Chiffrement du stockage Azure pour les données au reposAzure Storage encryption for data at rest

Stockage Azure chiffre automatiquement vos données lorsqu’il rend persistante dans le cloud.Azure Storage automatically encrypts your data when persisting it to the cloud. Chiffrement protège vos données et pour vous aider à répondre à vos engagements en matière de sécurité et de conformité d’organisation.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Données dans le stockage Azure sont chiffrées et déchiffrées en toute transparence à l’aide de 256 bits chiffrement AES, celui du bloc plus fort chiffrements et n’est conformes aux normes FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Chiffrement du stockage Azure est similaire pour le chiffrement BitLocker sur Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Chiffrement du stockage Azure est activé pour tous les comptes de stockage nouveaux et existants et ne peut pas être désactivé.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Étant donné que vos données sont sécurisées par défaut, vous n’avez pas besoin de modifier votre code ou les applications pour tirer parti du chiffrement de stockage Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Comptes de stockage sont chiffrées, quel que soit leur niveau de performances (standard ou premium) ou un modèle de déploiement (Azure Resource Manager ou classique).Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Toutes les options de redondance de stockage Azure prend en charge le chiffrement, et toutes les copies d’un compte de stockage sont chiffrées.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Toutes les ressources de stockage Azure sont chiffrées, y compris les objets BLOB, les disques, les fichiers, les files d’attente et les tables.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Toutes les métadonnées d’objet sont également chiffrées.All object metadata is also encrypted.

Le chiffrement n’affecte pas les performances de stockage Azure.Encryption does not affect Azure Storage performance. Il n’existe aucun coût supplémentaire pour le chiffrement de stockage Azure.There is no additional cost for Azure Storage encryption.

Pour plus d’informations sur les modules cryptographiques sous-jacentes de chiffrement de stockage Azure, consultez Cryptography API : nouvelle génération.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Gestion des clésKey management

Vous pouvez compter sur les clés gérées par Microsoft pour le chiffrement de votre compte de stockage, ou vous pouvez gérer le chiffrement avec vos propres clés, ainsi que d’Azure Key Vault.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Clés gérées par MicrosoftMicrosoft-managed keys

Par défaut, votre compte de stockage utilise des clés de chiffrement gérées par Microsoft.By default, your storage account uses Microsoft-managed encryption keys. Vous pouvez voir les paramètres de chiffrement de votre compte de stockage dans le chiffrement section de la Azure portal, comme illustré dans l’image suivante.You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Afficher le compte chiffré avec clés gérées par Microsoft

Clés gérées par le clientCustomer-managed keys

Vous pouvez gérer le chiffrement du stockage Azure avec des clés gérées par le client.You can manage Azure Storage encryption with customer-managed keys. Clés gérées par le client vous donnent plus de souplesse pour créer, faire pivoter, désactiver et révoquer des contrôles d’accès.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Vous pouvez également auditer les clés de chiffrement utilisés pour protéger vos données.You can also audit the encryption keys used to protect your data.

Utilisez Azure Key Vault pour gérer vos clés et d’audit de votre utilisation de la clé.Use Azure Key Vault to manage your keys and audit your key usage. Vous pouvez soit créer vos propres clés et les stocker dans un coffre de clés, ou vous pouvez utiliser les API Azure Key Vault pour générer des clés.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Le compte de stockage et le coffre de clés doivent se trouver dans la même région, mais ils peuvent appartenir à des abonnements différents.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Pour plus d’informations sur Azure Key Vault, consultez qu’est Azure Key Vault ?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Pour révoquer l’accès aux clés de gérée par le client, consultez Azure Key Vault PowerShell et Azure Key Vault CLI.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Révocation de l’accès efficacement de bloque l’accès à toutes les données du compte de stockage, comme la clé de chiffrement n’est pas accessible par le stockage Azure.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

Pour savoir comment utiliser des clés gérées par le client avec le stockage Azure, consultez ces articles :To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Important

Clés gérées par le client s’appuient sur des identités gérées pour les ressources Azure, une fonctionnalité d’Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Lors du transfert d’un abonnement à partir d’un répertoire Azure AD aux identités d’un autre, gérées ne sont pas mis à jour et les clés de gérée par le client peuvent ne plus fonctionner.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. Pour plus d’informations, consultez transfert d’un abonnement entre annuaires Azure AD dans FAQ et problèmes connus avec gérés des identités pour les ressources Azure.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Notes

Clés gérées par le client ne sont pas pris en charge pour disques gérés Azure.Customer-managed keys are not supported for Azure managed disks.

Chiffrement du stockage Azure et le chiffrement de disqueAzure Storage encryption versus disk encryption

Avec le chiffrement de stockage Azure, les tous les comptes de stockage Azure et les ressources qu’ils contiennent sont chiffrées, y compris les objets BLOB de pages qui stockent les disques de machine virtuelle Azure.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. En outre, les disques de machine virtuelle Azure peuvent être chiffrés avec Azure Disk Encryption.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Azure Disk Encryption utilise le standard de l’industrie BitLocker sur Windows et DM-Crypt sur Linux pour fournir des solutions de chiffrement basé sur le système d’exploitation qui sont intégrées à Azure Key Vault.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Étapes suivantesNext steps