Utiliser des clés gérées par le client dans Azure Key Vault pour Azure Data Box
Azure Data Box protège la clé de déverrouillage de l’appareil (également appelée mot de passe de l’appareil). Cette dernière est utilisée pour verrouiller un appareil via une clé de chiffrement. Par défaut, cette clé de chiffrement est une clé gérée par Microsoft. Pour plus de contrôle, vous pouvez utiliser une clé gérée par le client.
L’utilisation d’une clé gérée par le client n’affecte pas la manière dont les données de l’appareil sont chiffrées. Elle affecte uniquement le mode de chiffrement de la clé de déverrouillage de l’appareil.
Pour conserver ce niveau de contrôle tout au long du processus de commande, utilisez une clé gérée par le client lorsque vous créez votre commande. Pour plus d’informations, consultez Tutoriel : Commander Azure Data Box.
Cet article explique comment activer une clé gérée par le client pour votre commande Data Box existante dans le portail Azure. Vous y découvrirez comment modifier le coffre de clés, la clé, la version ou l’identité de votre clé gérée par le client actuelle, ou rebasculer vers une clé gérée par Microsoft.
Cet article s’applique aux appareils Azure Data Box et Azure Data Box Heavy.
Spécifications
Dans le cadre d’une commande Data Box, la clé gérée par le client doit respecter les conditions suivantes :
- La clé doit être créée et stockée dans une instance Azure Key Vault pour laquelle les fonctionnalités Suppression réversible et Ne pas vider sont activées. Pour plus d’informations, consultez la page Qu’est-ce qu’Azure Key Vault ? Vous pouvez créer un coffre de clés et une clé lors de la création ou de la mise à jour de votre commande.
- La clé doit correspondre à une clé RSA d’une taille de 2048 ou supérieure.
- Vous devez activer les autorisations
Get,UnwrapKeyetWrapKeypour la clé dans Azure Key Vault. Les autorisations doivent rester en place pendant la durée de vie de la commande. Dans le cas contraire, la clé gérée par le client n’est pas accessible au début de la phase de copie des données.
Activer la clé
Afin d’activer un clé gérée par le client pour votre commande Data Box existante dans le portail Azure, procédez comme suit :
Accédez à l’écran Vue d’ensemble de votre commande Data Box.
Accédez à Paramètres > Chiffrement, puis sélectionnez Clé gérée par le client. Sélectionnez ensuite Sélectionner une clé et un coffre de clés.
Dans l’écran Sélectionner une clé dans Azure Key Vault, votre abonnement est automatiquement renseigné.
Pour Coffre de clés, vous pouvez sélectionner un coffre de clés existant dans la liste déroulante ou sélectionner Créer nouveau pour créer un nouveau coffre de clés.
Pour créer un coffre de clés, entrez l’abonnement, le groupe de ressources, le nom du coffre de clés et autres informations dans l’écran Créer un coffre de clés. Dans Options de récupération, assurez-vous que les options Suppression réversible et Protection contre le vidage sont activées. Sélectionnez ensuite Vérifier + créer.
Passez en revue les informations de votre coffre de clés, puis sélectionnez Créer. Patientez quelques minutes avant la fin de la création du coffre de clés.
Dans l’écran Sélectionner une clé dans Azure Key Vault, vous pouvez sélectionner une clé existante dans le coffre de clés ou en créer une nouvelle.
Si vous voulez créer un coffre de clés, sélectionnez Créer. Vous devez utiliser une clé RSA. La taille peut être supérieure ou égale à 2048.
Entrez un nom pour votre nouvelle clé, acceptez les autres valeurs par défaut, puis sélectionnez Créer. Vous serez informé qu’une clé a été créée dans votre coffre de clés.
Pour Version, vous pouvez sélectionner un version de clé existante dans la liste déroulante.
Si vous souhaitez générer une nouvelle version de clé, sélectionnez Créer.
Choisissez les paramètres de la nouvelle version de clé, puis sélectionnez Créer.
Après avoir sélectionné un coffre de clés, une clé et une version de clé, choisissez Sélectionner.
Les paramètres Type de chiffrement affichent le coffre de clés et la clé que vous avez choisis.
Sélectionnez le type d’identité à utiliser pour gérer la clé gérée par le client pour cette ressource. Vous pouvez utiliser l’identité attribuée par le système générée lors de la création de la commande ou choisir une identité attribuée par l’utilisateur.
Une identité attribuée par l’utilisateur est une ressource indépendante que vous pouvez utiliser pour gérer l’accès aux ressources. Pour plus d’informations, consultez Types d’identités managées.
Pour attribuer une identité d’utilisateur, sélectionnez Attribué par l’utilisateur. Sélectionnez ensuite Sélectionner une identité d’utilisateur, puis l’identité managée que vous souhaitez utiliser.
Vous ne pouvez pas créer d’identité d’utilisateur ici. Pour savoir comment procéder, consultez Créer, répertorier, supprimer ou affecter un rôle à une identité managée attribuée par l’utilisateur à l’aide du portail Azure.
L’identité d’utilisateur sélectionnée s’affiche dans les paramètres Type de chiffrement.
Sélectionnez Enregistrer pour enregistrer les paramètres Type de chiffrement mis à jour.
L’URL de la clé est affichée sous Type de chiffrement.
Important
Vous devez activer les autorisations Get, UnwrapKey et WrapKey sur la clé. Pour définir les autorisations dans Azure CLI, consultez az keyvault set-policy.
Modifier la clé
Pour modifier le coffre de clés, la clé et/ou la version de clé pour la clé gérée par le client que vous utilisez actuellement, procédez comme suit :
Dans l’écran Vue d’ensemble de votre commande Data Box, accédez à Paramètres>Chiffrement, puis cliquez sur Modifier la clé.
Choisissez Sélectionner un autre coffre de clés et une autre clé.
L’écran Sélectionner une clé dans le coffre de clés affiche l’abonnement, mais pas de coffre de clés, clé ou version de clé. Vous pouvez procéder aux modifications suivantes :
Sélectionnez une autre clé dans le même coffre de clés. Vous devez sélectionner le coffre de clés avant de sélectionner la clé et la version.
Sélectionnez un autre coffre de clés et attribuez une nouvelle clé.
Modifiez la version de la clé actuelle.
Une fois vos modifications apportées, choisissez Sélectionner.
Sélectionnez Enregistrer.
Important
Vous devez activer les autorisations Get, UnwrapKey et WrapKey sur la clé. Pour définir les autorisations dans Azure CLI, consultez az keyvault set-policy.
Modifier l'identité
Pour modifier l’identité utilisée pour gérer l’accès à la clé gérée par le client dans le cadre de cette commande, procédez comme suit :
Dans l’écran Vue d’ensemble de votre commande Data Box, accédez à Paramètres>Chiffrement.
Apportez l’une des modifications suivantes :
Pour modifier l’identité d’un autre utilisateur, cliquez sur Sélectionnez une autre identité d’utilisateur. Sélectionnez ensuite une autre identité dans le panneau situé à droite de l’écran, puis choisissez Sélectionner.
Pour basculer vers l’identité attribuée par le système générée lors de la création de la commande, sélectionnez Attribuée par le système sous Sélectionner le type d’identité.
Cliquez sur Enregistrer.
Utiliser une clé gérée par Microsoft
Pour passer de l’utilisation d’une clé gérée par le client à une clé gérée par Microsoft pour votre commande, procédez comme suit :
Dans l’écran Vue d’ensemble de votre commande Data Box, accédez à Paramètres>Chiffrement.
Pour Sélectionner le type, sélectionnez Clé gérée par Microsoft.
Cliquez sur Enregistrer.
Résolution des erreurs
Si vous recevez des erreurs liées à votre clé gérée par le client, utilisez le tableau suivant pour résoudre les problèmes.
| Code d'erreur | Détails de l’erreur | Récupérable ? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | Impossible de récupérer la clé d’accès, car la clé gérée par le client est désactivée. | Oui, en activant la version de clé. |
| SsemUserErrorEncryptionKeyExpired | Impossible de récupérer la clé d’accès, car la clé gérée par le client a expiré. | Oui, en activant la version de clé. |
| SsemUserErrorKeyDetailsNotFound | Impossible de récupérer la clé d’accès, car la clé gérée par le client est introuvable. | Si vous avez supprimé le coffre de clés, vous ne pouvez pas récupérer la clé gérée par le client. Si vous avez migré le coffre de clés vers un autre locataire, consultez Modifier l’ID de client du coffre de clés après un déplacement d’abonnement. Si vous avez supprimé le coffre de clés :
Sinon, si le coffre de clés a subi une migration de locataire, oui, il peut être récupéré à l’aide de l’une des étapes ci-dessous :
|
| SsemUserErrorKeyVaultBadRequestException | Une clé gérée par le client a été appliquée, mais l’accès de la clé n’a pas été accordé ou a été révoqué, ou l’accès au coffre de clé est impossible en raison de l’activation du pare-feu. | Ajoutez l’identité sélectionnée à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Si le pare-feu est activé pour le coffre de clés, optez pour une identité attribuée par le système, puis ajoutez une clé gérée par le client. Pour plus d’informations, consultez Activer la clé. |
| SsemUserErrorKeyVaultDetailsNotFound | Impossible de récupérer la clé d’accès, car le coffre de clés associé à la clé gérée par le client est introuvable. | Si vous avez supprimé le coffre de clés, vous ne pouvez pas récupérer la clé gérée par le client. Si vous avez migré le coffre de clés vers un autre locataire, consultez Modifier l’ID de client du coffre de clés après un déplacement d’abonnement. Si vous avez supprimé le coffre de clés :
Sinon, si le coffre de clés a subi une migration de locataire, oui, il peut être récupéré à l’aide de l’une des étapes ci-dessous :
|
| SsemUserErrorSystemAssignedIdentityAbsent | Impossible de récupérer la clé d’accès, car la clé gérée par le client est introuvable. | Oui, case activée si :
|
| SsemUserErrorUserAssignedLimitReached | L'ajout d'une nouvelle identité attribuée par l'utilisateur a échoué, car vous avez atteint la limite d'identités attribuées par l'utilisateur pouvant être ajoutées. | Recommencez l’opération avec moins d’identités d’utilisateur ou supprimez plusieurs identités attribuées par l’utilisateur de la ressource avant de réessayer. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | L'opération d'accès à l'identité managée a échoué. Remarque : cette erreur peut se produire lorsqu’un abonnement est déplacé vers un autre locataire. Le client doit manuellement déplacer l’identité vers le nouveau locataire. |
Essayez d’ajouter une autre identité attribuée par l’utilisateur à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Ou déplacez l’identité vers le nouveau locataire sous lequel l’abonnement est présent. Pour plus d’informations, consultez Activer la clé. |
| SsemUserErrorKekUserIdentityNotFound | Une clé gérée par le client a été appliquée, mais l’identité affectée par l’utilisateur qui a accès à la clé est introuvable dans Active Directory. Remarque : cette erreur peut se produire lorsqu’une identité d’utilisateur est supprimée d’Azure. |
Essayez d’ajouter une autre identité attribuée par l’utilisateur à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Pour plus d’informations, consultez Activer la clé. |
| SsemUserErrorUserAssignedIdentityAbsent | Impossible de récupérer la clé d’accès, car la clé gérée par le client est introuvable. | Impossible d’accéder à la clé gérée par le client. L’identité attribuée par l’utilisateur (UAI) associée à la clé est supprimée ou le type UAI a changé. |
| SsemUserErrorKeyVaultBadRequestException | Une clé gérée par le client a été appliquée, mais l’accès à la clé n’a pas été accordé ou a été révoqué, ou le coffre de clés n’est pas accessible car un pare-feu est activé. | Ajoutez l’identité sélectionnée à votre coffre de clés pour permettre l’accès à la clé gérée par le client. Si le pare-feu est activé pour le coffre de clés, optez pour une identité attribuée par le système, puis ajoutez une clé gérée par le client. Pour plus d’informations, consultez Activer la clé. |
| SsemUserErrorEncryptionKeyTypeNotSupported | Le type de clé de chiffrement n’est pas pris en charge pour l’opération. | Activez un type de chiffrement pris en charge sur la clé (par exemple RSA ou RSA-HSM). Pour plus d’informations, consultez Types de clés, algorithmes et opérations. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | Le coffre de clés n’a pas de protection activée contre la suppression réversible ou la suppression définitive. | Assurez-vous que la protection par suppression réversible et contre la purge sont toutes deux activées sur le coffre de clés. |
| SsemUserErrorInvalidKeyVaultUrl (Ligne de commande uniquement) |
Un URI de coffre de clés non valide a été utilisé. | Récupérez le bon URI de coffre de clés. Pour récupérer l’URI du coffre de clés, utilisez Get-AzKeyVault dans PowerShell. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Seul le protocole HTTPS est pris en charge pour le transfert de l’URI du coffre de clés. | Transmettez l’URI du coffre de clés sur HTTPS. |
| SsemUserErrorKeyVaultUrlInvalidHost | L’hôte d’URI du coffre de clés n’est pas un hôte autorisé dans la région géographique. | Dans le cloud public, l’URI du coffre de clés doit se terminer par vault.azure.net. Dans le cloud Azure Government, l’URI du coffre de clés doit se terminer par vault.usgovcloudapi.net. |
| Erreur générique | Impossible de récupérer la clé d’accès. | Cette erreur est une erreur générique. Contactez le Support Microsoft pour résoudre l’erreur et déterminer les étapes suivantes. |