Meilleures pratiques d’utilisation du HSM managéBest practices when using Managed HSM

Contrôler l’accès à votre HSM managéControl Access to your managed HSM

Le HSM managé est un service cloud qui protège les clés de chiffrement.Managed HSM is a cloud service that safeguards encryption keys. Ces données étant sensibles et critiques, veillez à sécuriser l’accès à vos HSM managés en permettant seulement aux applications et utilisateurs autorisés d’y accéder.As these keys are sensitive and business critical, make sure to secure access to your managed HSMs by allowing only authorized applications and users. Cet article fournit une vue d’ensemble du modèle d’accès.This article provides an overview of the access model. Il décrit l’authentification et l’autorisation, ainsi que le contrôle d’accès en fonction du rôle.It explains authentication and authorization, and role-based access control.

  • Créez un groupe de sécurité Azure Active Directory pour les administrateurs HSM (plutôt que de leur attribuer le rôle d’administrateur).Create an Azure Active Directory Security Group for the HSM Administrators (instead of assigning Administrator role to individuals). Cela permet d’éviter un « verrouillage administratif » en cas de suppression d’un compte individuel.This will prevent "administration lock-out" in case of individual account deletion.
  • Verrouillez l’accès à vos groupes d’administration, abonnements, groupes de ressources et HSM managés. Utilisez Azure RBAC pour contrôler l’accès à vos groupes d’administration, abonnements et groupes de ressources.Lock down access to your management groups, subscriptions, resource groups and Managed HSMs - Use Azure RBAC to control access to your management groups, subscriptions, and resource groups
  • Créer des attributions de rôle par clé à l’aide de RBAC local HSM managéCreate per key role assignments using Managed HSM local RBAC
  • Utiliser le principe des privilèges d’accès minimum pour attribuer des rôlesUse least privilege access principal to assign roles

Choisir les régions prenant en charge les zones de disponibilitéChoose regions that support availability zones

  • Pour garantir une haute disponibilité et une résilience de zone optimales, choisissez les régions Azure au sein desquelles les zones de disponibilité sont prises en charge.To ensure best high-availability and zone-resiliency, choose Azure regions where Availability Zones are supported. Ces régions apparaissent en tant que « régions recommandées » dans le portail Azure.These regions appear as "Recommended regions" in the Azure portal.

BackupBackup

  • Veillez à régulièrement sauvegarder votre HSM.Make sure you take regular backups of your HSM. Les sauvegardes peuvent être effectuées au niveau du HSM, ainsi que pour des clés spécifiques.Backups can be done at the HSM level and for specific keys.

Activation de la journalisationTurn on logging

Activer les options de récupérationTurn on recovery options

  • Le suppression réversible est activée par défaut.Soft Delete is on by default.
  • Activez la protection contre le vidage si vous souhaitez vous prémunir contre la suppression forcée du HSM, même après activation de la suppression réversible.Turn on purge protection if you want to guard against force deletion of the HSM even after soft delete is turned on.

Étapes suivantesNext steps