Configurer des clés managées par le client dans le même locataire pour un compte de stockage existant

Le stockage Azure chiffre toutes les données dans un compte de stockage au repos. Par défaut, les données sont chiffrées avec des clés managées par Microsoft Pour mieux contrôler les clés de chiffrement, vous pouvez gérer vos propres clés. Les clés gérées par le client doivent être stockées dans Azure Key Vault ou dans un modèle de sécurité matérielle géré par Key Vault (HSM).

Cet article explique comment configurer le chiffrement avec des clés managées par le client d’un compte de stockage existant lorsque le compte de stockage et le coffre de clés se trouvent dans le même locataire. Les clés gérées par le client doivent être stockées dans un coffre de clés.

Pour savoir comment configurer des clés gérées par le client pour un nouveau compte de stockage, consultez Configurer des clés gérées par le client dans un coffre de clés Azure pour un nouveau compte de stockage.

Pour savoir comment configurer le chiffrement avec des clés gérées par le client stockées dans un HSM managé, consultez Configurer le chiffrement avec des clés gérées par le client stockées dans un HSM managé par Azure Key Vault.

Notes

Azure Key Vault et le module HSM managé par Azure Key Vault prennent en charge les mêmes API et interfaces de gestion de configuration des clés gérées par le client. Toute action prise en charge par Azure Key Vault est également prise en charge par HSM managé Azure Key Vault.

Configurer le coffre de clés

Vous pouvez utiliser un coffre de clés nouveau ou existant pour stocker les clés gérées par le client. Le compte de stockage et le coffre de clés peuvent se trouver dans des régions ou des abonnements différents dans le même locataire. Pour en savoir plus sur Azure Key Vault, consultez Vue d’ensemble d’Azure Key Vault et Qu’est-ce qu’Azure Key Vault ?.

L’utilisation de clés gérées par le client avec le chiffrement Azure Storage requiert que la suppression réversible et la protection contre le vidage soient activées pour le coffre de clés. Lorsque vous créez un coffre de clés, la suppression réversible est activée par défaut et vous ne pouvez pas la désactiver. Vous pouvez activer la protection contre le vidage lorsque vous créez le coffre de clés ou après la création de celui-ci.

Azure Key Vault prend en charge l’autorisation avec le contrôle d’accès en fonction du rôle (RBAC) Azure via un modèle d’autorisation Azure RBAC. Microsoft recommande d’utiliser le modèle d’autorisation Azure RBAC sur les stratégies d’accès au coffre de clés. Pour plus d’informations, consultez Accorder à des applications l’autorisation d’accéder à un coffre de clés Azure en utilisant le RBAC Azure.

Azure portal

Pour en savoir plus sur la création d’un coffre de clés via le portail Azure, consultez Démarrage rapide : Créer un coffre de clés avec le portail Azure. Lorsque vous créez le coffre de clés, sélectionnez Activer la protection contre le vidage, comme illustré dans l’image suivante.

Pour activer la protection contre le vidage sur un coffre de clés existant, procédez comme suit :

1. Accédez à votre coffre de clés dans le portail Azure.
2. Sous Paramètres, choisissez Propriétés.
3. Dans la section Protection contre le vidage, choisissez Activer la protection contre le vidage.

PowerShell

Pour créer un coffre de clés à l’aide de PowerShell, installez la version 2.0.0 ou une version ultérieure du module PowerShell Az.KeyVault. Appelez ensuite New-AzKeyVault pour créer un coffre de clés. Dans les versions 2.0.0 et ultérieures du module Az.KeyVault, la suppression réversible est activée par défaut lorsque vous créez un coffre de clés.

L’exemple suivant crée un coffre de clés pour lequel la suppression réversible et la protection contre le vidage sont activées. Le modèle d’autorisation du coffre de clés est défini pour utiliser le RBAC Azure. N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Pour savoir comment activer la protection contre le vidage sur un coffre de clés existant avec PowerShell, consultez Présentation de la récupération avec Azure Key Vault.

Une fois que vous avez créé le coffre de clés, vous devez vous attribuer le rôle Agent de chiffrement Key Vault. Ce rôle vous permet de créer une clé dans le coffre de clés. L’exemple suivant attribue ce rôle à un utilisateur, limité au coffre de clés :

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Pour plus d’informations sur l’attribution d’un rôle RBAC avec PowerShell, consultez Attribuer des rôles Azure à l’aide d’Azure PowerShell.

Azure CLI

Pour créer un coffre de clés avec Azure CLI, appelez az keyvault create. L’exemple suivant crée un coffre de clés pour lequel la suppression réversible et la protection contre le vidage sont activées. Le modèle d’autorisation du coffre de clés est défini pour utiliser le RBAC Azure. N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Pour savoir comment activer la protection contre le vidage sur un coffre de clés existant avec Azure CLI, consultez Présentation de la récupération avec Azure Key Vault.

Une fois que vous avez créé le coffre de clés, vous devez vous attribuer le rôle Agent de chiffrement Key Vault. Ce rôle vous permet de créer une clé dans le coffre de clés. L’exemple suivant attribue ce rôle à un utilisateur, limité au coffre de clés :

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Pour plus d’informations sur l’attribution d’un rôle RBAC avec Azure CLI, consultez Attribuer des rôles Azure à l’aide d’Azure CLI.

Ajouter une clé

Ensuite, ajoutez une clé au coffre de clés. Avant d’ajouter la clé, assurez-vous que vous vous êtes attribué le rôle Agent de chiffrement Key Vault.

Le chiffrement du service Stockage Azure prend en charge les clés RSA et RSA-HSM dans les tailles 2048, 3072 et 4096. Pour plus d’informations sur les types de clés pris en charge, consultez À propos des clés.

Azure portal

Pour savoir comment ajouter une clé avec le portail Azure, consultez Démarrage rapide : Définir et récupérer une clé dans Azure Key Vault avec le portail Azure.

PowerShell

Pour ajouter une clé avec PowerShell, appelez la cmdlet Add-AzKeyVaultKey. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI

Pour ajouter une clé avec Azure CLI, appelez la commande az keyvault key create. N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Choisir une identité managée pour autoriser l’accès au coffre de clés

Lorsque vous activez les clés gérées par le client pour un compte de stockage existant, vous devez spécifier une identité managée qui sera utilisée pour autoriser l’accès au coffre de clés qui contient la clé. L’identité managée doit être autorisée à accéder à la clé dans le coffre de clés.

L’identité managée qui autorise l’accès au coffre de clés peut être une identité managée affectée par l’utilisateur ou affectée par le système. Pour en savoir plus sur les types d’identités managées affectées par le système et par l’utilisateur, consultez Types d’identités managées.

Utiliser une identité managée affectée par l’utilisateur pour autoriser l’accès

Lorsque vous activez des clés gérées par le client pour un nouveau compte de stockage, vous devez spécifier une identité managée affectée par l’utilisateur. Un compte de stockage existant prend en charge l’utilisation d’une identité managée affectée par l’utilisateur ou d’une identité managée affectée par le système pour la configuration des clés gérées par le client.

Lorsque vous configurez des clés gérées par le client avec une identité managée affectée par l’utilisateur, celle-ci est utilisée pour autoriser l’accès au coffre de clés contenant la clé. Vous devez créer l’identité affectée par l’utilisateur avant de configurer les clés gérées par le client.

Une identité managée affectée par l’utilisateur est créée en tant que ressource Azure autonome. Pour en savoir plus sur les identités managées affectées par l’utilisateur, consultez Types d’identités managées. Pour plus d’informations sur la création et la gestion d’une identité managée affectée par l’utilisateur, consulter Gérer les identités managées affectées par l’utilisateur.

L’identité managée affectée par l’utilisateur doit avoir les autorisations d’accès à la clé stockée dans le coffre de clés. Attribuez le rôle Utilisateur du service de chiffrement Key Vault à l’identité managée affectée par l’utilisateur avec l’étendue du coffre de clés pour accorder ces autorisations.

Azure portal

Avant de pouvoir configurer des clés gérées par le client avec une identité managée affectée par l’utilisateur, vous devez attribuer le rôle Utilisateur du service de chiffrement Key Vault à l’identité managée affectée par l’utilisateur, étendue au coffre de clés. Ce rôle accorde à l’identité managée affectée par l’utilisateur des autorisations d’accès à la clé stockée dans le coffre de clés. Pour plus d’informations sur l’attribution de rôles RBAC Azure avec le portail Azure, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Lorsque vous configurez des clés gérées par le client avec le portail Azure, vous pouvez sélectionner une identité affectée par l’utilisateur existante via l’interface utilisateur du portail.

PowerShell

L’exemple suivant montre comment récupérer l’identité managée affectée par l’utilisateur et lui attribuer le rôle RBAC requis, limité au coffre de clés. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents :

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

L’exemple suivant montre comment récupérer l’identité managée affectée par l’utilisateur et lui attribuer le rôle RBAC requis, limité au coffre de clés. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents :

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Utiliser une identité managée affectée par le système pour autoriser l’accès

Une identité managée affectée par le système est associée à une instance d’un service Azure, dans ce cas, à un compte Stockage Azure. Vous devez affecter explicitement une identité managée affectée par le système à un compte de stockage avant de pouvoir utiliser l’identité managée affectée par le système pour autoriser l’accès au coffre de clés qui contient votre clé gérée par le client.

Seuls les comptes de stockage existants peuvent utiliser une identité affectée par le système pour autoriser l’accès au coffre de clés. Les nouveaux comptes de stockage doivent utiliser une identité affectée par l’utilisateur si des clés gérées par le client sont configurées lors de la création du compte.

L’identité managée affectée par le système doit avoir les autorisations d’accès à la clé stockée dans le coffre de clés. Attribuez le rôle Utilisateur du service de chiffrement de Key Vault à l’identité managée affectée par le système avec l’étendue du coffre de clés pour accorder ces autorisations.

Azure portal

Avant de pouvoir configurer des clés gérées par le client avec une identité managée affectée par le système, vous devez attribuer le rôle Utilisateur du service de chiffrement de Key Vault à l’identité managée affectée par le système, étendue au coffre de clés. Ce rôle accorde à l’identité managée affectée par le système des autorisations d’accès à la clé stockée dans le coffre de clés. Pour plus d’informations sur l’attribution de rôles RBAC Azure avec le portail Azure, consultez Attribuer des rôles Azure à l’aide du portail Azure.

Lorsque vous configurez des clés gérées par le client avec le portail Azure avec une identité managée affectée par le système, l’identité managée affectée par le système est affectée au compte de stockage pour vous.

PowerShell

Pour affecter une identité managée affectée par le système à votre compte de stockage, commencez par appeler Set-AzStorageAccount :

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Ensuite, attribuez à l’identité managée affectée par le système le rôle RBAC requis, limité au coffre de clés. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents :

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Azure CLI

Pour authentifier l’accès au coffre de clés avec une identité managée affectée par le système, commencez par affecter l’identité managée affectée par le système au compte de stockage en appelant az storage account update :

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Ensuite, attribuez à l’identité managée affectée par le système le rôle RBAC requis, limité au coffre de clés. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents :

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Configurer les clés gérées par le client pour un compte existant

Quand vous configurez le chiffrement avec des clés gérées par le client pour un compte de stockage existant, vous pouvez choisir de mettre à jour automatiquement la version de clé utilisée pour le chiffrement du service Stockage Azure chaque fois qu’une nouvelle version est disponible dans le coffre de clés associé. Vous pouvez également spécifier explicitement une version de clé à utiliser pour le chiffrement jusqu’à ce que la version de clé soit mise à jour manuellement.

Lorsque la version de la clé est modifiée, automatiquement ou manuellement, la protection de la clé de chiffrement racine change, mais les données de votre compte stockage Azure restent chiffrées à tout moment. Aucune action supplémentaire n’est requise de votre part pour vous assurer que vos données sont protégées. La rotation de la version de la clé n’a pas d’impact sur les performances. Aucun temps d’arrêt n’est associé à la rotation de la version de la clé.

Vous pouvez utiliser une identité managée affectée par le système ou par l’utilisateur pour autoriser l’accès au coffre de clés lorsque vous configurez les clés gérées par le client pour un compte de stockage existant.

Notes

Pour effectuer la rotation d’une clé, créez une version de la clé dans Azure Key Vault. Le stockage Azure ne gère pas la rotation des clés. Vous devez donc le gérer dans le coffre de clés. Vous pouvez configurer la rotation automatique des clés dans Azure Key Vault ou changer votre clé manuellement.

Configurer le chiffrement pour la mise à jour automatique des versions de clé

Le stockage Azure peut automatiquement mettre à jour la clé gérée par le client qui est utilisée pour le chiffrement afin d’utiliser la dernière version de la clé dans le coffre de clés. Le stockage Azure vérifie quotidiennement dans le coffre de clés s’il y a une nouvelle version de la clé. Lorsqu’une nouvelle version est disponible, le stockage Azure commence automatiquement à utiliser la dernière version de la clé pour le chiffrement.

Important

Le stockage Azure vérifie le coffre de clés pour une nouvelle version de clé une fois par jour. Lorsque vous changez de clé, veillez à patienter 24 heures avant de désactiver l’ancienne version.

Azure portal

Pour configurer les clés gérées par le client d’un compte existant avec mise à jour automatique de la version de la clé sur le Portail Azure, procédez comme suit :

1. Accédez à votre compte de stockage.

2. Sous Sécurité + mise en réseau, sélectionnez Chiffrement. Par défaut, la gestion des clés est définie sur Clés gérées par Microsoft :

   

3. Sélectionnez l’option Clés gérées par le client. Si le compte a été précédemment configuré sur Clés gérées par le client avec mise à jour manuelle de la version de la clé, sélectionnez Modifier la clé en bas de la page.

4. Choisissez l’option Sélectionner dans le coffre de clés.

5. Sélectionnez Sélectionner un coffre de clés et une clé.

6. Sélectionnez le coffre de clés contenant la clé que vous souhaitez utiliser. Vous pouvez également créer un coffre de clés.

7. Sélectionnez la clé dans le coffre de clés. Vous pouvez également créer une clé.

   

8. Sélectionnez le type d’identité à utiliser pour authentifier l’accès au coffre de clés. Les options incluent Affectée au par le système (valeur par défaut) ou Affectée par l’utilisateur. Pour en savoir plus sur chaque type d’identité managée, consultez Types d’identité managée.

   1. Si vous sélectionnez Affectée par le système, l’identité managée affectée par le système est créée en arrière-plan, si elle n’existe pas encore.
   2. Si vous sélectionnez Affectée par l’utilisateur, vous devez sélectionner une identité affectée par l’utilisateur existante qui dispose des autorisations pour accéder au coffre de clés. Pour plus d’informations sur la création d’une identité affectée par l’utilisateur, consulter Gérer les identités managées affectées par l’utilisateur.

   

9. Enregistrez vos modifications.

Après avoir spécifié la clé, le portail Azure indique que la mise à jour automatique de la version de la clé est activée, et affiche la version de clé en cours d’utilisation pour le chiffrement. Le portail affiche également le type d’identité managée utilisé pour autoriser l’accès au coffre de clés et l’ID du principal pour l’identité managée.

PowerShell

Pour configurer des clés gérées par le client pour un compte existant avec la mise à jour automatique de la version de la clé avec PowerShell, installez le module Az.Storage, version 2.0.0 ou ultérieure.

Ensuite, appelez la commande Set-AzStorageAccount pour mettre à jour les paramètres de chiffrement du compte de stockage. Incluez le paramètre KeyvaultEncryption pour activer les clés gérées par le client du compte de stockage. Définissez KeyVersion sur une chaîne vide pour activer la mise à jour automatique de la version de la clé. Si le compte de stockage a été précédemment configuré pour les clés gérées par le client d’une version spécifique, définir la version de la clé sur une chaîne vide a pour effet d’activer la mise à jour automatique de la version de clé.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Azure CLI

Pour configurer des clés gérées par le client pour un compte existant avec la mise à jour automatique de la version de la clé avec Azure CLI, installez Azure CLI version 2.4.0 ou ultérieure. Pour plus d’informations, consultez la rubrique Installation de l’interface de ligne de commande Azure (CLI).

Ensuite, appelez az storage account update pour mettre à jour les paramètres de chiffrement du compte de stockage. Incluez le paramètre --encryption-key-source et définissez-le sur Microsoft.Keyvault pour activer les clés gérées par le client du compte. Définissez encryption-key-version sur une chaîne vide pour activer la mise à jour automatique de la version de la clé. Si le compte de stockage a été précédemment configuré pour les clés gérées par le client d’une version spécifique, définir la version de la clé sur une chaîne vide a pour effet d’activer la mise à jour automatique de la version de clé.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Configurer le chiffrement pour la mise à jour manuelle des versions de clé

Si vous préférez mettre à jour manuellement la version de la clé, spécifiez explicitement la version au moment où vous configurez le chiffrement avec les clés gérées par le client. Dans ce cas, le Stockage Azure ne met pas automatiquement à jour la version de clé lors de la création d’une version dans le coffre de clés. Pour utiliser une nouvelle version de clé, vous devez mettre à jour manuellement la version utilisée pour le chiffrement Stockage Azure.

Azure portal

Pour configurer les clés gérées par le client avec la mise à jour manuelle de la version de la clé dans le portail Azure, spécifiez l’URI de la clé, en incluant la version. Pour spécifier une clé en tant qu’URI, procédez comme suit :

1. Pour localiser l’URI de la clé dans le portail Azure, naviguez jusqu'à votre coffre de clés, puis sélectionnez le paramètre Clés. Sélectionnez la clé souhaitée, puis cliquez dessus pour afficher ses versions. Sélectionnez une version de clé pour afficher les paramètres de cette version.

2. Copiez la valeur du champ Identificateur de clé, qui fournit l’URI.

   

3. Dans les paramètres de clé de chiffrement de votre compte de stockage, choisissez l’option Entrer l’URI de la clé.

4. Collez l’URI que vous avez copié dans le champ URI de clé. Omettez la version de la clé dans l’URI pour activer la mise à jour automatique de la version de la clé.

   

5. Spécifiez l’abonnement qui contient le coffre de clés.

6. Spécifiez l’identité managée affectée par le système ou par l’utilisateur.

7. Enregistrez vos modifications.

PowerShell

Pour configurer des clés gérées par le client avec la mise à jour manuelle de la version de la clé, fournissez explicitement la version de la clé lorsque vous configurez le chiffrement pour le compte de stockage. Appelez Set-AzStorageAccount pour mettre à jour les paramètres de chiffrement du compte de stockage, comme indiqué dans l’exemple suivant, et incluez l’option -KeyvaultEncryption pour activer les clés gérées par le client pour le compte de stockage.

N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Quand vous mettez à jour manuellement la version de clé, vous devez alors mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version. Tout d’abord, appelez la commande Get-AzKeyVaultKey pour obtenir la dernière version de la clé. Appelez ensuite la commande Set-AzStorageAccount pour mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version de la clé, comme indiqué dans l’exemple précédent.

Azure CLI

Pour configurer des clés gérées par le client avec la mise à jour manuelle de la version de la clé, fournissez explicitement la version de la clé lorsque vous configurez le chiffrement pour le compte de stockage. Pour mettre à jour les paramètres de chiffrement du compte de stockage, appelez az storage account update, comme illustré dans l’exemple suivant. Incluez le paramètre --encryption-key-source et définissez-le sur Microsoft.Keyvault pour activer les clés gérées par le client pour le compte.

N’oubliez pas de remplacer les valeurs d’espace réservé entre crochets par vos propres valeurs.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Quand vous mettez à jour manuellement la version de clé, vous devez alors mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version. Tout d’abord, lancez une requête pour l’URI du coffre de clés en appelant az keyvault showet pour la version de la clé en appelant az keyvault key list-versions. Appelez ensuite az storage account update pour mettre à jour les paramètres de chiffrement du compte de stockage afin d’utiliser la nouvelle version de la clé, comme indiqué dans l’exemple précédent.

Modifier la clé

Vous pouvez modifier la clé que vous utilisez pour le chiffrement du service Stockage Azure à tout moment.

Notes

Quand vous modifiez la clé ou la version de clé, la protection de la clé de chiffrement racine change, mais les données de votre compte de stockage Azure ne restent pas chiffrées tout le temps. Aucune action supplémentaire n’est requise de votre part pour garantir la protection de vos données. La modification de la clé ou la rotation de la version de la clé n’a pas d’impact sur le niveau de performance. Aucun temps d’arrêt n’est associé à la rotation de la version de la clé ou à la modification de clé.

Azure portal

Pour modifier la clé avec le portail Azure, procédez comme suit :

1. Accédez à votre compte de stockage et affichez les paramètres de chiffrement.
2. Sélectionnez le coffre de clés, puis choisissez une nouvelle clé.
3. Enregistrez vos modifications.

PowerShell

Pour changer la clé avec PowerShell, appelez Set-AzStorageAccount, puis entrez le nom et la version de la nouvelle clé. Si la nouvelle clé se trouve dans un coffre de clés différent, vous devez également mettre à jour l’URI du coffre de clés.

Azure CLI

Pour changer la clé avec Azure CLI, appelez az storage account update, puis entrez le nom et la version de la nouvelle clé. Si la nouvelle clé se trouve dans un coffre de clés différent, vous devez également mettre à jour l’URI du coffre de clés.

Si la nouvelle clé se trouve dans un autre coffre de clés, vous devez accorder à l’identité managée l’accès à la clé dans le nouveau coffre. Si vous optez pour la mise à jour manuelle de la version de la clé, vous devez également mettre à jour l’URI du coffre de clés.

Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client

Pour révoquer temporairement l’accès à un compte de stockage qui utilise des clés gérées par le client, désactivez la clé actuellement utilisée dans le coffre de clés. Aucun impact sur les performances ni aucun temps d’arrêt n’est associé à la désactivation et à la réactivation de la clé.

Après la désactivation de la clé, les clients ne peuvent pas appeler les opérations de lecture ou d’écriture dans un objet blob ou ses métadonnées. Pour plus d’informations sur les opérations qui échouent, consultez la section Révoquer l’accès à un compte de stockage qui utilise des clés gérées par le client.

Attention

Lorsque vous désactivez la clé dans le coffre de clés, les données de votre compte de stockage Azure restent chiffrées, mais elles deviennent inaccessibles jusqu’à ce que vous réactiviez la clé.

Azure portal

Pour désactiver un clé gérée par le client dans le portail Azure, procédez comme suit :

1. Accédez au coffre de clés qui contient la clé.

2. Sous Objets, sélectionnez Clés.

3. Cliquez avec le bouton droit sur la clé, puis sélectionnez Désactiver.

   

PowerShell

Pour révoquer une clé gérée par le client avec PowerShell, appelez la cmdlet Update-AzKeyVaultKey, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs pour définir les variables et d’utiliser les variables définies dans les exemples précédents.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI

Pour révoquer une clé gérée par le client avec Azure CLI, appelez la commande az keyvault key set-attributes, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs pour définir les variables et d’utiliser les variables définies dans les exemples précédents.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Revenir aux clés gérées par Microsoft

Vous pouvez passer des clés gérées par le client aux clés gérées par Microsoft à tout moment, à l’aide du portail Azure, de PowerShell ou d’Azure CLI.

Azure portal

Pour passer des clés gérées par le client aux clés gérées par Microsoft dans le portail Azure, procédez comme suit :

1. Accédez à votre compte de stockage.

2. Sous Sécurité + mise en réseau, sélectionnez Chiffrement.

3. Définissez le Type de chiffrement sur Clés gérées par Microsoft.

   

PowerShell

Pour passer des clés gérées par le client aux clés gérées par Microsoft avec PowerShell, appelez Set-AzStorageAccount avec l’option -StorageEncryption, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure CLI

Pour passer des clés gérées par le client aux clés gérées par Microsoft avec Azure CLI, appelez az storage account update et définissez --encryption-key-source parameter sur Microsoft.Storage, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Étapes suivantes

• Chiffrement du stockage Azure pour les données au repos
• Clés gérées par le client pour le chiffrement du Stockage Azure
• Configurer des clés gérées par le client dans un coffre de clés Azure pour un nouveau compte de stockage