Vue d’ensemble des clés gérées par le client

Azure Container Registry chiffre automatiquement les images et autres artefacts que vous stockez. Par défaut, Azure chiffre automatiquement le contenu du registre au repos en utilisant des clés gérées par le service. À l’aide d’une clé gérée par le client, vous pouvez compléter le chiffrement par défaut avec une couche de chiffrement supplémentaire.

Cet article est la première partie d’une série de tutoriels qui en compte quatre. Ce tutoriel traite des sujets suivants :

• Vue d’ensemble des clés gérées par le client
• Activer une clé gérée par le client
• Rotation et révocation d’une clé gérée par le client
• Résolution des problèmes de clé gérée par le client

À propos des clés gérées par le client

Une clé gérée par le client vous donne la possibilité d’apporter votre propre clé dans Azure Key Vault. Lorsque vous activez une clé gérée par le client, vous pouvez gérer ses permutations, contrôler l’accès et les autorisations nécessaires pour l’utiliser, et auditer son utilisation.

Ses caractéristiques principales sont les suivantes :

• Conformité réglementaire : Azure chiffre automatiquement le contenu du registre au repos avec des clés gérées par le service, mais le chiffrement à clé gérée par le client vous aide à respecter les instructions pour la conformité réglementaire.

• Intégration à Azure Key Vault : les clés gérées par le client prennent en charge le chiffrement côté serveur via l’intégration à Azure Key Vault. Avec les clés gérées par le client, vous pouvez créer vos propres clés de chiffrement et les stocker dans un coffre de clés. Vous pouvez également utiliser les API Azure Key Vault pour générer des clés.

• Gestion du cycle de vie des clés : l’intégration de clés gérées par le client à Azure Key Vault vous confère le contrôle total et la responsabilité du cycle de vie des clés, y compris de leur permutation et de leur gestion.

Avant d’activer une clé gérée par le client

Avant de configurer Azure Container Registry avec une clé gérée par le client, tenez compte des informations suivantes :

• Cette fonctionnalité est disponible uniquement dans le niveau de service Premium d’un registre de conteneurs. Pour plus d’informations, consultez Niveaux de service pour Azure Container Registry.
• Vous ne pouvez actuellement activer une clé gérée par le client que lors de la création d’un registre.
• Vous ne pouvez pas désactiver le chiffrement après avoir activé une clé gérée par le client sur un registre.
• Vous devez configurer une identité managée affectée par l’utilisateur pour accéder au coffre de clés. Plus tard, si nécessaire, vous pourrez activer l’identité managée affectée par le système du registre pour l’accès au coffre de clés.
• Azure Container Registry prend en charge uniquement les clés RSA ou RSA-HSM. Les clés à courbe elliptique ne sont actuellement pas prises en charge.
• Dans un registre chiffré avec une clé gérée par le client, vous ne pouvez conserver les journaux des tâches Azure Container Registry pendant 24 heures uniquement. Pour conserver les journaux plus longtemps, consultez Afficher et gérer les journaux d’exécution des tâches.
• L’approbation du contenu n’est actuellement pas prise en charge dans un registre qui est chiffré avec une clé gérée par le client.

Mettez à jour la version de la clé managée par le client

Azure Container Registry prend en charge la rotation automatique et manuelle des clés de chiffrement du Registre quand une nouvelle version de clé est disponible dans Azure Key Vault.

Important

La mise à jour (permutation) fréquente des versions des clés est un aspect de sécurité important à prendre en considération pour un registre dont le chiffrement à clés est géré par le client. Suivez les stratégies de conformité de votre organisation pour mettre à jour régulièrement les versions de clés, tout en stockant une clé gérée par le client dans Azure Key Vault.

• Mettre à jour automatiquement la version de la clé : quand un registre est chiffré avec une clé non versionnée, Azure Container Registry vérifie régulièrement la nouvelle version de clé dans le coffre de clés et met à jour la clé gérée par le client dans un délai d’une heure. Nous vous suggérons d’omettre la version de la clé lorsque vous activez le chiffrement du registre avec une clé gérée par le client. Dans ce cas, Azure Container Registry utilisera et mettra à jour automatiquement la dernière version de la clé.

• Mettre à jour manuellement la version de la clé : quand un registre est chiffré avec une version de clé spécifique, Azure Container Registry utilise cette version pour le chiffrement tant que vous n’effectuez pas manuellement une permutation de la clé gérée par le client. Nous vous suggérons de spécifier la version de la clé lorsque vous activez le chiffrement du registre avec une clé gérée par le client. Azure Container Registry utilisera alors une version spécifique d’une clé pour le chiffrement du registre.

Pour plus d’informations, consultez Permutation des clés et Mettre à jour la version de la clé.

Étapes suivantes

• Pour activer votre registre de conteneurs avec une clé gérée par le client à l’aide de l’interface Azure CLI, du portail Azure ou d’un modèle Azure Resource Manager, passez à l’article suivant : Activer une clé gérée par le client.
• Apprenez-en davantage sur le chiffrement au repos dans Azure.
• Apprenez-en davantage sur les stratégies d’accès et sur la façon de sécuriser l’accès à un coffre de clés.