Utiliser des clés gérées par le client dans Azure Key Vault pour Azure Data Box

Azure Data Box protège la clé de déverrouillage de l’appareil (également appelée mot de passe de l’appareil). Cette dernière est utilisée pour verrouiller un appareil via une clé de chiffrement. Par défaut, cette clé de chiffrement est une clé gérée par Microsoft. Pour plus de contrôle, vous pouvez utiliser une clé gérée par le client.

L’utilisation d’une clé gérée par le client n’affecte pas la manière dont les données de l’appareil sont chiffrées. Elle affecte uniquement le mode de chiffrement de la clé de déverrouillage de l’appareil.

Pour conserver ce niveau de contrôle tout au long du processus de commande, utilisez une clé gérée par le client lorsque vous créez votre commande. Pour plus d’informations, consultez Tutoriel : commander une Azure Data Box.

Cet article explique comment activer une clé gérée par le client pour votre commande Data Box existante dans le portail Azure. Vous y découvrirez comment modifier le coffre de clés, la clé, la version ou l’identité de votre clé gérée par le client actuelle, ou rebasculer vers une clé gérée par Microsoft.

Cet article s’applique aux appareils Azure Data Box et Azure Data Box Heavy.

Spécifications

Dans le cadre d’une commande Data Box, la clé gérée par le client doit respecter les conditions suivantes :

  • La clé doit être créée et stockée dans une instance Azure Key Vault pour laquelle les fonctionnalités Suppression réversible et Ne pas vider sont activées. Pour plus d’informations, consultez la page Qu’est-ce qu’Azure Key Vault ? Vous pouvez créer un coffre de clés et une clé lors de la création ou de la mise à jour de votre commande.
  • La clé doit correspondre à une clé RSA d’une taille de 2048 ou supérieure.
  • Vous devez activer les autorisations Get, UnwrapKey et WrapKey pour la clé dans Azure Key Vault. Les autorisations doivent rester en place pendant la durée de vie de la commande. Dans le cas contraire, la clé gérée par le client n’est pas accessible au début de la phase de copie des données.

Activer la clé

Afin d’activer un clé gérée par le client pour votre commande Data Box existante dans le portail Azure, procédez comme suit :

  1. Accédez à l’écran Vue d’ensemble de votre commande Data Box.

    Écran Vue d’ensemble d’une commande Data Box - 1

  2. Accédez à Paramètres > Chiffrement, puis sélectionnez Clé gérée par le client. Sélectionnez ensuite Sélectionner une clé et un coffre de clés.

    Sélectionner l’option de chiffrement de clé gérée par le client

    Dans l’écran Sélectionner une clé dans Azure Key Vault, votre abonnement est automatiquement renseigné.

  3. Pour Coffre de clés, vous pouvez sélectionner un coffre de clés existant dans la liste déroulante ou sélectionner Créer nouveau pour créer un nouveau coffre de clés.

    Options de coffre de clés lors de la sélection d’une clé gérée par le client

    Pour créer un coffre de clés, entrez l’abonnement, le groupe de ressources, le nom du coffre de clés et autres informations dans l’écran Créer un coffre de clés. Dans Options de récupération, assurez-vous que les options Suppression réversible et Protection contre le vidage sont activées. Sélectionnez ensuite Vérifier + créer.

    Examiner et créer un Azure Key Vault

    Passez en revue les informations de votre coffre de clés, puis sélectionnez Créer. Patientez quelques minutes avant la fin de la création du coffre de clés.

    Créer un Azure Key Vault avec vos paramètres

  4. Dans l’écran Sélectionner une clé dans Azure Key Vault, vous pouvez sélectionner une clé existante dans le coffre de clés ou en créer une nouvelle.

    Sélectionner une clé dans Azure Key Vault

    Si vous voulez créer un coffre de clés, sélectionnez Créer. Vous devez utiliser une clé RSA. La taille peut être supérieure ou égale à 2048.

    Créer une nouvelle clé dans Azure Key Vault

    Entrez un nom pour votre nouvelle clé, acceptez les autres valeurs par défaut, puis sélectionnez Créer. Vous serez informé qu’une clé a été créée dans votre coffre de clés.

    Nommer la nouvelle clé

  5. Pour Version, vous pouvez sélectionner un version de clé existante dans la liste déroulante.

    Sélectionner la version pour la nouvelle clé

    Si vous souhaitez générer une nouvelle version de clé, sélectionnez Créer.

    Ouvrir une boîte de dialogue permettant de créer une version de clé

    Choisissez les paramètres de la nouvelle version de clé, puis sélectionnez Créer.

    Créez une nouvelle version de la clé

  6. Après avoir sélectionné un coffre de clés, une clé et une version de clé, choisissez Sélectionner.

    Clé d’une instance Azure Key Vault

    Les paramètres Type de chiffrement affichent le coffre de clés et la clé que vous avez choisis.

    Clé et coffre de clés pour une clé gérée par le client

  7. Sélectionnez le type d’identité à utiliser pour gérer la clé gérée par le client pour cette ressource. Vous pouvez utiliser l’identité attribuée par le système générée lors de la création de la commande ou choisir une identité attribuée par l’utilisateur.

    Une identité attribuée par l’utilisateur est une ressource indépendante que vous pouvez utiliser pour gérer l’accès aux ressources. Pour plus d’informations, consultez Types d’identités managées.

    Sélectionner le type d’identité

    Pour attribuer une identité d’utilisateur, sélectionnez Attribué par l’utilisateur. Sélectionnez ensuite Sélectionner une identité d’utilisateur, puis l’identité managée que vous souhaitez utiliser.

    Sélectionner une identité à utiliser

    Vous ne pouvez pas créer d’identité d’utilisateur ici. Pour savoir comment procéder, consultez Créer, répertorier, supprimer ou affecter un rôle à une identité managée attribuée par l’utilisateur à l’aide du portail Azure.

    L’identité d’utilisateur sélectionnée s’affiche dans les paramètres Type de chiffrement.

    Identité d’utilisateur sélectionnée dans les paramètres Type de chiffrement

  8. Sélectionnez Enregistrer pour enregistrer les paramètres Type de chiffrement mis à jour.

    Enregistrer votre clé gérée par le client

    L’URL de la clé est affichée sous Type de chiffrement.

    URL de la clé gérée par le client

Important

Vous devez activer les autorisations Get, UnwrapKey et WrapKey sur la clé. Pour définir les autorisations dans Azure CLI, consultez az keyvault set-policy.

Modifier la clé

Pour modifier le coffre de clés, la clé et/ou la version de clé pour la clé gérée par le client que vous utilisez actuellement, procédez comme suit :

  1. Dans l’écran Vue d’ensemble de votre commande Data Box, accédez à Paramètres>Chiffrement, puis cliquez sur Modifier la clé.

    Écran Vue d’ensemble d’une commande Data Box avec clé gérée par le client - 1

  2. Choisissez Sélectionner un autre coffre de clés et une autre clé.

    Écran Vue d’ensemble d’une commande Data Box, option Sélectionner une autre clé et un autre coffre de clés

  3. L’écran Sélectionner une clé dans le coffre de clés affiche l’abonnement, mais pas de coffre de clés, clé ou version de clé. Vous pouvez procéder aux modifications suivantes :

    • Sélectionnez une autre clé dans le même coffre de clés. Vous devez sélectionner le coffre de clés avant de sélectionner la clé et la version.

    • Sélectionnez un autre coffre de clés et attribuez une nouvelle clé.

    • Modifiez la version de la clé actuelle.

    Une fois vos modifications apportées, choisissez Sélectionner.

    Choisir l’option de chiffrement - 2

  4. Cliquez sur Enregistrer.

    Enregistrer les paramètres de chiffrement mis à jour - 1

Important

Vous devez activer les autorisations Get, UnwrapKey et WrapKey sur la clé. Pour définir les autorisations dans Azure CLI, consultez az keyvault set-policy.

Modifier l'identité

Pour modifier l’identité utilisée pour gérer l’accès à la clé gérée par le client dans le cadre de cette commande, procédez comme suit :

  1. Dans l’écran Vue d’ensemble de votre commande Data Box, accédez à Paramètres>Chiffrement.

  2. Apportez l’une des modifications suivantes :

    • Pour modifier l’identité d’un autre utilisateur, cliquez sur Sélectionnez une autre identité d’utilisateur. Sélectionnez ensuite une autre identité dans le panneau situé à droite de l’écran, puis choisissez Sélectionner.

      Option de modification de l’identité attribuée par l’utilisateur pour une clé gérée par le client

    • Pour basculer vers l’identité attribuée par le système générée lors de la création de la commande, sélectionnez Attribuée par le système sous Sélectionner le type d’identité.

      Option permettant de passer à une clé gérée par l’utilisateur attribuée par le système

  3. Cliquez sur Enregistrer.

    Enregistrer les paramètres de chiffrement mis à jour - 2

Utiliser une clé gérée par Microsoft

Pour passer de l’utilisation d’une clé gérée par le client à une clé gérée par Microsoft pour votre commande, procédez comme suit :

  1. Dans l’écran Vue d’ensemble de votre commande Data Box, accédez à Paramètres>Chiffrement.

  2. Pour Sélectionner le type, sélectionnez Clé gérée par Microsoft.

    Écran Vue d’ensemble d’une commande Data Box - 5

  3. Cliquez sur Enregistrer.

    Enregistrer les paramètres de chiffrement mis à jour pour une clé gérée par Microsoft

Résolution des erreurs

Si vous recevez des erreurs liées à votre clé gérée par le client, utilisez le tableau suivant pour résoudre les problèmes.

Code d'erreur Détails de l’erreur Récupérable ?
SsemUserErrorEncryptionKeyDisabled Impossible de récupérer la clé d’accès, car la clé gérée par le client est désactivée. Oui, en activant la version de clé.
SsemUserErrorEncryptionKeyExpired Impossible de récupérer la clé d’accès, car la clé gérée par le client a expiré. Oui, en activant la version de clé.
SsemUserErrorKeyDetailsNotFound Impossible de récupérer la clé d’accès, car la clé gérée par le client est introuvable. Si vous avez supprimé le coffre de clés, vous ne pouvez pas récupérer la clé gérée par le client. Si vous avez migré le coffre de clés vers un autre locataire, consultez Modifier l’ID de client du coffre de clés après un déplacement d’abonnement. Si vous avez supprimé le coffre de clés :
  1. Oui, s’il s’agit de la durée de la protection contre le vidage, à l’aide des étapes de Récupérer un coffre de clés.
  2. Non au-delà de la durée de la protection contre le vidage.

Sinon, si le coffre de clés a subi une migration de locataire, oui, il peut être récupéré à l’aide d’une des étapes ci-dessous :
  1. Restaurez le coffre de clés sur l’ancien locataire.
  2. Définissez Identity = None, puis redéfinissez la valeur sur Identity = SystemAssigned. Cela supprime et recrée l’identité une fois que la nouvelle identité a été créée. Activez les autorisations Get, WrapKey et UnwrapKey sur la nouvelle identité dans la stratégie d’accès du coffre de clés.
SsemUserErrorKeyVaultBadRequestException Une clé gérée par le client a été appliquée, mais l’accès de la clé n’a pas été accordé ou a été révoqué, ou l’accès au coffre de clé est impossible en raison de l’activation du pare-feu. Ajoutez l’identité sélectionnée à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Si le pare-feu est activé pour le coffre de clés, optez pour une identité attribuée par le système, puis ajoutez une clé gérée par le client. Pour plus d’informations, consultez Activer la clé.
SsemUserErrorKeyVaultDetailsNotFound Impossible de récupérer la clé d’accès, car le coffre de clés associé à la clé gérée par le client est introuvable. Si vous avez supprimé le coffre de clés, vous ne pouvez pas récupérer la clé gérée par le client. Si vous avez migré le coffre de clés vers un autre locataire, consultez Modifier l’ID de client du coffre de clés après un déplacement d’abonnement. Si vous avez supprimé le coffre de clés :
  1. Oui, s’il s’agit de la durée de la protection contre le vidage, à l’aide des étapes de Récupérer un coffre de clés.
  2. Non au-delà de la durée de la protection contre le vidage.

Sinon, si le coffre de clés a subi une migration de locataire, oui, il peut être récupéré à l’aide d’une des étapes ci-dessous :
  1. Restaurez le coffre de clés sur l’ancien locataire.
  2. Définissez Identity = None, puis redéfinissez la valeur sur Identity = SystemAssigned. Cela supprime et recrée l’identité une fois que la nouvelle identité a été créée. Activez les autorisations Get, WrapKey et UnwrapKey sur la nouvelle identité dans la stratégie d’accès du coffre de clés.
SsemUserErrorSystemAssignedIdentityAbsent Impossible de récupérer la clé d’accès, car la clé gérée par le client est introuvable. Oui, vérifier si :
  1. Le coffre de clés contient toujours le fichier MSI dans la stratégie d’accès.
  2. L’identité est de type System assigned (Attribuée par le système).
  3. Activez les autorisations Get, WrapKey et UnwrapKey sur la nouvelle identité dans la stratégie d’accès du coffre de clés. Ces autorisations doivent être conservées pendant la durée de vie de la commande. Elles sont utilisées lors de la création de la commande et au début de la phase de copie des données.
SsemUserErrorUserAssignedLimitReached L'ajout d'une nouvelle identité attribuée par l'utilisateur a échoué, car vous avez atteint la limite d'identités attribuées par l'utilisateur pouvant être ajoutées. Recommencez l’opération avec moins d’identités d’utilisateur ou supprimez plusieurs identités attribuées par l’utilisateur de la ressource avant de réessayer.
SsemUserErrorCrossTenantIdentityAccessForbidden L'opération d'accès à l'identité managée a échoué.
Remarque : cette erreur peut se produire lorsqu’un abonnement est déplacé vers un autre locataire. Le client doit manuellement déplacer l’identité vers le nouveau locataire.
Essayez d’ajouter une autre identité attribuée par l’utilisateur à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Ou déplacez l’identité vers le nouveau locataire sous lequel l’abonnement est présent. Pour plus d’informations, consultez Activer la clé.
SsemUserErrorKekUserIdentityNotFound Une clé gérée par le client a été appliquée, mais l’identité affectée par l’utilisateur qui a accès à la clé est introuvable dans Active Directory.
Remarque : cette erreur peut se produire lorsqu’une identité d’utilisateur est supprimée d’Azure.
Essayez d’ajouter une autre identité attribuée par l’utilisateur à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Pour plus d’informations, consultez Activer la clé.
SsemUserErrorUserAssignedIdentityAbsent Impossible de récupérer la clé d’accès, car la clé gérée par le client est introuvable. Impossible d’accéder à la clé gérée par le client. L’identité attribuée par l’utilisateur (UAI) associée à la clé est supprimée ou le type UAI a changé.
SsemUserErrorKeyVaultBadRequestException Une clé gérée par le client a été appliquée, mais l’accès à la clé n’a pas été accordé ou a été révoqué, ou le coffre de clés n’est pas accessible car un pare-feu est activé. Ajoutez l’identité sélectionnée à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Si le pare-feu est activé pour le coffre de clés, optez pour une identité attribuée par le système, puis ajoutez une clé gérée par le client. Pour plus d’informations, consultez Activer la clé.
SsemUserErrorEncryptionKeyTypeNotSupported Le type de clé de chiffrement n’est pas pris en charge pour l’opération. Activez un type de chiffrement pris en charge sur la clé (par exemple RSA ou RSA-HSM). Pour plus d’informations, consultez Types de clés, algorithmes et opérations.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Le coffre de clés n’a pas de protection activée contre la suppression réversible ou la suppression définitive. Assurez-vous que la protection par suppression réversible et contre la purge sont toutes deux activées sur le coffre de clés.
SsemUserErrorInvalidKeyVaultUrl
(Ligne de commande uniquement)
Un URI de coffre de clés non valide a été utilisé. Récupérez le bon URI de coffre de clés. Pour récupérer l’URI du coffre de clés, utilisez Get-AzKeyVault dans PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Seul le protocole HTTPS est pris en charge pour le transfert de l’URI du coffre de clés. Transmettez l’URI du coffre de clés sur HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost L’hôte d’URI du coffre de clés n’est pas un hôte autorisé dans la région géographique. Dans le cloud public, l’URI du coffre de clés doit se terminer par vault.azure.net. Dans le cloud Azure Government, l’URI du coffre de clés doit se terminer par vault.usgovcloudapi.net.
Erreur générique Impossible de récupérer la clé d’accès. Cette erreur est une erreur générique. Contactez le Support Microsoft pour résoudre l’erreur et déterminer les étapes suivantes.

Étapes suivantes