Clés gérées par le client pour le chiffrement Relais Azure Fluid

Vous pouvez utiliser votre propre clé de chiffrement pour protéger les données de votre ressource Relais Azure Fluid. Quand vous spécifiez une clé gérée par le client (CMK, Customer-Managed Key), cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. CMK offre davantage de flexibilité pour gérer les contrôles d’accès.

Vous devez utiliser un des magasins de clés Azure suivants pour stocker votre clé CMK :

Vous devez créer une ressource Relais Azure Fluid pour activer CMK. Vous ne pouvez pas modifier l’activation/désactivation de CMK sur une ressource Relais Fluid existante.

En outre, CMK de Relais Fluid s’appuie sur l’identité managée et vous devez affecter une identité managée à la ressource Relais Fluid lors de l’activation de CMK. Seule l’identité affectée par l’utilisateur est autorisée pour la clé CMK d’une ressource Relais Fluid. Pour plus d’informations sur les identités managées, consultez ceci.

La configuration d’une ressource Relais Fluid avec CMK ne peut pas encore être effectuée via le portail Azure.

Quand vous configurez la ressource Relais Fluid avec CMK, le service Relais Azure Fluid configure les paramètres chiffrés de CMK appropriés sur l’étendue du compte Stockage Azure où les artefacts de votre session Fluid sont stockés. Pour plus d’informations sur CMK dans Stockage Azure, consultez ceci.

Pour vérifier qu’une ressource Relais Fluid utilise CMK, vous pouvez regarder la propriété de la ressource en envoyant une requête GET et voir si elle a une propriété encryption.customerManagedKeyEncryption non vide valide.

Configuration requise :

Avant de configurer CMK sur votre ressource Relais Azure Fluid, les prérequis suivants doivent être satisfaits :

  • Les clés doivent être stockées dans Azure Key Vault.
  • Les clés doivent être des clés RSA et non pas des clés EC, car une clé EC ne prend pas en charge WRAP et UNWRAP.
  • Une identité managée affectée par l’utilisateur doit être créée avec l’autorisation nécessaire (GET, WRAP et UNWRAP) pour le coffre de clés à l’étape 1. Plus d’informations ici. Accordez GET, WRAP et UNWRAP sous Autorisations de clés dans AKV.
  • Azure Key Vault, l’identité affectée par l’utilisateur et la ressource Relais Fluid doivent se trouver dans la même région et dans le même locataire Microsoft Entra.

Créer une ressource Relais Fluid avec CMK

PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>" 

Format de la charge utile de la demande :

{ 
    "location": "<the region you selected for Fluid Relay resource>", 
    "identity": { 
        "type": "UserAssigned", 
        "userAssignedIdentities": { 
            “<User assigned identity resource ID>": {} 
        } 
    }, 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyIdentity": { 
                    "identityType": "UserAssigned", 
                    "userAssignedIdentityResourceId":  "<User assigned identity resource ID>" 
                }, 
                "keyEncryptionKeyUrl": "<key identifier>" 
            } 
        } 
    } 
} 

Exemple userAssignedIdentities et userAssignedIdentityResourceId : /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity

Exemple keyEncryptionKeyUrl : https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid

Remarques :

  • Identity.type doit être UserAssigned. C’est le type d’identité de l’identité managée qui est affectée à la ressource Relais Fluid.
  • Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType doit être UserAssigned. C’est le type d’identité de l’identité managée qui doit être utilisée pour CMK.
  • Vous pouvez spécifier plusieurs identités dans Identity.userAssignedIdentities, mais une seule identité d’utilisateur affectée à la ressource Relais Fluid spécifiée sera utilisée pour l’accès CMK au coffre de clés pour le chiffrement.
  • Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId est l’ID de ressource de l’identité affectée par l’utilisateur qui doit être utilisée pour CMK. Notez qu’il doit s’agir d’une des identités dans Identity.userAssignedIdentities (vous devez affecter l’identité à la ressource Relais Fluid avant de pouvoir l’utiliser pour CMK). En outre, elle doit disposer des autorisations nécessaires sur la clé (fournie par keyEncryptionKeyUrl).
  • Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl est l’identificateur de clé utilisé pour CMK.

Mettre à jour les paramètres CMK d’une ressource Relais Fluid existante

Vous pouvez mettre à jour les paramètres CMK suivants sur la ressource Relais Fluid existante :

  • Changez l’identité utilisée pour accéder à la clé de chiffrement de clé.
  • Changez l’identificateur de clé de chiffrement de clé (URL de clé).
  • Changez la version de clé de la clé de chiffrement de clé.

Notez que vous ne pouvez pas désactiver CMK sur la ressource Relais Fluid existante une fois qu’elle est activée.

URL de la demande :

PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload" 

Exemple de charge utile de requête pour la mise à jour de l’URL de l’URL de la clé de chiffrement de clé :

{ 
    "properties": { 
       "encryption": { 
            "customerManagedKeyEncryption": { 
                "keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx" 
            } 
        } 
    } 
}

Voir aussi