Partager via


Créer et gérer des étendues de chiffrement

Les étendues de chiffrement vous permettent de gérer le chiffrement au niveau d’un objet blob ou d’un conteneur individuel. Vous pouvez utiliser des étendues de chiffrement pour créer des limites sécurisées entre les données qui résident dans le même compte de stockage mais qui appartiennent à des clients différents. Pour plus d’informations sur les étendues de chiffrement, consultez Étendues de chiffrement pour le stockage d’objets blob.

Cet article montre comment créer une étendue de chiffrement. Il montre également comment spécifier une étendue de chiffrement lorsque vous créez un objet blob ou un conteneur.

Créer une étendue de chiffrement

Vous pouvez créer une étendue de chiffrement protégée par une clé gérée par Microsoft ou une clé gérée par le client qui est stockée dans un coffre de clés Azure Key Vault ou un module de sécurité matériel (HSM) Azure Key Vault Managed Hardware Security Model. Pour créer une étendue de chiffrement avec une clé gérée par le client, vous devez d’abord créer un coffre de clés ou un HSM managé et ajouter la clé que vous prévoyez d’utiliser pour l’étendue. La protection contre le vidage doit être activée pour le coffre de clés ou le HSM managé.

Le compte de stockage et le coffre de clés peuvent se trouver dans le même locataire ou dans différents locataires. Dans les deux cas, le compte de stockage et le coffre de clés peuvent se trouver dans des régions différentes.

Une étendue de chiffrement est automatiquement activée lorsque vous la créez. Après avoir créé l’étendue de chiffrement, vous pouvez la spécifier lorsque vous créez un objet blob. Vous pouvez également spécifier une étendue de chiffrement par défaut lorsque vous créez un conteneur, qui s’applique automatiquement à tous les objets blob du conteneur.

Lorsque vous configurez une étendue de chiffrement, vous êtes facturé pour un minimum d’un mois (30 jours). Après le premier mois, les frais d’une étendue de chiffrement sont calculés au prorata horaire. Pour plus d’informations, consultez Facturation pour les étendues de chiffrement.

Pour créer une étendue de chiffrement dans le Portail Azure, effectuez les étapes suivantes :

  1. Accédez à votre compte de stockage dans le portail Azure.

  2. Sous Sécurité + mise en réseau, sélectionnez Chiffrement.

  3. Sélectionnez l'onglet Étendues de chiffrement.

  4. Cliquez sur le bouton Ajouter pour ajouter une nouvelle étendue de chiffrement.

  5. Dans le volet Créer une étendue de chiffrement, entrez un nom pour la nouvelle étendue.

  6. Sélectionnez le type souhaité de support de clé chiffrement, soit des clés gérées par Microsoft, soit des clés gérées par le client.

    • Si vous avez sélectionné Clés gérées par Microsoft, cliquez sur Créer pour créer l’étendue de chiffrement.
    • Si vous avez sélectionné Clés gérées par le client, choisissez un abonnement et spécifiez un coffre de clés et une clé à utiliser pour cette étendue de chiffrement. Si le coffre de clés souhaité se trouve dans une autre région, sélectionnez Entrer l’URI de clé et spécifiez l’URI de clé.
  7. Si le chiffrement d'infrastructure est activé pour le compte de stockage, il est automatiquement activé pour la nouvelle étendue de chiffrement. Sinon, vous pouvez choisir d'activer ou non le chiffrement d'infrastructure pour l'étendue de chiffrement.

    Screenshot showing how to create encryption scope in Azure portal

Répertorier les étendues de chiffrement pour un compte de stockage

Pour afficher les étendues de chiffrement pour un compte de stockage dans le Portail Azure, accédez au paramètre Étendues de chiffrement pour le compte de stockage. Dans ce volet, vous pouvez activer ou désactiver une étendue de chiffrement ou modifier la clé d’une étendue de chiffrement.

Screenshot showing list of encryption scopes in Azure portal

Pour afficher les détails d’une clé gérée par le client, y compris l’URI et la version de la clé, et si la version de la clé est mise à jour automatiquement, suivez le lien dans la colonne Clé.

Screenshot showing details for a key used with an encryption scope

Créer un conteneur avec une étendue de chiffrement par défaut

Lorsque vous créez un conteneur, vous pouvez spécifier une étendue de chiffrement par défaut. Les objets blob de ce conteneur utiliseront cette étendue par défaut.

Un objet blob individuel peut être créé avec sa propre étendue de chiffrement, sauf si le conteneur est configuré pour exiger que tous les objets blob utilisent la portée par défaut. Pour plus d’informations, consultez Étendues de chiffrement pour les conteneurs et les objets blob.

Pour créer un conteneur avec une étendue de chiffrement par défaut dans le Portail Azure, commencez par créer l’étendue de chiffrement comme décrit dans Créer une étendue de chiffrement. Ensuite, effectuez les étapes suivantes pour créer le conteneur :

  1. Accédez à la liste des conteneurs dans votre compte de stockage, puis sélectionnez le bouton Ajouter pour créer un conteneur.

  2. Développez les paramètres Avancés dans le volet Nouveau conteneur.

  3. Dans la liste déroulante Étendue de chiffrement, sélectionnez l’étendue de chiffrement par défaut pour le conteneur.

  4. Pour exiger que tous les objets blob du conteneur utilisent l’étendue de chiffrement par défaut, activez la case à cocher pour Utiliser cette étendue de chiffrement pour tous les objets blob dans le conteneur. Si cette case à cocher est activée, un objet blob individuel dans le conteneur ne peut pas remplacer l’étendue de chiffrement par défaut.

    Screenshot showing container with default encryption scope

Si un client tente de spécifier une étendue lors du téléchargement d’un objet blob vers un conteneur qui a une étendue de chiffrement par défaut et si le conteneur est configuré pour empêcher les objets blob de remplacer l’étendue par défaut, l’opération échoue avec un message indiquant que la requête est interdite par la stratégie de chiffrement de conteneur.

Charger un objet blob avec une étendue de chiffrement

Lorsque vous téléchargez un objet blob, vous pouvez spécifier une étendue de chiffrement pour cet objet ou utiliser l’étendue de chiffrement par défaut pour le conteneur, le cas échéant.

Notes

Quand vous chargez un nouvel objet blob avec une étendue de chiffrement, vous ne pouvez pas changer son niveau d’accès par défaut. Vous ne pouvez pas non plus changer le niveau d’accès d’un objet blob existant qui utilise une étendue de chiffrement. Pour plus d’informations sur les niveaux d’accès, consultez Niveaux d’accès chaud, froid et archive pour les données blob.

Pour créer un objet blob avec une étendue de chiffrement dans le Portail Azure, commencez par créer l’étendue de chiffrement comme décrit dans Créer une étendue de chiffrement. Ensuite, effectuez les étapes suivantes pour créer l’objet blob :

  1. Accédez au conteneur dans lequel vous souhaitez télécharger l’objet blob.

  2. Sélectionnez le bouton Charger et localisez l’objet blob à charger.

  3. Développez les paramètres Avancés dans le volet Charger blob.

  4. Recherchez la section de liste déroulante Étendue de chiffrement. Par défaut, l’objet blob est créé avec l’étendue de chiffrement par défaut pour le conteneur, si elle a été spécifiée. Si le conteneur exige que les blobs utilisent le champ de chiffrement par défaut, cette section est désactivée.

  5. Pour spécifier une autre étendue pour l’objet blob que vous chargez, sélectionnez Choisir une étendue existante, puis sélectionnez l’étendue souhaitée dans la liste déroulante.

    Screenshot showing how to upload a blob with an encryption scope

Modifier la clé de chiffrement pour une étendue

Pour modifier la clé qui protège une étendue de chiffrement d’une clé gérée par Microsoft à une clé gérée par le client, commencez par vérifier que vous avez activé les clés gérées par le client avec Azure Key Vault ou un HSM Key Vault pour le compte de stockage. Pour plus d’informations, consultez Configurer le chiffrement avec des clés gérées par le client stockées dans Azure Key Vault ou Configurer le chiffrement avec des clés gérées par le client stockées dans Azure Key Vault.

Pour modifier la clé qui protège une étendue dans le Portail Azure, procédez comme suit :

  1. Accédez à l’onglet Étendues de chiffrement pour afficher la liste des étendues de chiffrement pour le compte de stockage.
  2. Sélectionnez le bouton Plus en regard de l’étendue que vous souhaitez modifier.
  3. Dans le volet Modifier l’étendue de chiffrement, vous pouvez modifier le type de chiffrement de clé gérée par Microsoft en clé gérée par le client, ou vice versa.
  4. Pour sélectionner une nouvelle clé gérée par le client, sélectionnez Utiliser une nouvelle clé et spécifiez le coffre de clés, la clé et la version de clé.

Désactiver une étendue de chiffrement

Désactivez les étendues de chiffrement qui ne sont pas nécessaires pour éviter les frais inutiles. Pour plus d’informations, consultez Facturation pour les étendues de chiffrement.

Pour désactiver une étendue de chiffrement dans le Portail Azure, accédez au paramètre Étendues de chiffrement pour le compte de stockage, sélectionnez l’étendue de chiffrement souhaitée, puis sélectionnez Désactiver.

Étapes suivantes