Configurer des clés gérées par le client dans le même locataire pour un nouveau compte de stockage

Article
03/23/2023

Le stockage Azure chiffre toutes les données dans un compte de stockage au repos. Par défaut, les données sont chiffrées avec des clés managées par Microsoft Pour un contrôle supplémentaire des clés de chiffrement, vous pouvez gérer vos propres clés. Les clés gérées par le client doivent être stockées dans un coffre de clés Azure Key Vault ou dans un module de sécurité matériel (HSM) géré par Azure Key Vault.

Cet article montre comment configurer le chiffrement avec des clés gérées par le client au moment où vous créez un compte de stockage. Les clés gérées par le client doivent être stockées dans un coffre de clés.

Pour savoir comment configurer des clés gérées par le client pour un compte de stockage existant, consultez Configurer des clés gérées par le client dans un coffre de clés Azure pour un compte de stockage existant.

Notes

Azure Key Vault et le module HSM managé par Azure Key Vault prennent en charge les mêmes API et interfaces de gestion de configuration des clés gérées par le client. Toute action prise en charge par Azure Key Vault est également prise en charge par HSM managé Azure Key Vault.

Configurer le coffre de clés

Vous pouvez utiliser un coffre de clés nouveau ou existant pour stocker les clés gérées par le client. Le compte de stockage et le coffre de clés peuvent se trouver dans des régions ou des abonnements différents dans le même locataire. Pour en savoir plus sur Azure Key Vault, consultez Vue d’ensemble d’Azure Key Vault et Qu’est-ce qu’Azure Key Vault ?.

L’utilisation de clés gérées par le client avec le chiffrement Azure Storage requiert que la suppression réversible et la protection contre le vidage soient activées pour le coffre de clés. Lorsque vous créez un coffre de clés, la suppression réversible est activée par défaut et vous ne pouvez pas la désactiver. Vous pouvez activer la protection contre le vidage lorsque vous créez le coffre de clés ou après la création de celui-ci.

Azure Key Vault prend en charge l’autorisation avec le contrôle d’accès en fonction du rôle (RBAC) Azure via un modèle d’autorisation Azure RBAC. Microsoft recommande d’utiliser le modèle d’autorisation Azure RBAC sur les stratégies d’accès au coffre de clés. Pour plus d’informations, consultez Accorder à des applications l’autorisation d’accéder à un coffre de clés Azure en utilisant le RBAC Azure.

Pour en savoir plus sur la création d’un coffre de clés via le portail Azure, consultez Démarrage rapide : Créer un coffre de clés avec le portail Azure. Lorsque vous créez le coffre de clés, sélectionnez Activer la protection contre le vidage, comme illustré dans l’image suivante.

Capture d’écran montrant comment activer la protection contre la suppression définitive lors de la création d’un coffre de clés.

Pour activer la protection contre le vidage sur un coffre de clés existant, procédez comme suit :

Accédez à votre coffre de clés dans le portail Azure.
Sous Paramètres, choisissez Propriétés.
Dans la section Protection contre le vidage, choisissez Activer la protection contre le vidage.

Pour créer un coffre de clés à l’aide de PowerShell, installez la version 2.0.0 ou une version ultérieure du module PowerShell Az.KeyVault. Appelez ensuite New-AzKeyVault pour créer un coffre de clés. Dans les versions 2.0.0 et ultérieures du module Az.KeyVault, la suppression réversible est activée par défaut lorsque vous créez un coffre de clés.

L’exemple suivant crée un coffre de clés pour lequel la suppression réversible et la protection contre le vidage sont activées. Le modèle d’autorisation du coffre de clés est défini pour utiliser le RBAC Azure. N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Pour savoir comment activer la protection contre le vidage sur un coffre de clés existant avec PowerShell, consultez Présentation de la récupération avec Azure Key Vault.

Une fois que vous avez créé le coffre de clés, vous devez vous attribuer le rôle Agent de chiffrement Key Vault. Ce rôle vous permet de créer une clé dans le coffre de clés. L’exemple suivant attribue ce rôle à un utilisateur, limité au coffre de clés :

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Pour plus d’informations sur l’attribution d’un rôle RBAC avec PowerShell, consultez Attribuer des rôles Azure à l’aide d’Azure PowerShell.

Pour créer un coffre de clés avec Azure CLI, appelez az keyvault create. L’exemple suivant crée un coffre de clés pour lequel la suppression réversible et la protection contre le vidage sont activées. Le modèle d’autorisation du coffre de clés est défini pour utiliser le RBAC Azure. N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Pour savoir comment activer la protection contre le vidage sur un coffre de clés existant avec Azure CLI, consultez Présentation de la récupération avec Azure Key Vault.

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Pour plus d’informations sur l’attribution d’un rôle RBAC avec Azure CLI, consultez Attribuer des rôles Azure à l’aide d’Azure CLI.

Ajouter une clé

Ensuite, ajoutez une clé au coffre de clés. Avant d’ajouter la clé, assurez-vous que vous vous êtes attribué le rôle Agent de chiffrement Key Vault.

Le chiffrement du service Stockage Azure prend en charge les clés RSA et RSA-HSM dans les tailles 2048, 3072 et 4096. Pour plus d’informations sur les types de clés pris en charge, consultez À propos des clés.

Pour savoir comment ajouter une clé avec le portail Azure, consultez Démarrage rapide : Définir et récupérer une clé dans Azure Key Vault avec le portail Azure.

Pour ajouter une clé avec PowerShell, appelez la cmdlet Add-AzKeyVaultKey. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Pour ajouter une clé avec Azure CLI, appelez la commande az keyvault key create. N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Utiliser une identité managée affectée par l’utilisateur pour autoriser l’accès au coffre de clés

Lorsque vous activez des clés gérées par le client pour un nouveau compte de stockage, vous devez spécifier une identité managée affectée par l’utilisateur. Un compte de stockage existant prend en charge l’utilisation d’une identité managée affectée par l’utilisateur ou d’une identité managée affectée par le système pour la configuration des clés gérées par le client.

Lorsque vous configurez des clés gérées par le client avec une identité managée affectée par l’utilisateur, celle-ci est utilisée pour autoriser l’accès au coffre de clés contenant la clé. Vous devez créer l’identité affectée par l’utilisateur avant de configurer les clés gérées par le client.

Une identité managée affectée par l’utilisateur est créée en tant que ressource Azure autonome. Pour en savoir plus sur les identités managées affectées par l’utilisateur, consultez Types d’identités managées. Pour plus d’informations sur la création et la gestion d’une identité managée affectée par l’utilisateur, consulter Gérer les identités managées affectées par l’utilisateur.

L’identité managée affectée par l’utilisateur doit avoir les autorisations d’accès à la clé stockée dans le coffre de clés. Attribuez le rôle Utilisateur du service de chiffrement Key Vault à l’identité managée affectée par l’utilisateur avec l’étendue du coffre de clés pour accorder ces autorisations.

Avant de pouvoir configurer des clés gérées par le client avec une identité managée affectée par l’utilisateur, vous devez attribuer le rôle Utilisateur du service de chiffrement Key Vault à l’identité managée affectée par l’utilisateur, étendue au coffre de clés. Ce rôle accorde à l’identité managée affectée par l’utilisateur des autorisations d’accès à la clé stockée dans le coffre de clés. Pour plus d’informations sur l’attribution de rôles RBAC Azure avec le portail Azure, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Lorsque vous configurez des clés gérées par le client avec le portail Azure, vous pouvez sélectionner une identité affectée par l’utilisateur existante via l’interface utilisateur du portail.

L’exemple suivant montre comment récupérer l’identité managée affectée par l’utilisateur et lui attribuer le rôle RBAC requis, limité au coffre de clés. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents :

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Configurer des clés gérées par le client pour un nouveau compte de stockage

Quand vous configurez le chiffrement avec des clés gérées par le client pour un nouveau compte de stockage, vous pouvez choisir de mettre à jour automatiquement la version de clé utilisée pour le chiffrement du service Stockage Azure chaque fois qu’une nouvelle version est disponible dans le coffre de clés associé. Vous pouvez également spécifier explicitement une version de clé à utiliser pour le chiffrement jusqu’à ce que la version de clé soit mise à jour manuellement.

Vous devez utiliser une identité managée affectée par l’utilisateur existante pour autoriser l’accès au coffre de clés lorsque vous configurez des clés gérées par le client lors de la création du compte de stockage. L’identité managée affectée par l’utilisateur doit avoir les autorisations appropriées pour accéder au coffre de clés. Pour plus d’informations, consultez S’authentifier auprès d’Azure Key Vault.

Configurer le chiffrement pour la mise à jour automatique des versions de clé

Le stockage Azure peut automatiquement mettre à jour la clé gérée par le client qui est utilisée pour le chiffrement afin d’utiliser la dernière version de la clé dans le coffre de clés. Le stockage Azure vérifie quotidiennement dans le coffre de clés s’il y a une nouvelle version de la clé. Lorsqu’une nouvelle version est disponible, le stockage Azure commence automatiquement à utiliser la dernière version de la clé pour le chiffrement.

Important

Le stockage Azure vérifie le coffre de clés pour une nouvelle version de clé une fois par jour. Lorsque vous changez de clé, veillez à patienter 24 heures avant de désactiver l’ancienne version.

Pour configurer les clés gérées par le client pour un nouveau compte de stockage avec une mise à jour automatique de la version de la clé, procédez comme suit :

Dans le portail Azure, accédez à la page Comptes de stockage, puis sélectionnez le bouton Créer pour créer un compte.
Suivez les étapes décrites dans Créer un compte de stockage pour remplir les champs sous les onglets Général, Avancé, Réseau et Protection des données.
Sous l’onglet Chiffrement, indiquez les services pour lesquels vous voulez activer la prise en charge des clés gérées par le client dans le champ Activer la prise en charge des clés gérées par le client.
Dans le champ Type de chiffrement, sélectionnez Clés gérées par le client (CMK).
Dans le champ Clé de chiffrement, sélectionnez Sélectionner un coffre de clés et une clé, puis spécifiez le coffre de clés et la clé.
Pour le champ Identité affectée par l’utilisateur, sélectionnez une identité managée affectée par l’utilisateur existante.
Sélectionnez le bouton Vérifier pour valider et créer le compte.

Vous pouvez également configurer les clés gérées par le client avec la mise à jour manuelle de la version de clé lorsque vous créez un compte de stockage. Suivez les étapes décrites dans Configurer le chiffrement pour la mise à jour manuelle des versions de clé.

Pour configurer des clés gérées par le client pour un nouveau compte de stockage avec mise à jour automatique de la version de la clé, appelez New-AzStorageAccount, comme le montre l’exemple suivant. Utilisez la variable que vous avez créée précédemment pour l’ID de ressource pour l’identité managée affectée par l’utilisateur. Vous aurez également besoin de l’URI du coffre de clés et du nom de clé :

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Pour configurer des clés gérées par le client pour un nouveau compte de stockage avec mise à jour automatique de la version de la clé, appelez az storage account create, comme le montre l’exemple suivant. Utilisez la variable que vous avez créée précédemment pour l’ID de ressource pour l’identité managée affectée par l’utilisateur. Vous aurez également besoin de l’URI du coffre de clés et du nom de clé :

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Configurer le chiffrement pour la mise à jour manuelle des versions de clé

Si vous préférez mettre à jour manuellement la version de la clé, spécifiez explicitement la version utilisée pour configurer le chiffrement avec des clés gérées par le client au moment de la création du compte de stockage. Dans ce cas, le Stockage Azure ne met pas automatiquement à jour la version de clé lors de la création d’une version dans le coffre de clés. Pour utiliser une nouvelle version de clé, vous devez mettre à jour manuellement la version utilisée pour le chiffrement Stockage Azure.

Pour configurer des clés gérées par le client avec la mise à jour manuelle de la version de la clé dans le portail Azure, spécifiez l’URI de la clé, avec la version de la clé, au moment où vous créez le compte de stockage. Pour spécifier une clé en tant qu’URI, procédez comme suit :

Dans le portail Azure, accédez à la page Comptes de stockage, puis sélectionnez le bouton Créer pour créer un compte.
Suivez les étapes décrites dans Créer un compte de stockage pour remplir les champs sous les onglets Général, Avancé, Réseau et Protection des données.
Sous l’onglet Chiffrement, indiquez les services pour lesquels vous voulez activer la prise en charge des clés gérées par le client dans le champ Activer la prise en charge des clés gérées par le client.
Dans le champ Type de chiffrement, sélectionnez Clés gérées par le client (CMK).
Pour localiser l’URI de la clé dans le portail Azure, naviguez jusqu'à votre coffre de clés, puis sélectionnez le paramètre Clés. Sélectionnez la clé souhaitée, puis cliquez dessus pour afficher ses versions. Sélectionnez une version de clé pour afficher les paramètres de cette version.
Copiez la valeur du champ Identificateur de clé, qui fournit l’URI.
Dans les paramètres de clé de chiffrement de votre compte de stockage, choisissez l’option Entrer l’URI de la clé.
Collez l’URI que vous avez copié dans le champ URI de clé. Incluez la version de la clé dans l’URI pour configurer la mise à jour manuelle de la version de la clé.
Spécifiez une identité managée affectée par l’utilisateur en choisissant le lien Sélectionner une identité.
Sélectionnez le bouton Vérifier pour valider et créer le compte.

Pour configurer des clés gérées par le client avec la mise à jour manuelle de la version de la clé, spécifiez explicitement la version de la clé lorsque vous configurez le chiffrement au moment de la création du compte de stockage. Appelez Set-AzStorageAccount pour mettre à jour les paramètres de chiffrement du compte de stockage, comme indiqué dans l’exemple suivant, et incluez l’option -KeyvaultEncryption pour activer les clés gérées par le client pour le compte de stockage.

N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Quand vous mettez à jour manuellement la version de clé, vous devez mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version. Tout d’abord, appelez la commande Get-AzKeyVaultKey pour obtenir la dernière version de la clé. Appelez ensuite la commande Set-AzStorageAccount pour mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version de la clé, comme indiqué dans l’exemple précédent.

Pour configurer des clés gérées par le client avec la mise à jour manuelle de la version de la clé, spécifiez explicitement la version de la clé lorsque vous configurez le chiffrement au moment de la création du compte de stockage. Pour mettre à jour les paramètres de chiffrement du compte de stockage, appelez az storage account update, comme illustré dans l’exemple suivant. Incluez le paramètre --encryption-key-source et définissez-le sur Microsoft.Keyvault pour activer les clés gérées par le client pour le compte.

N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Quand vous mettez à jour manuellement la version de clé, vous devez mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version. Tout d’abord, lancez une requête pour l’URI du coffre de clés en appelant az keyvault showet pour la version de la clé en appelant az keyvault key list-versions. Appelez ensuite az storage account update pour mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version de la clé, comme indiqué dans l’exemple précédent.

Modifier la clé

Vous pouvez modifier la clé que vous utilisez pour le chiffrement du service Stockage Azure à tout moment.

Notes

Quand vous modifiez la clé ou la version de clé, la protection de la clé de chiffrement racine change, mais les données de votre compte de stockage Azure ne restent pas chiffrées tout le temps. Aucune action supplémentaire n’est requise de votre part pour garantir la protection de vos données. La modification de la clé ou la rotation de la version de la clé n’a pas d’impact sur le niveau de performance. Aucun temps d’arrêt n’est associé à la rotation de la version de la clé ou à la modification de clé.

Pour modifier la clé avec le portail Azure, procédez comme suit :

Accédez à votre compte de stockage et affichez les paramètres de chiffrement.
Sélectionnez le coffre de clés, puis choisissez une nouvelle clé.
Enregistrez vos modifications.

Si la nouvelle clé se trouve dans un autre coffre de clés, vous devez accorder à l’identité managée l’accès à la clé dans le nouveau coffre. Si vous choisissez la mise à jour manuelle de la version de la clé, vous devez également mettre à jour l’URI du coffre de clés.

Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client

Pour révoquer temporairement l’accès à un compte de stockage qui utilise des clés gérées par le client, désactivez la clé actuellement utilisée dans le coffre de clés. Aucun impact sur les performances ni aucun temps d’arrêt n’est associé à la désactivation et à la réactivation de la clé.

Après la désactivation de la clé, les clients ne peuvent pas appeler les opérations de lecture ou d’écriture dans un objet blob ou ses métadonnées. Pour plus d’informations sur les opérations qui échouent, consultez la section Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client.

Attention

Lorsque vous désactivez la clé dans le coffre de clés, les données de votre compte de stockage Azure restent chiffrées, mais elles deviennent inaccessibles jusqu’à ce que vous réactiviez la clé.

Pour désactiver un clé gérée par le client dans le portail Azure, procédez comme suit :

Accédez au coffre de clés qui contient la clé.
Sous Objets, sélectionnez Clés.
Cliquez avec le bouton droit sur la clé, puis sélectionnez Désactiver.

Pour révoquer une clé gérée par le client avec PowerShell, appelez la cmdlet Update-AzKeyVaultKey, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs pour définir les variables et d’utiliser les variables définies dans les exemples précédents.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Pour révoquer une clé gérée par le client avec Azure CLI, appelez la commande az keyvault key set-attributes, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs pour définir les variables et d’utiliser les variables définies dans les exemples précédents.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

La désactivation de la clé entraîne l’échec des tentatives d’accès aux données du compte de stockage avec le code d’erreur 403 (interdit). Pour obtenir la liste des opérations de compte de stockage qui seront affectées par la désactivation de la clé, consultez Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client.

Revenir aux clés gérées par Microsoft

Vous pouvez passer des clés gérées par le client aux clés gérées par Microsoft à tout moment, à l’aide du portail Azure, de PowerShell ou d’Azure CLI.

Pour passer des clés gérées par le client aux clés gérées par Microsoft dans le portail Azure, procédez comme suit :

Accédez à votre compte de stockage.
Sous Sécurité + mise en réseau, sélectionnez Chiffrement.
Définissez le Type de chiffrement sur Clés gérées par Microsoft.

Pour passer des clés gérées par le client aux clés gérées par Microsoft avec PowerShell, appelez Set-AzStorageAccount avec l’option -StorageEncryption, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption

Pour passer des clés gérées par le client aux clés gérées par Microsoft avec Azure CLI, appelez az storage account update et définissez --encryption-key-source parameter sur Microsoft.Storage, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage