Utiliser le portail Azure pour activer le chiffrement côté serveur à l'aide de clés gérées par le client pour les disques managés

  • Procédures

S’applique à : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows

Le stockage sur disque Azure vous permet de gérer vos propres clés lors de l’utilisation du chiffrement côté serveur (SSE) pour les disques managés, si vous le souhaitez. Pour obtenir des informations conceptuelles sur SSE avec des clés gérées par le client ainsi que d’autres types de chiffrement de disque managés, consultez la section Clés gérées par le client de notre article sur le chiffrement de disque Clés gérées par le client

Prérequis

Aucun

Restrictions

Pour le moment, les clés gérées par le client sont soumises aux restrictions suivantes :

  • Si vous activez cette fonctionnalité pour un disque ayant des captures instantanées incrémentielles, vous ne pouvez pas la désactiver sur ce disque ou ses captures instantanées. Pour éviter cette situation, copiez toutes les données sur un disque managé totalement différent qui n’utilise pas de clés gérées par le client. Vous pouvez le faire avec Azure CLI ou le module Azure PowerShell.
  • Un disque et tous les instantanés incrémentiels qui lui sont associés doivent avoir le même jeu de chiffrement de disque.
  • Seules les clés RSA HSM et de logiciels des tailles une tailles 2 048 bits, 3 072 bits et 4 096 bits sont prises en charge ; aucune autre clé ou taille n’est prise en charge.
    • Les clés HSM nécessitent le niveau Premium de coffres de clés Azure.
  • Pour les disques Ultra et SSD Premium v2 uniquement :
    • Les disques créés à partir d’instantanés qui sont chiffrés avec un chiffrement côté serveur et des clés gérées par le client doivent être chiffrés avec le même jeu de chiffrement de disque.
    • Les identités managées affectées par l’utilisateur ne sont pas prises en charge pour les disques Ultra et SSD Premium v2 chiffrés avec des clés gérées par le client.
    • Le chiffrement des disques Ultra et SSD Premium v2 avec des clés gérées par le client à l’aide d’Azure Key Vaults stockés dans un autre locataire Microsoft Entra ID n’est pas actuellement pris en charge.
  • La plupart des ressources liées à vos clés gérées par le client (jeux de chiffrement de disque, machines virtuelles, disques et instantanés) doivent se trouver dans le même abonnement et la même région.
    • Les coffres de clés Azure peuvent être utilisés à partir d’un autre abonnement, mais doivent se trouver dans la même région que votre jeu de chiffrement de disque. En préversion, vous pouvez utiliser des coffres de clés Azure à partir de différents locataires Microsoft Entra.
  • Les disques chiffrés avec des clés gérées par le client peuvent uniquement se déplacer vers un autre groupe de ressources si la machine virtuelle à laquelle ils sont attachés est désallouée.
  • Les disques, les captures instantanées et les images chiffrées à l’aide de clés gérées par le client ne peuvent pas être déplacés d’un abonnement à un autre.
  • Les disques managés actuellement ou précédemment chiffrés à l’aide d’Azure Disk Encryption ne peuvent pas faire l’objet d’un chiffrement en utilisant des clés gérées par le client.
  • Ne peut créer que jusqu’à 5 000 jeux de chiffrements de disques par région et par abonnement.
  • Pour plus d’informations sur l’utilisation de clés gérées par le client avec des galeries d’images partagées, consultez Préversion : Utiliser des clés gérées par le client pour le chiffrement d’images.

Les sections suivantes expliquent comment activer et utiliser les clés gérées par le client pour les disques managés :

La configuration des clés gérées par le client pour vos disques vous oblige à créer des ressources dans un ordre particulier si vous les utilisez pour la première fois. Vous devez d’abord créer et configurer un coffre de clés Azure Key Vault.

Configurer votre coffre de clés Azure

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Coffre de clés.

    Capture d’écran du portail Azure, dans laquelle la boîte de dialogue de recherche est développée.

    Important

    Pour que le déploiement aboutisse, votre jeu de chiffrement de disque, les machines virtuelles, les disques et les captures instantanées doivent tous se trouver dans la même région et le même abonnement. Les instances d’Azure Key Vault Azure peuvent être utilisées à partir d’un autre abonnement, mais doivent se trouver dans la même région et le même locataire que votre jeu de chiffrement de disque.

  3. Sélectionnez +Créer pour créer un nouveau Coffre de clés.

  4. Créez un groupe de ressources.

  5. Entrez un nom de coffre de clés, sélectionnez une région, puis sélectionnez un niveau tarifaire.

    Notes

    Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection de purge garantit qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de rétention n’est pas écoulée. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.

  6. Sélectionnez Vérifier + créer, vérifiez vos choix, puis sélectionnez Créer.

    Capture d’écran de l’expérience de création de coffre de clés Azure Key Vault, montrant les valeurs particulières que vous créez.

  7. Une fois que votre coffre de clés a terminé le déploiement, sélectionnez-le.

  8. Sélectionnez Clés sous Objets.

  9. Sélectionnez Générer/Importer.

    Capture d’écran du volet des paramètres de ressource Key Vault, montrant le bouton Générer/Importer dans les paramètres.

  10. Laissez Type de clé défini sur RSA et Taille de clé RSA défini sur 2048.

  11. Renseignez les autres sélections comme vous le souhaitez, puis sélectionnez Créer.

    Capture d’écran du volet de création de clé, qui s’affiche une fois le bouton Générer/Importer sélectionné.

Ajouter un rôle RBAC Azure

Maintenant que vous avez créé le coffre de clés Azure et une clé, vous devez ajouter un rôle RBAC Azure afin de pouvoir utiliser votre coffre de clés Azure avec votre jeu de chiffrement de disque.

  1. Sélectionnez Contrôle d’accès (IAM) et ajoutez un rôle.
  2. Ajoutez les rôles Administrateur de coffre de clés, Propriétaire ou Contributeur.

Configuration du jeu de chiffrement de disque

  1. Recherchez Ensembles de chiffrement de disque et sélectionnez-le.

  2. Dans le volet Jeux de chiffrement de disque, sélectionnez +Créer.

  3. Sélectionnez votre groupe de ressources, attribuez un nom à votre jeu de chiffrement et sélectionnez la même région que votre coffre de clés.

  4. Pour Type de chiffrement, sélectionnez Chiffrement au repos avec une clé gérée par le client.

    Notes

    Une fois que vous avez créé un jeu de chiffrement de disque avec un type de chiffrement particulier, il n’est plus possible de le modifier. Si vous souhaitez utiliser un type de chiffrement différent, vous devez créer un nouveau jeu de chiffrement de disque.

  5. Vérifiez que l’option Sélectionner un coffre de clés et une clé Azure est sélectionnée.

  6. Sélectionnez le coffre de clés et la clé que vous avez créés précédemment, ainsi que la version.

  7. Si vous souhaitez activer la rotation automatique des clés gérées par le client, sélectionnez Rotation automatique des clés.

  8. Sélectionnez Vérifier + créer, puis Créer.

    Capture d’écran du volet de création du chiffrement de disque montrant l’abonnement, le groupe de ressources, le nom du jeu de chiffrement du disque, la région et le coffre de clés ainsi que le sélecteur de clé.

  9. Accédez au jeu de chiffrement de disque une fois qu’il est déployé, puis sélectionnez l’alerte affichée.

    Capture d’écran de l’utilisateur sélectionnant l’alerte « Pour associer un disque, une image ou un instantané à ce jeu de chiffrement de disque, vous devez octroyer des autorisations au coffre de clés ».

  10. Cela permet d’octroyer les autorisations de coffre de clés au jeu de chiffrement de disque.

    Capture d’écran de confirmation montrant que les autorisations ont bien été octroyées.

Déployer une machine virtuelle

Maintenant que vous avez créé et configuré votre coffre de clés et le jeu de chiffrement de disque, vous pouvez déployer une machine virtuelle à l’aide du chiffrement. Le processus de déploiement de la machine virtuelle est similaire au processus de déploiement standard, les seules différences sont que vous devez déployer la machine virtuelle dans la même région que vos autres ressources et que vous choisissez d’utiliser une clé gérée par le client.

  1. Recherchez Machines virtuelles et sélectionnez + Créer pour créer une machine virtuelle.

  2. Sous le volet De base, sélectionnez la même région que votre jeu de chiffrement de disque et qu’Azure Key Vault.

  3. Renseignez les autres valeurs du volet De base à votre guise.

    Capture d’écran de l’expérience de création de machines virtuelles, dont la valeur de région est mise en surbrillance.

  4. Dans le volet Disques, pour Gestion des clés, sélectionnez votre jeu de chiffrement de disque, votre coffre de clés et votre clé dans la liste déroulante.

  5. Effectuez les sélections restantes comme vous le souhaitez.

    Capture d’écran de l’expérience de création de machine virtuelle, du volet disques, de la clé gérée par le client sélectionnée.

Activer sur un disque existant

Attention

L’activation du chiffrement de disque sur les disques attachés à une machine virtuelle nécessite l’arrêt de celle-ci.

  1. Accédez à une machine virtuelle qui se trouve dans la même région que l’un de vos jeux de chiffrement de disque.

  2. Ouvrez la machine virtuelle et sélectionnez Arrêter.

Capture d’écran de la superposition principale pour votre exemple de machine virtuelle, avec le bouton Arrêter mis en évidence.

  1. Une fois l’arrêt de la machine virtuelle terminé, sélectionnez Disques puis sélectionnez le disque que vous souhaitez chiffrer.

Capture d’écran de votre exemple de machine virtuelle, avec le panneau Disques ouvert. Le disque du système d’exploitation est mis en surbrillance, comme exemple de disque à sélectionner.

  1. Sélectionnez Chiffrement, puis, sous Gestion des clés, sélectionnez votre coffre de clés et votre clé dans la liste déroulante, sous Clé gérée par le client.

  2. Sélectionnez Enregistrer.

Capture d’écran de votre exemple de disque de système d’exploitation, le volet Chiffrement est ouvert, le chiffrement au repos avec une clé gérée par le client est sélectionné, ainsi que votre exemple Azure Key Vault.

  1. Répétez ce processus pour tous les autres disques attachés à la machine virtuelle que vous souhaitez chiffrer.

  2. S’il n’y a pas d’autres disques attachés que vous souhaitez chiffrer, lorsque vos disques ont fini de basculer vers les clés gérées par le client, démarrez votre machine virtuelle.

Important

Les clés gérées par le client s’appuient sur des identités managées pour les ressources Azure, une fonctionnalité de Microsoft Entra ID. Quand vous configurez des clés gérées par le client, une identité managée est automatiquement affectée à vos ressources à l’arrière plan. Si, par la suite, vous déplacez l’abonnement, le groupe de ressources ou le disque managé d’un répertoire Microsoft Entra vers un autre, l’identité managée associée aux disques managés n’est pas transférée vers le nouveau locataire, de sorte que les clés gérées par le client peuvent ne plus fonctionner. Pour plus d’informations, consultez Transfert d’un abonnement entre des répertoires Microsoft Entra.

Activer la rotation automatique des clés sur un jeu de chiffrement de disque existant

  1. Accédez au jeu de chiffrement de disque sur lequel vous souhaitez activer la Rotation automatique des clés.

  2. Sous Paramètres, sélectionnez Clé.

  3. Sélectionnez Rotation automatique des clés, puis Enregistrer.

Contenu connexe