Créer un compte qui prend en charge les clés gérées par le client pour les tables et les files d’attente

Article
05/11/2023

Le stockage Azure chiffre toutes les données dans un compte de stockage au repos. Par défaut, Stockage File d’attente et Stockage Table utilisent une clé qui est limitée au service et gérée par Microsoft. Vous pouvez également choisir d’utiliser des clés gérées par le client pour chiffrer les données des files d’attente ou des tables. Pour utiliser des clés gérées par le client avec des files d’attente et des tables, vous devez d’abord créer un compte de stockage qui utilise une clé de chiffrement limitée au compte et non pas au service. Après avoir créé un compte qui utilise la clé de chiffrement de compte pour les données des files d’attente et des tables, vous pouvez configurer des clés gérées par le client pour ce compte de stockage.

Cet article explique comment créer un compte de stockage qui s’appuie sur une clé limitée au compte. Une fois le compte créé, Microsoft utilise la clé de compte pour chiffrer les données dans le compte et il gère la clé. Vous pouvez par la suite configurer des clés gérées par le client pour le compte pour tirer parti de ces avantages, notamment la capacité à fournir vos propres clés, de mettre à jour la version de la clé, d’effectuer la rotation des clés et de révoquer les contrôles d’accès.

Créer un compte qui utilise la clé de chiffrement de compte

Vous devez configurer un nouveau compte de stockage pour utiliser la clé de chiffrement de compte pour les files d’attente et les tables au moment où vous créez le compte de stockage. L’étendue de la clé de chiffrement ne peut pas être changée après la création du compte.

Le compte de stockage doit être de type universel v2. Vous pouvez créer le compte de stockage et le configurer pour qu’il s’appuie sur la clé de chiffrement de compte en utilisant le portail Azure, PowerShell, Azure CLI ou un modèle Azure Resource Manager.

Pour plus d’informations sur la création d’un compte de stockage, consultez la section Créer un compte de stockage.

Notes

Seul Stockage File d’attente et Stockage Table peuvent être configurés en option pour chiffrer les données avec la clé de chiffrement de compte lors de la création du compte de stockage. Stockage Blob et Azure Files utilisent toujours la clé de chiffrement de compte pour chiffrer les données.

Pour créer un compte de stockage qui s’appuie sur la clé de chiffrement de compte à l’aide du portail Azure, suivez ces étapes :

Dans le menu du portail de gauche, sélectionnez Comptes de stockage pour afficher la liste de vos comptes de stockage.
Sur la page Comptes de stockage, sélectionnez Nouveau.
Renseignez les champs sous l’onglet De base.
Dans l’onglet Avancé, recherchez la section Tables et files d’attente, puis sélectionnez Activer la prise en charge des clés gérées par le client.

Pour utiliser PowerShell afin de créer un compte de stockage qui s’appuie sur la clé de chiffrement de compte, vérifiez que vous avez installé le module Azure PowerShell (version 3.4.0 ou ultérieure). Pour plus d’informations, consultez Installer le module Azure PowerShell.

Ensuite, créez un compte de stockage universel v2 en appelant la commande New-AzStorageAccount avec les paramètres appropriés :

Incluez l’option -EncryptionKeyTypeForQueue et définissez sa valeur sur Account pour utiliser la clé de chiffrement de compte afin de chiffrer les données dans Stockage File d’attente.
Incluez l’option -EncryptionKeyTypeForTable et définissez sa valeur sur Account pour utiliser la clé de chiffrement de compte afin de chiffrer les données dans Stockage Table.

L’exemple suivant montre comment créer un compte de stockage universel v2 configuré pour le stockage géoredondant avec accès en lecture (RA-GRS) et utilisant la clé de chiffrement de compte pour chiffrer les données à la fois pour Stockage File d’attente et pour Stockage Table. N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs :

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Pour utiliser Azure CLI afin créer un compte de stockage qui s’appuie sur la clé de chiffrement de compte, vérifié que Azure CLI version 2.0.80 ou ultérieure est installé. Pour plus d’informations, consultez la rubrique Installation de l’interface de ligne de commande Azure (CLI).

Ensuite, créez un compte de stockage universel v2 en appelant la commande az storage account create avec les paramètres appropriés :

Incluez l’option --encryption-key-type-for-queue et définissez sa valeur sur Account pour utiliser la clé de chiffrement de compte afin de chiffrer les données dans Stockage File d’attente.
Incluez l’option --encryption-key-type-for-table et définissez sa valeur sur Account pour utiliser la clé de chiffrement de compte afin de chiffrer les données dans Stockage Table.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

L’exemple JSON suivant crée un compte de stockage universel v2 configuré pour le stockage géoredondant avec accès en lecture (RA-GRS) et utilisant la clé de chiffrement de compte pour chiffrer les données à la fois pour Stockage File d’attente et pour Stockage Table. N’oubliez pas de remplacer les valeurs des espaces réservés entre crochets par vos propres valeurs :

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Après avoir créé un compte qui s’appuie sur la clé de chiffrement de compte, vous pouvez configurer les clés gérées par le client qui sont stockées dans Azure Key Vault ou dans un module de sécurité matériel (HSM). Pour découvrir comment stocker des clés gérées par le client dans un coffre de clés, consultez Configurer le chiffrement avec des clés gérées par le client stockées dans Azure Key Vault. Pour découvrir comment stocker des clés gérées par le client dans un HSM managé, consultez Configurer le chiffrement avec des clés gérées par le client stockées dans Azure Key Vault Managed HSM.

Vérifier la clé de chiffrement de compte

Après avoir créé le compte, vous pouvez vérifier que le compte de stockage utilise une clé de chiffrement étendue au compte, à l’aide du portail Azure, de PowerShell ou d’Azure CLI.

Pour vérifier qu’un service d’un compte de stockage utilise une clé de chiffrement étendue au compte en utilisant le portail Azure, suivez ces étapes :

Accédez à votre nouveau compte de stockage dans le portail Azure.
Dans la section Sécurité + réseau, sélectionnez Chiffrement.
Si le compte de stockage a été créé pour s’appuyer sur la clé de chiffrement de compte, dans l’onglet Chiffrement vous voyez que les clés gérées par le client peuvent être activées pour l’ensemble des quatre services de stockage Azure : objets blob, fichiers, tables et files d’attente.

Pour vérifier qu’un service dans un compte de stockage utilise la clé de chiffrement de compte, à l’aide de PowerShell appelez la commande Get-AzStorageAccount. Cette commande retourne un ensemble de propriétés du compte de stockage et leurs valeurs. Recherchez le champ KeyType pour chaque service dans la propriété Encryption et vérifiez qu’il est défini sur Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Pour vérifier qu’un service d’un compte de stockage utilise la clé de chiffrement de compte, avec l’interface Azure CLI appelez la commande az storage account show. Cette commande retourne un ensemble de propriétés du compte de stockage et leurs valeurs. Recherchez le champ keyType pour chaque service dans la propriété de chiffrement et vérifiez qu’il est défini sur Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Une fois que vous avez vérifié l’utilisation par le compte de stockage d’une clé de chiffrement étendue au compte, vous pouvez activer les clés gérées par le client pour le compte. Les quatre services Azure Storage (bulbes, fichiers, tables et files d'attente) utiliseront alors la clé gérée par le client pour le cryptage.

Tarification et facturation

Un compte de stockage créé pour utiliser une clé de chiffrement limitée au compte est facturé pour la capacité de stockage et les transactions Table à un tarif différent de celui d’un compte qui utilise la clé par défaut limitée au service. Pour plus d’informations, consultez Tarification Stockage Table Azure.

Partager via

Créer un compte qui prend en charge les clés gérées par le client pour les tables et les files d’attente

Créer un compte qui utilise la clé de chiffrement de compte

Vérifier la clé de chiffrement de compte

Tarification et facturation

Étapes suivantes

Commentaires

Ressources supplémentaires