Création et configuration d’un coffre de clés pour Azure Disk EncryptionCreating and configuring a key vault for Azure Disk Encryption

Azure Disk Encryption utilise Azure Key Vault pour contrôler et gérer les clés et les secrets de chiffrement de disque.Azure Disk Encryption uses Azure Key Vault to control and manage disk encryption keys and secrets. Pour plus d’informations sur les coffres de clés, consultez les articles Prise en main du coffre de clés Azure et Sécuriser votre coffre de clés.For more information about key vaults, see Get started with Azure Key Vault and Secure your key vault.

Avertissement

La création et la configuration d’un coffre de clés à utiliser avec Azure Disk Encryption impliquent trois étapes :Creating and configuring a key vault for use with Azure Disk Encryption involves three steps:

Notes

Vous devez sélectionner l’option dans les paramètres de stratégie d’accès Azure Key Vault afin d’activer l’accès à Azure Disk Encryption pour le chiffrement de volume.You must select the option in the Azure Key Vault access policy settings to enable access to Azure Disk Encryption for volume encryption. Si vous avez activé le pare-feu sur le coffre de clés, vous devez accéder à l’onglet Réseau du coffre de clés et activer l’accès aux services de confiance Microsoft.If you have enabled the firewall on the key vault, you must go to the Networking tab on the key vault and enable access to Microsoft Trusted Services.

  1. Création d’un groupe de ressources, si nécessaireCreating a resource group, if needed.
  2. Création d’un coffre de clésCreating a key vault.
  3. Définition de stratégies d’accès avancé au coffre de clésSetting key vault advanced access policies.

Ces étapes sont illustrées dans les guides de démarrage rapide suivants :These steps are illustrated in the following quickstarts:

Si vous le souhaitez, vous pouvez également générer ou importer une clé de chiffrement principale (KEK, key encryption key).You may also, if you wish, generate or import a key encryption key (KEK).

Installer les outils et se connecter à AzureInstall tools and connect to Azure

Les étapes décrites dans cet article peuvent être effectuées avec Azure CLI, le module Az Azure PowerShell ou le portail Azure.The steps in this article can be completed with the Azure CLI, the Azure PowerShell Az module, or the Azure portal.

Le portail est accessible par le biais de votre navigateur, alors qu’Azure CLI et Azure PowerShell nécessitent une installation locale. Pour plus d’informations, consultez Azure Disk Encryption pour Windows : Installer les outils.While the portal is accessible through your browser, Azure CLI and Azure PowerShell require local installation; see Azure Disk Encryption for Windows: Install tools for details.

Se connecter au compte AzureConnect to your Azure account

Avant d’utiliser Azure CLI ou Azure PowerShell, vous devez vous connecter à votre abonnement Azure.Before using the Azure CLI or Azure PowerShell, you must first connect to your Azure subscription. Pour cela, vous devez vous connecter avec Azure CLI, vous connecter avec Azure PowerShell ou fournir vos informations d’identification dans le portail Azure quand vous y êtes invité.You do so by Signing in with Azure CLI, Signing in with Azure Powershell, or supplying your credentials to the Azure portal when prompted.

az login
Connect-AzAccount

Créer un groupe de ressourcesCreate a resource group

Si vous disposez déjà d’un groupe de ressources, vous pouvez passer à Créer un coffre de clés.If you already have a resource group, you can skip to Create a key vault.

Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.A resource group is a logical container into which Azure resources are deployed and managed.

Créez un groupe de ressources à l’aide de la commande Azure CLI az group create, de la commande Azure PowerShell New-AzResourceGroup ou du portail Azure.Create a resource group using the az group create Azure CLI command, the New-AzResourceGroup Azure PowerShell command, or from the Azure portal.

Azure CLIAzure CLI

az group create --name "myResourceGroup" --location eastus

Azure PowerShellAzure PowerShell

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Création d’un coffre de clésCreate a key vault

Si vous disposez déjà d’un coffre de clés, vous pouvez passer à Définir des stratégies d’accès avancé au coffre de clés.If you already have a key vault, you can skip to Set key vault advanced access policies.

Créez un coffre de clés à l’aide de la commande Azure CLI az keyvault create, de la commande Azure PowerShell New-AzKeyvault, du portail Azure ou d’un modèle Resource Manager.Create a key vault using the az keyvault create Azure CLI command, the New-AzKeyvault Azure Powershell command, the Azure portal, or a Resource Manager template.

Avertissement

Votre coffre de clés et vos machines virtuelles doivent se trouver dans le même abonnement.Your key vault and VMs must be in the same subscription. De plus, pour garantir que les secrets de chiffrement ne franchissent pas les limites régionales, Azure Disk Encryption exige que le coffre de clés se trouve dans la même région que les machines virtuelles.Also, to ensure that encryption secrets don't cross regional boundaries, Azure Disk Encryption requires the Key Vault and the VMs to be co-located in the same region. Créez et utilisez un coffre de clés situé dans les mêmes abonnement et région que les machines virtuelles à chiffrer.Create and use a Key Vault that is in the same subscription and region as the VMs to be encrypted.

Chaque coffre de clés doit avoir un nom unique.Each Key Vault must have a unique name. Remplacez par le nom de votre coffre de clés dans les exemples suivants.Replace with the name of your key vault in the following examples.

Azure CLIAzure CLI

Quand vous créez un coffre de clés à l’aide d’Azure CLI, ajoutez l’indicateur « --enabled-for-disk-encryption ».When creating a key vault using Azure CLI, add the "--enabled-for-disk-encryption" flag.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption

Azure PowerShellAzure PowerShell

Quand vous créez un coffre de clés à l’aide d’Azure PowerShell, ajoutez l’indicateur « -EnabledForDiskEncryption ».When creating a key vault using Azure PowerShell, add the "-EnabledForDiskEncryption" flag.

New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption

Modèle Resource ManagerResource Manager template

Vous pouvez aussi créer un coffre de clés à l’aide du modèle Resource Manager.You can also create a key vault by using the Resource Manager template.

  1. Dans le modèle de démarrage rapide Azure, cliquez sur Déployer sur Azure.On the Azure quickstart template, click Deploy to Azure.
  2. Sélectionnez l’abonnement, le groupe de ressources, l’emplacement du groupe de ressources, le nom du coffre de clés, l’ID d’objet, les conditions juridiques et le contrat, puis cliquez sur Acheter.Select the subscription, resource group, resource group location, Key Vault name, Object ID, legal terms, and agreement, and then click Purchase.

Définir des stratégies d’accès avancé au coffre de clésSet key vault advanced access policies

La plateforme Azure doit avoir accès aux clés et aux clés secrètes de chiffrement dans votre coffre de clés afin de les mettre à disposition de la machine virtuelle pour lancer et déchiffrer les volumes.The Azure platform needs access to the encryption keys or secrets in your key vault to make them available to the VM for booting and decrypting the volumes.

Si vous n’avez pas activé votre coffre de clés pour le chiffrement de disque, le déploiement ou le déploiement de modèle au moment de la création (comme indiqué à l’étape précédente), vous devez mettre à jour ses stratégies d’accès avancé.If you did not enable your key vault for disk encryption, deployment, or template deployment at the time of creation (as demonstrated in the previous step), you must update its advanced access policies.

Azure CLIAzure CLI

Utilisez la commande az keyvault update afin d’activer le chiffrement de disque pour le coffre de clés.Use az keyvault update to enable disk encryption for the key vault.

  • Activer Key Vault pour le chiffrement de disque : Enabled-for-disk-encryption est requis.Enable Key Vault for disk encryption: Enabled-for-disk-encryption is required.

    az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"
    
  • Activer Key Vault pour le déploiement, si nécessaire : autorise le fournisseur de ressources Microsoft.Compute à récupérer des secrets à partir de ce coffre de clés lorsque ce dernier est référencé dans le cadre de la création de ressources, par exemple lors de la création d’une machine virtuelle.Enable Key Vault for deployment, if needed: Enables the Microsoft.Compute resource provider to retrieve secrets from this key vault when this key vault is referenced in resource creation, for example when creating a virtual machine.

    az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"
    
  • Activer Key Vault pour le déploiement d’un modèle, si nécessaire : autoriser Resource Manager à récupérer des secrets dans le coffre.Enable Key Vault for template deployment, if needed: Allow Resource Manager to retrieve secrets from the vault.

    az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
    

Azure PowerShellAzure PowerShell

Utilisez l’applet de commande PowerShell de coffre de clés Set-AzKeyVaultAccessPolicy pour activer le chiffrement de disque pour le coffre de clés.Use the key vault PowerShell cmdlet Set-AzKeyVaultAccessPolicy to enable disk encryption for the key vault.

  • Activer Key Vault pour le chiffrement de disque : EnabledForDiskEncryption est requis pour Azure Disk Encryption.Enable Key Vault for disk encryption: EnabledForDiskEncryption is required for Azure Disk encryption.

    Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryption
    
  • Activer Key Vault pour le déploiement, si nécessaire : autorise le fournisseur de ressources Microsoft.Compute à récupérer des secrets à partir de ce coffre de clés lorsque ce dernier est référencé dans le cadre de la création de ressources, par exemple lors de la création d’une machine virtuelle.Enable Key Vault for deployment, if needed: Enables the Microsoft.Compute resource provider to retrieve secrets from this key vault when this key vault is referenced in resource creation, for example when creating a virtual machine.

     Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeployment
    
  • Activer Key Vault pour le déploiement d’un modèle, si nécessaire : autorise Azure Resource Manager à obtenir des secrets à partir de ce coffre de clés lorsque ce dernier est référencé dans un déploiement de modèle.Enable Key Vault for template deployment, if needed: Enables Azure Resource Manager to get secrets from this key vault when this key vault is referenced in a template deployment.

    Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
    

Portail AzureAzure portal

  1. Sélectionnez votre coffre de clés, accédez à Stratégies d’accès, puis sélectionnez Cliquez ici pour afficher les stratégies d’accès avancé.Select your key vault, go to Access Policies, and Click to show advanced access policies.

  2. Cochez la case Activer l’accès à Azure Disk Encryption pour chiffrer des volumes.Select the box labeled Enable access to Azure Disk Encryption for volume encryption.

  3. Sélectionnez Activer l’accès aux machines virtuelles Azure pour le déploiement et/ou Activer l’accès à Azure Resource Manager pour le déploiement de modèles si nécessaire.Select Enable access to Azure Virtual Machines for deployment and/or Enable Access to Azure Resource Manager for template deployment, if needed.

  4. Cliquez sur Enregistrer.Click Save.

    Stratégies d’accès avancé au coffre de clés Azure

Configurer une clé de chiffrement principale (KEK)Set up a key encryption key (KEK)

Si vous souhaitez utiliser une clé de chiffrement à clé pour renforcer la protection des clés de chiffrement, ajoutez une clé de chiffrement à clé à votre coffre de clés.If you want to use a key encryption key (KEK) for an additional layer of security for encryption keys, add a KEK to your key vault. Quand une clé de chiffrement principale est spécifiée, Azure Disk Encryption utilise cette clé pour wrapper les secrets de chiffrement avant d’écrire dans Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault.

Vous pouvez générer une nouvelle clé de chiffrement principale (KEK, key encryption key) à l’aide de la commande Azure CLI az keyvault key create, de la cmdlet Azure PowerShell Add-AzKeyVaultKey ou du portail Azure.You can generate a new KEK using the Azure CLI az keyvault key create command, the Azure PowerShell Add-AzKeyVaultKey cmdlet, or the Azure portal. Vous devez générer un type de clé RSA. Azure Disk Encryption ne prend pas encore en charge l’utilisation de clés à courbe elliptique.You must generate an RSA key type; Azure Disk Encryption does not yet support using Elliptic Curve keys.

Vous pouvez au lieu de cela importer une clé KEK à partir de votre HSM de gestion des clés locales.You can instead import a KEK from your on-premises key management HSM. Pour plus d’informations, consultez la documentation concernant Key Vault.For more information, see Key Vault Documentation.

Les URL des clés KEK de votre coffre de clés doivent être versionnées.Your key vault KEK URLs must be versioned. Azure met en vigueur cette restriction de gestion de version.Azure enforces this restriction of versioning. Voici des exemples d’URL de clé secrète et de clé de chiffrement à clé valides :For valid secret and KEK URLs, see the following examples:

Azure Disk Encryption ne prend pas en charge l’intégration de numéros de port aux secrets de coffre de clés et aux URL KEK.Azure Disk Encryption doesn't support specifying port numbers as part of key vault secrets and KEK URLs. Voici des exemples d’URL de coffre de clés valides et non valides :For examples of non-supported and supported key vault URLs, see the following examples:

Azure CLIAzure CLI

Utilisez la commande Azure CLI az keyvault key create pour générer une nouvelle clé KEK et la stocker dans votre coffre de clés.Use the Azure CLI az keyvault key create command to generate a new KEK and store it in your key vault.

az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA

Au lieu de cela, vous pouvez importer une clé privée à l’aide de la commande Azure CLI az keyvault key import :You may instead import a private key using the Azure CLI az keyvault key import command:

Dans les deux cas, vous devez fournir le nom de votre clé KEK au paramètre --key-encryption-key de la commande Azure CLI az vm encryption enable.In either case, you will supply the name of your KEK to the Azure CLI az vm encryption enable --key-encryption-key parameter.

az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"

Azure PowerShellAzure PowerShell

Utilisez la cmdlet Azure PowerShell Add-AzKeyVaultKey pour générer une nouvelle clé KEK et la stocker dans votre coffre de clés.Use the Azure PowerShell Add-AzKeyVaultKey cmdlet to generate a new KEK and store it in your key vault.

Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM"

Au lieu de cela, vous pouvez importer une clé privée à l’aide de la commande Azure PowerShell az keyvault key import.You may instead import a private key using the Azure PowerShell az keyvault key import command.

Dans les deux cas, vous devez fournir l’ID de votre coffre de clés KEK et l’URL de votre clé KEK aux paramètres -KeyEncryptionKeyVaultId et -KeyEncryptionKeyUrl de la commande Azure PowerShell Set-AzVMDiskEncryptionExtension.In either case, you will supply the ID of your KEK key Vault and the URL of your KEK to the Azure PowerShell Set-AzVMDiskEncryptionExtension -KeyEncryptionKeyVaultId and -KeyEncryptionKeyUrl parameters. Notez que cet exemple part du principe que vous utilisez le même coffre de clés pour la clé de chiffrement de disque et la clé KEK.Note that this example assumes that you are using the same key vault for both the disk encryption key and the KEK.

$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"

Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All

Étapes suivantesNext steps