intégrations avec les services Azure. Pour une vue d’ensemble du chiffrement au repos avec Azure Key Vault et Managed HSM, consultez Chiffrement au repos des données Azure.
Apis
La préversion du HSM cloud, le HSM dédié et les paiements HSM prennent en charge les API PKCS#11, JCE/JCA et KSP/CNG, mais Azure Key Vault et Managed HSM ne le font pas. Azure Key Vault et Managed HSM utilisent l’API REST d’Azure Key Vault et offrent une prise en charge du Kit de développement logiciel (SDK). Pour plus d’informations sur l’API d’Azure Key Vault, consultez Informations de référence sur l’API REST Azure Key Vault.