Activer le chiffrement double au repos pour les disques managés

S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows

Le Stockage sur disque Azure prend en charge le double chiffrement au repos pour les disques managés. Pour obtenir des informations conceptuelles sur le chiffrement double au repos ainsi que sur d’autres types de chiffrement de disque managé, consultez la section Double chiffrement au repos dans notre article sur le chiffrement de disque.

Restrictions

Le double chiffrement au repos n’est actuellement pas pris en charge avec les Disques Ultra ou les disques SSD Premium v2.

Prérequis

Si vous allez utiliser l’interface Azure CLI, installez la dernière version d’Azure CLI et connectez-vous à un compte Azure avec az login.

Si vous allez utiliser le module Azure PowerShell, installez la dernière version d’Azure PowerShell et connectez-vous à un compte Azure en utilisant Connect-AzAccount.

Mise en route

Azure portal

1. Connectez-vous au portail Azure.

2. Recherchez Jeux de chiffrement de disque, puis sélectionnez le résultat.

   

3. Sélectionnez + Créer.

4. Sélectionnez une des régions prises en charge.

5. Pour Type de chiffrement, sélectionnez Double chiffrement avec les clés gérées par la plateforme et gérées par le client.

   Notes

   Une fois que vous avez créé un jeu de chiffrement de disque avec un type de chiffrement particulier, il n’est plus possible de le modifier. Si vous souhaitez utiliser un type de chiffrement différent, vous devez créer un nouveau jeu de chiffrement de disque.

6. Entrez les informations restantes.

   

7. Sélectionnez un Azure Key Vault et une clé, ou créez-en une si nécessaire.

   Notes

   Lorsque vous créez une instance Key Vault, vous devez activer la suppression réversible et la protection contre le vidage. Ces paramètres sont obligatoires lors de l’utilisation d’un Key Vault pour le chiffrement des disques managés, et vous protègent contre la perte de données en raison d’une suppression accidentelle.

   

8. Sélectionnez Create (Créer).

9. Accédez au jeu de chiffrement de disque que vous avez créé, puis sélectionnez l’erreur qui s’affiche. Cela a pour effet de configurer votre jeu de chiffrement de disque pour travailler.

   

   Une notification doit s’afficher. Cela vous permettra d’utiliser le jeu de chiffrement de disque avec votre coffre de clés.

   

10. Accédez à votre disque.

11. Sélectionnez Chiffrement.

12. Pour la Gestion des clés, sélectionnez l’une des clés sous Clés gérées par la plateforme et par le client.

13. Sélectionnez Enregistrer.

    

Vous avez maintenant activé le double chiffrement au repos sur votre disque managé.

Azure CLI

1. Créer une instance Azure Key Vault et une clé de chiffrement.

   Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection contre la suppression définitive permet de vérifier qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de conservation n’est pas arrivée à expiration. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Obtenez l’URL de la clé que vous avez créée avec az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Créez un DiskEncryptionSet avec encryptionType défini sur EncryptionAtRestWithPlatformAndCustomerKeys. Remplacez yourKeyURL par l’URL que vous avez reçue de az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Accorder à la ressource DiskEncryptionSet l’accès au coffre de clés.

Remarque

La création de l’identité de votre DiskEncryptionSet dans Microsoft Entra ID peut prendre quelques minutes à Azure. Si vous recevez une erreur comme « Impossible de trouver l’objet Active Directory » lors de l’exécution de la commande suivante, attendez quelques minutes et réessayez.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Créer une instance Azure Key Vault et une clé de chiffrement.

   Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection contre la suppression définitive permet de vérifier qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de conservation n’est pas arrivée à expiration. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Récupérez l’URL de la clé que vous avez créée. Vous en aurez besoin pour les commandes suivantes. La sortie de l’ID à partir de Get-AzKeyVaultKey est l’URL de la clé.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Obtenez l’ID de ressource pour l’instance Key Vault que vous avez créée. Vous en aurez besoin pour les commandes suivantes.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Créez un DiskEncryptionSet avec encryptionType défini sur EncryptionAtRestWithPlatformAndCustomerKeys. Remplacez yourKeyURL et yourKeyVaultURL par les valeurs que vous avez récupérées précédemment.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Accorder à la ressource DiskEncryptionSet l’accès au coffre de clés.

   Remarque

   La création de l’identité de votre DiskEncryptionSet dans Microsoft Entra ID peut prendre quelques minutes à Azure. Si vous recevez une erreur comme « Impossible de trouver l’objet Active Directory » lors de l’exécution de la commande suivante, attendez quelques minutes et réessayez.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Étapes suivantes

• Azure PowerShell : Activer les clés gérées par le client avec les disques managés – chiffrement côté serveur
• Exemples de modèles Azure Resource Manager
• Activer les clés gérées par le client avec le chiffrement côté serveur – Exemples