Utiliser le portail Azure pour activer le chiffrement côté serveur à l'aide de clés gérées par le client pour les disques managés

Le Stockage sur disque Azure vous permet de gérer vos propres clés lors de l’utilisation du chiffrement côté serveur (SSE) pour les disques managés, si vous le souhaitez. Pour obtenir des informations conceptuelles sur SSE avec des clés gérées par le client ainsi que d’autres types de chiffrement de disque managés, consultez la section Clés gérées par le client de notre article sur le chiffrement de disque :

Restrictions

Pour le moment, les clés gérées par le client sont soumises aux restrictions suivantes :

  • Si cette fonctionnalité est activée pour votre disque, vous ne pouvez pas la désactiver. Pour contourner le problème, vous devez copier toutes les données sur un autre disque managé qui n’utilise pas de clés gérées par le client :

  • Seules les clés RSA HSM et de logiciels des tailles une tailles 2 048 bits, 3 072 bits et 4 096 bits sont prises en charge ; aucune autre clé ou taille n’est prise en charge.
    • Les clés HSM nécessitent le niveau Premium de coffres de clés Azure.
  • Les disques créés à partir d’images personnalisées et chiffrées à l’aide du chiffrement côté serveur et des clés gérées par le client doivent être chiffrés à l’aide des mêmes clés gérées par le client et doivent figurer dans le même abonnement.
  • Les instantanés créés à partir de disques chiffrés à l’aide du chiffrement côté serveur et des clés gérées par le client doivent être chiffrés avec les mêmes clés gérées par le client.
  • Toutes les ressources liées à vos clés gérées par le client (coffres de clés Azure, jeux de chiffrement de disque, machines virtuelles, disques et instantanés) doivent se trouver dans le même abonnement et la même région.
  • Les disques, les instantanés et les images chiffrées avec des clés gérées par le client ne peuvent pas être déplacés vers un autre groupe de ressource et un autre abonnement.
  • Les disques managés actuellement ou précédemment chiffrés à l'aide d'Azure Disk Encryption ne peuvent pas être chiffrés avec des clés gérées par le client.
  • Ne peut créer que jusqu’à 1 000 jeux de chiffrements de disques par région et par abonnement.
  • Pour plus d’informations sur l’utilisation de clés gérées par le client avec des galeries d’images partagées, consultez Préversion : Utiliser des clés gérées par le client pour le chiffrement d’images.

Les sections suivantes expliquent comment activer et utiliser les clés gérées par le client pour les disques managés :

La configuration des clés gérées par le client pour vos disques vous oblige à créer des ressources dans un ordre particulier si vous les utilisez pour la première fois. Tout d’abord, vous devez créer et configurer un Azure Key Vault.

Configurer votre coffre de clés Azure

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Coffre de clés.

    Capture d’écran du portail Azure, dans laquelle la boîte de dialogue de recherche est développée.

    Important

    Pour que le déploiement aboutisse, votre coffre de clés Azure, le jeu de chiffrement de disque, les machines virtuelles, les disques et les captures instantanées doivent tous se trouver dans la même région et le même abonnement.

  3. Sélectionnez +Ajouter pour créer un coffre de clés Key Vault.

  4. Créez un groupe de ressources.

  5. Entrez un nom de coffre de clés, sélectionnez une région, puis sélectionnez un niveau tarifaire.

    Notes

    Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection de purge garantit qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de rétention n’est pas écoulée. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.

  6. Sélectionnez Vérifier + créer, vérifiez vos choix, puis sélectionnez Créer.

    Capture d’écran de l’expérience de création Azure Key Vault. Indication des valeurs spécifiques que vous créez

  7. Une fois que votre coffre de clés a terminé le déploiement, sélectionnez-le.

  8. Sous Paramètres, sélectionnez Clés.

  9. Sélectionnez Générer/Importer.

    Capture d’écran du volet Paramètres des ressources Key Vault. Affiche le bouton Générer/importer dans les paramètres.

  10. Laissez Type de clé défini sur RSA et Taille de clé RSA défini sur 2048.

  11. Renseignez les autres sélections comme vous le souhaitez, puis sélectionnez Créer.

    Capture d’écran du panneau Créer une clé qui apparaît une fois que le bouton Générer/importer est sélectionné

Ajouter un rôle RBAC Azure

Maintenant que vous avez créé le coffre de clés Azure et une clé, vous devez ajouter un rôle RBAC Azure afin de pouvoir utiliser votre coffre de clés Azure avec votre jeu de chiffrement de disque.

  1. Sélectionnez Contrôle d’accès (IAM) et ajoutez un rôle.
  2. Ajoutez les rôles Administrateur de coffre de clés, Propriétaire ou Contributeur.

Configuration du jeu de chiffrement de disque

  1. Recherchez Ensembles de chiffrement de disque et sélectionnez-le.

  2. Ouvrez le panneau Ensembles de chiffrement de disque et sélectionnez + Ajouter.

    Capture d’écran de l’écran principal du portail de chiffrement de disque. Mise en surbrillance du bouton Ajouter

  3. Sélectionnez votre groupe de ressources, attribuez un nom à votre jeu de chiffrement et sélectionnez la même région que votre coffre de clés.

  4. Pour Type de chiffrement, sélectionnez Chiffrement au repos avec une clé gérée par le client.

    Notes

    Une fois que vous avez créé un jeu de chiffrement de disque avec un type de chiffrement particulier, il n’est plus possible de le modifier. Si vous souhaitez utiliser un type de chiffrement différent, vous devez créer un nouveau jeu de chiffrement de disque.

  5. Sélectionnez Cliquer pour choisir une clé.

  6. Sélectionnez le coffre de clés et la clé que vous avez créés précédemment, ainsi que la version.

  7. Appuyez sur Sélectionner.

  8. Sélectionnez Vérifier + créer, puis Créer.

    Capture d’écran du panneau de création du chiffrement de disque. Indique l’abonnement, le groupe de ressources, le nom du jeu de chiffrement de disque, la région et le coffre de clés + sélecteur de clé.

Déployer une machine virtuelle

Maintenant que vous avez créé et configuré votre coffre de clés et le jeu de chiffrement de disque, vous pouvez déployer une machine virtuelle à l’aide du chiffrement. Le processus de déploiement de la machine virtuelle est similaire au processus de déploiement standard, les seules différences sont que vous devez déployer la machine virtuelle dans la même région que vos autres ressources et que vous choisissez d’utiliser une clé gérée par le client.

  1. Recherchez Machines virtuelles et sélectionnez + Ajouter pour créer une machine virtuelle.

  2. Sous l’onglet De base, sélectionnez la région de votre jeu de chiffrement de disque et d’Azure Key Vault.

  3. Renseignez les autres valeurs du panneau De base à votre guise.

    Capture d’écran de l’expérience de création de machines virtuelles, dont la valeur de région est mise en surbrillance.

  4. Sur le panneau Disques, sélectionnez Chiffrement au repos avec une clé gérée par le client.

  5. Sélectionnez votre jeu de chiffrement de disque dans la liste déroulante Jeu de chiffrement de disque.

  6. Effectuez les sélections restantes comme vous le souhaitez.

    Capture d’écran de l’expérience de création de machines virtuelles, dans le panneau Disques. Avec la liste déroulante Jeu de chiffrement de disque mise en surbrillance.

Activer sur un disque existant

Attention

L’activation du chiffrement de disque sur les disques attachés à une machine virtuelle nécessite l’arrêt de celle-ci.

  1. Accédez à une machine virtuelle qui se trouve dans la même région que l’un de vos jeux de chiffrement de disque.

  2. Ouvrez la machine virtuelle et sélectionnez Arrêter.

    Capture d’écran de la superposition principale pour votre exemple de machine virtuelle, avec le bouton Arrêter mis en évidence.

  3. Une fois l’arrêt de la machine virtuelle terminé, sélectionnez Disques puis sélectionnez le disque que vous souhaitez chiffrer.

    Capture d’écran de votre exemple de machine virtuelle, avec le panneau Disques ouvert. Le disque du système d’exploitation est mis en surbrillance, comme exemple de disque à sélectionner.

  4. Sélectionnez Chiffrement, Chiffrement au repos avec une clé gérée par le client, puis sélectionnez votre jeu de chiffrement de disque dans la liste déroulante.

  5. Sélectionnez Enregistrer.

    Capture d’écran de votre exemple de disque de système d’exploitation. Le panneau Chiffrement est ouvert, le chiffrement au repos avec une clé gérée par le client est sélectionné, ainsi que votre exemple Azure Key Vault. Après avoir effectué ces sélections, le bouton Enregistrer est sélectionné.

  6. Répétez ce processus pour tous les autres disques attachés à la machine virtuelle que vous souhaitez chiffrer.

  7. S’il n’y a pas d’autres disques attachés que vous souhaitez chiffrer lorsque vos disques ont fini de basculer vers les clés gérées par le client, vous pouvez démarrer votre machine virtuelle.

Important

Les clés managées par le client s’appuient sur des identités managées pour ressources Azure, une fonctionnalité d’Azure Active Directory (Azure AD). Quand vous configurez des clés gérées par le client, une identité managée est automatiquement affectée à vos ressources à l’arrière plan. Si, par la suite, vous déplacez l’abonnement, le groupe de ressources ou le disque managé d’un répertoire Azure AD à un autre, l’identité managée associée aux disques managés n’est pas transférée vers le nouveau locataire, de sorte que les clés gérées par le client peuvent ne plus fonctionner. Pour plus d’informations, consultez Transfert d’un abonnement entre des répertoires Azure AD.

Étapes suivantes