Configurer les clés gérées par le client

Azure Data Explorer chiffre toutes les données dans un compte de stockage au repos. Par défaut, les données sont chiffrées avec des clés managées par Microsoft Pour un contrôle supplémentaire sur les clés de chiffrement, vous pouvez fournir des clés gérées par le client à utiliser pour le chiffrement des données.

Les clés gérées par le client doivent être stockées dans Azure Key Vault. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser une API d’Azure Key Vault pour générer des clés. Le cluster Azure Data Explorer et le coffre de clés doivent se trouver dans la même région, mais ils peuvent appartenir à des abonnements différents. Pour obtenir une explication détaillée sur les clés gérées par le client, consultez Clés gérées par le client avec Azure Key Vault.

Cet article vous montre comment configurer des clés gérées par le client.

Pour obtenir des exemples de code basés sur les versions précédentes du KIT de développement logiciel (SDK), consultez l’article archivé.

Configurer Azure Key Vault

Pour configurer des clés gérées par le client avec Azure Data Explorer, vous devez définir deux propriétés sur le coffre de clés : Suppression réversible et Ne pas vider. Ces propriétés ne sont pas activées par défaut. Pour activer ces propriétés, vous pouvez procéder par Activation de la suppression réversible et Activation de la protection contre le vidage dans PowerShell ou Azure CLI sur un coffre de clés nouveau ou existant. Seules les clés RSA de taille de 2048 sont prises en charge. Pour plus d'informations sur les clés, consultez Clés Key Vault.

Notes

Pour plus d’informations sur les limitations de l’utilisation de clés gérées par le client sur les clusters leader et suiveur, consultez Limitations.

Affecter une identité managée au cluster

Pour activer des clés gérées par le client pour votre cluster, attribuez tout d’abord au cluster une identité managée affectée par le système ou par l’utilisateur. Cette identité managée vous sera utile pour autoriser le cluster à accéder au coffre de clés. Pour configurer des identités managées, consultez Identités managées.

Activer le chiffrement avec des clés gérées par le client

Les étapes suivantes expliquent comment activer le chiffrement des clés gérées par le client à l’aide du Portail Azure. Par défaut, le chiffrement Azure Data Explorer utilise des clés gérées par Microsoft. Configurez votre cluster Azure Data Explorer pour utiliser des clés gérées par le client et spécifiez la clé à lui associer.

  1. Dans le Portail Azure, accédez à votre ressource de cluster Azure Data Explorer.

  2. Sélectionnez Paramètres>Chiffrement dans le volet gauche du portail.

  3. Dans le volet Chiffrement, sélectionnez Activé pour le paramètre Clé gérée par le client.

  4. Sélectionnez Sélectionner une clé.

    Capture d’écran montrant la configuration des clés gérées par le client.

  5. Dans la fenêtre Sélectionner une clé à partir d’Azure Key Vault, sélectionnez un Coffre de clés existant dans la liste déroulante. Si vous sélectionnez Créer nouveau pour créer un nouveau Coffre de clés, vous êtes dirigé vers l’écran Créer un coffre de clés.

  6. Sélectionner Clé.

  7. Version :

    • Pour garantir que cette clé utilise toujours la dernière version de la clé, cochez la case Toujours utiliser la version actuelle de la clé.
    • Sinon, sélectionnez Version.
  8. Sélectionnez Sélectionner.

    Capture d’écran montrant la clé Sélectionner dans Azure Key Vault.

  9. Sous Type d’identité, sélectionnez Affecté(e) par le système ou Affecté(e) par l’utilisateur.

  10. Si vous sélectionnez Affecté(e) par l’utilisateur, choisissez une identité affectée par l’utilisateur dans la liste déroulante.

    Capture d’écran montrant l’option permettant de sélectionner un type d’identité managée.

  11. Dans le volet Chiffrement qui contient maintenant votre clé, sélectionnez Enregistrer. Lorsque la création de CMK réussit, un message de réussite s’affiche dans Notifications.

    Capture d’écran montrant l’option permettant d’enregistrer une clé gérée par le client.

Si vous sélectionnez une identité affectée par le système lorsque vous activez des clés gérées par le client pour votre cluster Azure Data Explorer, vous allez créer une identité affectée par le système pour le cluster, si celle-ci n’existe pas déjà. De plus, vous devez fournir les autorisations get, wrapKey et unwrapKey requises à votre cluster Azure Data Explorer sur le Key Vault sélectionné et obtenir les propriétés du Key Vault.

Notes

Sélectionnez Désactivé pour supprimer la clé gérée par le client après sa création.

Mettre à jour la version de la clé

Lors de la création de la nouvelle version d’une clé, vous devez mettre à jour le cluster afin qu’il utilise cette nouvelle version. Tout d’abord, appelez la commande Get-AzKeyVaultKey pour obtenir la dernière version de la clé. Ensuite, mettez à jour les propriétés du coffre de clés du cluster pour utiliser la nouvelle version de la clé, comme indiqué dans Activer le chiffrement avec des clés gérées par le client.