Chiffrement du Stockage Azure pour les données au reposAzure Storage encryption for data at rest

Le Stockage Azure chiffre automatiquement vos données lors de leur conservation dans le cloud.Azure Storage automatically encrypts your data when persisting it to the cloud. Le chiffrement protège vos données et vous aide à répondre aux engagements de votre entreprise en matière de sécurité et de conformité.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Les données dans Stockage Azure sont chiffrées et déchiffrées en toute transparence à l’aide du chiffrement AES 256 bits, un des chiffrements par blocs les plus puissants actuellement disponibles, et sont conformes à la norme FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Le chiffrement du Stockage Azure est similaire au chiffrement BitLocker sur Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Le chiffrement du Stockage Azure est activé pour tous les comptes de stockage nouveaux et existants et ne peut pas être désactivé.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Étant donné que vos données sont sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou vos applications pour tirer parti du chiffrement du Stockage Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Les comptes de stockage sont chiffrés quel que soit leur niveau de performances (standard ou premium) ou modèle de déploiement (Azure Resource Manager ou Classic).Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Toutes les options de redondance de Stockage Azure prennent en charge le chiffrement, et toutes les copies d’un compte de stockage sont chiffrées.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Toutes les ressources de Stockage Azure sont chiffrées, y compris les objets blob, disques, fichiers, files d’attente et tables.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Toutes les métadonnées d’objet sont également chiffrées.All object metadata is also encrypted.

Le chiffrement n’affecte pas les performances de Stockage Azure.Encryption does not affect Azure Storage performance. Le chiffrement de Stockage Azure n’implique aucun coût supplémentaire.There is no additional cost for Azure Storage encryption.

Pour plus d’informations sur les modules cryptographiques de chiffrement de Stockage Azure, consultez API de chiffrement : nouvelle génération.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Gestion des clésKey management

Vous pouvez compter sur les clés managées par Microsoft pour le chiffrement de votre compte de stockage, ou vous pouvez gérer le chiffrement avec vos propres clés, ainsi qu’avec Azure Key Vault.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Clés managées par MicrosoftMicrosoft-managed keys

Par défaut, votre compte de stockage utilise des clés de chiffrement managées par Microsoft.By default, your storage account uses Microsoft-managed encryption keys. Vous pouvez voir les paramètres de chiffrement de votre compte de stockage dans la section Chiffrement du Portail Azure, comme illustré dans l’image suivante.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Afficher le compte chiffré avec des clés managées par Microsoft

Clés managées par le clientCustomer-managed keys

Vous pouvez gérer le chiffrement du Stockage Azure avec des clés managées par le client.You can manage Azure Storage encryption with customer-managed keys. Les clés managées par le client vous offrent plus de flexibilité pour créer, faire pivoter, désactiver et révoquer des contrôles d’accès.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Vous pouvez également effectuer un audit sur les clés de chiffrement utilisées pour protéger vos données.You can also audit the encryption keys used to protect your data.

Utilisez Azure Key Vault pour gérer vos clés et effectuez un audit d’utilisation de votre clé.Use Azure Key Vault to manage your keys and audit your key usage. Vous pouvez créer vos propres clés et les stocker dans un coffre de clés, ou utiliser les API d’Azure Key Vault pour générer des clés.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Le compte de stockage et le coffre de clés doivent se trouver dans la même région, mais ils peuvent appartenir à des abonnements différents.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Pour révoquer l’accès aux clés managées par le client, consultez Azure Key Vault PowerShell et Azure Key Vault CLI.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. La révocation de l’accès bloque efficacement l’accès à toutes les données dans le compte de stockage, car la clé de chiffrement n’est pas accessible au Stockage Azure.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Pour savoir comment utiliser des clés managées par le client avec le Stockage Azure, consultez un de ces articles :To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Important

Les clés managées par le client s’appuient sur des identités managées pour ressources Azure, une fonctionnalité d’Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Lorsque vous transférez un abonnement d’un répertoire Azure AD vers un autre, les identités managées ne sont pas mises à jour et les clés managées par le client peuvent ne plus fonctionner.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. Pour plus d’informations, consultez Transfert d’un abonnement entre des répertoires Azure AD dans FAQ et problèmes connus en lien avec les identités managées pour ressources Azure.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Notes

Les clés managées par le client ne sont pas prises en charge pour des disques managés Azure.Customer-managed keys are not supported for Azure managed disks.

Chiffrement du Stockage Azure et chiffrement de disqueAzure Storage encryption versus disk encryption

Avec le chiffrement du Stockage Azure, tous les comptes de Stockage Azure et les ressources qu’ils contiennent sont chiffrés, y compris les objets blob de pages qui stockent des disques de machine virtuelle Azure.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. Les disques de machine virtuelle Azure peuvent également être chiffrés avec Azure Disk Encryption.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Azure Disk Encryption utilise les fonctionnalités standard BitLocker sur Windows et DM-Crypt sur Linux pour fournir des solutions de chiffrement basées sur le système d’exploitation qui sont intégrées à Azure Key Vault.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Étapes suivantesNext steps