Créer un compte qui prend en charge les clés gérées par le client pour les tables et les files d’attente

Le stockage Azure chiffre toutes les données dans un compte de stockage au repos. Par défaut, Stockage File d’attente et Stockage Table utilisent une clé qui est limitée au service et gérée par Microsoft. Vous pouvez également choisir d’utiliser des clés gérées par le client pour chiffrer les données des files d’attente ou des tables. Pour utiliser des clés gérées par le client avec des files d’attente et des tables, vous devez d’abord créer un compte de stockage qui utilise une clé de chiffrement limitée au compte et non pas au service. Après avoir créé un compte qui utilise la clé de chiffrement de compte pour les données des files d’attente et des tables, vous pouvez configurer des clés gérées par le client pour ce compte de stockage.

Cet article explique comment créer un compte de stockage qui s’appuie sur une clé limitée au compte. Une fois le compte créé, Microsoft utilise la clé de compte pour chiffrer les données dans le compte et il gère la clé. Vous pouvez par la suite configurer des clés gérées par le client pour le compte pour tirer parti de ces avantages, notamment la capacité à fournir vos propres clés, de mettre à jour la version de la clé, d’effectuer la rotation des clés et de révoquer les contrôles d’accès.

Créer un compte qui utilise la clé de chiffrement de compte

Vous devez configurer un nouveau compte de stockage pour utiliser la clé de chiffrement de compte pour les files d’attente et les tables au moment où vous créez le compte de stockage. L’étendue de la clé de chiffrement ne peut pas être changée après la création du compte.

Le compte de stockage doit être de type universel v2. Vous pouvez créer le compte de stockage et le configurer pour qu’il s’appuie sur la clé de chiffrement de compte en utilisant le portail Azure, PowerShell, Azure CLI ou un modèle Azure Resource Manager.

Pour plus d’informations sur la création d’un compte de stockage, consultez la section Créer un compte de stockage.

Notes

Seul Stockage File d’attente et Stockage Table peuvent être configurés en option pour chiffrer les données avec la clé de chiffrement de compte lors de la création du compte de stockage. Stockage Blob et Azure Files utilisent toujours la clé de chiffrement de compte pour chiffrer les données.

Pour créer un compte de stockage qui s’appuie sur la clé de chiffrement de compte à l’aide du portail Azure, suivez ces étapes :

  1. Dans le menu du portail de gauche, sélectionnez Comptes de stockage pour afficher la liste de vos comptes de stockage.

  2. Sur la page Comptes de stockage, sélectionnez Nouveau.

  3. Renseignez les champs sous l’onglet De base.

  4. Dans l’onglet Avancé, recherchez la section Tables et files d’attente, puis sélectionnez Activer la prise en charge des clés gérées par le client.

    Screenshot showing how to enable customer-managed keys for queues and tables when creating a new account

Après avoir créé un compte qui s’appuie sur la clé de chiffrement de compte, vous pouvez configurer les clés gérées par le client qui sont stockées dans Azure Key Vault ou dans un module de sécurité matériel (HSM). Pour découvrir comment stocker des clés gérées par le client dans un coffre de clés, consultez Configurer le chiffrement avec des clés gérées par le client stockées dans Azure Key Vault. Pour découvrir comment stocker des clés gérées par le client dans un HSM managé, consultez Configurer le chiffrement avec des clés gérées par le client stockées dans Azure Key Vault Managed HSM.

Vérifier la clé de chiffrement de compte

Après avoir créé le compte, vous pouvez vérifier que le compte de stockage utilise une clé de chiffrement étendue au compte, à l’aide du portail Azure, de PowerShell ou d’Azure CLI.

Pour vérifier qu’un service d’un compte de stockage utilise une clé de chiffrement étendue au compte en utilisant le portail Azure, suivez ces étapes :

  1. Accédez à votre nouveau compte de stockage dans le portail Azure.

  2. Dans la section Sécurité + réseau, sélectionnez Chiffrement.

  3. Si le compte de stockage a été créé pour s’appuyer sur la clé de chiffrement de compte, dans l’onglet Chiffrement vous voyez que les clés gérées par le client peuvent être activées pour l’ensemble des quatre services de stockage Azure : objets blob, fichiers, tables et files d’attente.

    Screenshot showing how to verify that the storage account is relying on the account encryption key

Une fois que vous avez vérifié l’utilisation par le compte de stockage d’une clé de chiffrement étendue au compte, vous pouvez activer les clés gérées par le client pour le compte. Les quatre services Azure Storage (bulbes, fichiers, tables et files d'attente) utiliseront alors la clé gérée par le client pour le cryptage.

Tarification et facturation

Un compte de stockage créé pour utiliser une clé de chiffrement limitée au compte est facturé pour la capacité de stockage et les transactions Table à un tarif différent de celui d’un compte qui utilise la clé par défaut limitée au service. Pour plus d’informations, consultez Tarification Stockage Table Azure.

Étapes suivantes