Configurer des clés gérées par le client pour le chiffrement Azure Files

✔️ S’applique à : partages de fichiers SMB et NFS classiques créés avec le fournisseur de ressources Microsoft.Storage

✖️ Ne s'applique pas à : Des partages de fichiers créés avec le fournisseur de ressources Microsoft.FileShares (aperçu)

Azure chiffre toutes les données d’un compte de stockage au repos, y compris les données Azure Files, à l’aide du chiffrement AES-256. Par défaut, Microsoft gère les clés de chiffrement d’un compte de stockage. Pour un meilleur contrôle sur les clés de chiffrement, vous pouvez utiliser des clés gérées par le client (CMK) au lieu des clés gérées par Microsoft pour protéger et contrôler l'accès à la clé de chiffrement qui protège vos données. Cet article explique comment configurer des clés gérées par le client pour les charges de travail Azure Files.

Lorsque vous configurez des clés gérées par le client pour un compte de stockage, Azure Files données de ce compte de stockage est automatiquement chiffrée à l’aide de la clé client. Aucune option par partage n’est requise.

Ces instructions concernent le stockage de clés gérées par le client dans Azure Key Vault. Certaines étapes et commandes pour Azure Key Vault HSM managé (module de sécurité matérielle) peuvent être légèrement différentes.

Suivez ces étapes pour configurer des clés gérées par le client pour un compte de stockage.

Étape 1 : Créer ou configurer un coffre de clés

Pour activer les clés gérées par le client, vous avez besoin d’un compte de stockage Azure avec un Azure Key Vault avec la protection contre la purge activée. Vous pouvez utiliser un coffre de clés existant ou en créer un. Le compte de stockage et le Key Vault peuvent être situés dans différentes régions ou abonnements au sein du même locataire Microsoft Entra. Pour les scénarios entre locataires, consultez Configurer des clés gérées par le client entre locataires pour un compte de stockage existant.

Pour créer un coffre de clés à l’aide du portail Azure, procédez comme suit :

Dans le portail Azure, recherchez Coffres de clés et sélectionnez Créer.
Renseignez les champs obligatoires (abonnement, groupe de ressources, nom, région).
Sous Options de récupération, sélectionnez Activer la protection contre le vidage.
Sélectionnez Examiner + créer, puis sélectionnez Créer.

Si vous souhaitez utiliser un coffre de clés existant, procédez comme suit :

Accédez à votre coffre de clés dans le Portail Azure.
Dans le menu du service, sous Paramètres, sélectionnez Propriétés.
Dans la section Protection contre le vidage , sélectionnez Activer la protection contre le vidage, puis sélectionnez Enregistrer.
Assurez-vous que la suppression douce est activée sur votre coffre à clés. Elle est activée par défaut pour les nouveaux coffres de clés.

Pour créer un coffre de clés avec la protection de vidage activée, exécutez l’applet de commande suivante. Remplacez <key-vault-name>, <resource-group> et <region> par vos propres valeurs.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Pour activer la protection contre le vidage sur un coffre de clés existant, exécutez l’applet de commande suivante. Remplacez <key-vault-name> et <resource-group> par vos propres valeurs.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Pour créer un coffre de clés avec la protection de vidage activée, exécutez la commande suivante. Remplacez <key-vault-name>, <resource-group> et <region> par vos propres valeurs.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Pour activer la protection contre le vidage sur un coffre de clés existant, exécutez la commande suivante. Remplacez <key-vault-name> et <resource-group> par vos propres valeurs.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Attribuer le rôle d’agent de chiffrement Key Vault

Pour créer et gérer des clés dans votre key vault, vous avez besoin du rôle Key Vault Crypto Officer sur le key vault. Vous pouvez attribuer ce rôle à vous-même à l’aide du portail Azure, de PowerShell ou de Azure CLI. Si vous avez déjà ce rôle sur le Key Vault, vous pouvez ignorer cette section et passer à l’étape 2.

Vous avez besoin du rôle Owner ou Administrateur d'accès utilisateur RBAC sur la portée du coffre de clés pour attribuer le rôle Key Vault Crypto Officer. Contactez votre administrateur si nécessaire.

Pour affecter le rôle Key Vault Crypto Officer à vous-même à l’aide du portail Azure, procédez comme suit :

Accédez à votre coffre de clés.
Dans le menu du service, sélectionnez Contrôle d’accès (IAM).
Sous Accorder l'accès à cette ressource, sélectionnez Ajouter une attribution de rôle.
Recherchez et sélectionnez Key Vault Agent de chiffrement, puis sélectionnez Next.
Sous Attribuer l’accès, sélectionnez Utilisateur, groupe ou principal de service.
Sous Membres, choisissez +Sélectionner des membres.
Recherchez et sélectionnez votre propre compte, puis sélectionnez Sélectionner.
Sélectionnez Vérifier + affecter, puis Vérifier + attribuer à nouveau.

Pour affecter le rôle Key Vault Crypto Officer à vous-même à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <key-vault-name> par votre propre valeur.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Pour affecter le rôle Key Vault Crypto Officer à vous-même à l’aide de Azure CLI, exécutez les commandes suivantes. Remplacez <key-vault-name> par votre propre valeur.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Étape 2 : Créer ou importer une clé de chiffrement

Vous avez besoin d’une clé RSA ou RSA-HSM de taille 2048, 3072 ou 4096. Générez ou importez une clé RSA dans votre coffre de clés. Avant de générer une clé, vérifiez que vous disposez du rôle Key Vault Crypto Officer sur le key vault.

Pour générer une nouvelle clé de chiffrement RSA à l’aide du portail Azure, procédez comme suit.

Accédez à votre coffre de clés dans le Portail Azure.
Dans le menu de service, sous Objets, sélectionnez Clés.
Sélectionnez Générer/Importer. Sous Options, sélectionnez Générer.
Entrez un nom pour la clé. Les noms de clés ne peuvent contenir que des caractères alphanumériques et des tirets.
Définissez le type de clésur RSA et la taille de clé RSA sur 2048 (ou 3072/4096).
Cliquez sur Créer.

Pour importer une clé de chiffrement RSA existante à l’aide du portail Azure, procédez comme suit.

Accédez à votre coffre de clés dans le Portail Azure.
Dans le menu de service, sous Objets, sélectionnez Clés.
Sélectionnez Générer/Importer. Sous Options, sélectionnez Importer.
Sélectionnez votre clé à charger.
Entrez un nom pour la clé. Les noms de clés ne peuvent contenir que des caractères alphanumériques et des tirets.
Définissez Type de clé sur RSA.
Cliquez sur Créer.

Pour créer une clé RSA à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <key-vault-name> et <key-name> par vos propres valeurs. Pour -Size, vous pouvez spécifier 2048, 3072 ou 4096.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Pour importer une clé de chiffrement RSA existante à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <key-vault-name>, <key-name> et <key-path> par vos propres valeurs. Si le fichier de clé n’a pas de mot de passe, omettez le -KeyFilePassword paramètre.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Pour créer une clé RSA à l’aide de Azure CLI, exécutez la commande suivante. Remplacez <key-vault-name> et <key-name> par vos propres valeurs. Pour --size, vous pouvez spécifier 2048, 3072 ou 4096.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Pour importer une clé de chiffrement RSA existante à l’aide de Azure CLI, exécutez la commande suivante. Remplacez <key-vault-name>, <key-name> et <key-path> par vos propres valeurs. Si le fichier de clé n’a pas de mot de passe, omettez le --password paramètre.

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Étape 3 : Créer une identité managée et attribuer des autorisations

Le compte de stockage a besoin d’une identité managée pour s’authentifier auprès du coffre de clés. En utilisant une identité managée, le compte de stockage peut accéder en toute sécurité à la clé de chiffrement dans votre coffre de clés sans stocker les informations d’identification.

Créez une identité managée assignée par l'utilisateur et accordez à cette identité le rôle Utilisateur du service de chiffrement de Key Vault sur le Key Vault.

Créer une identité managée assignée à l'utilisateur

Créez une identité managée affectée par l’utilisateur à l’aide du portail Azure, Azure PowerShell ou Azure CLI.

Pour créer une identité managée affectée par l’utilisateur à l’aide du portail Azure, procédez comme suit.

Recherchez les identités managées et sélectionnez Créer.
Choisissez un abonnement, un groupe de ressources, une région et un nom.
Sélectionnez Examiner + créer, puis sélectionnez Créer.

Pour créer une identité managée affectée par l’utilisateur à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <resource-group>, <identity-name> et <region> par vos propres valeurs.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Pour créer une identité managée affectée par l’utilisateur à l’aide de Azure CLI, exécutez la commande suivante. Remplacez <resource-group>, <identity-name> et <region> par vos propres valeurs.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Attribuer le rôle d'utilisateur du service de chiffrement Key Vault Crypto Service à l'identité managée

Affectez le rôle Key Vault Crypto Service Encryption User à l’identité managée que vous avez créée à l’aide du portail Azure, de PowerShell ou d'Azure CLI.

Pour affecter le rôle Key Vault Crypto Service Encryption User à l’identité managée à l’aide du portail Azure, procédez comme suit :

Accédez à votre coffre de clés dans le Portail Azure.
Dans le menu du service, sélectionnez Contrôle d’accès (IAM).
Sous Accorder l'accès à cette ressource, sélectionnez Ajouter une attribution de rôle.
Recherchez et sélectionnez Utilisateur du service de cryptage Key Vault, puis sélectionnez Suivant.
Sous Attribuer l’accès à, sélectionnez Identité managée.
Sous Membres, choisissez +Sélectionner des membres.
La fenêtre Sélectionner des identités managées s’ouvre. Sous Identité managée, sélectionnez Identité managée affectée par l’utilisateur.
Sélectionnez l’identité managée que vous avez créée, puis sélectionnez Sélectionner.
Sélectionnez Vérifier + affecter, puis Vérifier + attribuer à nouveau.

Pour affecter le rôle Key Vault Utilisateur du service de chiffrement à l’identité managée assignée par l’utilisateur à l’aide d'Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <resource-group>, <identity-name> et <key-vault-name> par vos propres valeurs.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Pour affecter le rôle Key Vault Crypto Service Encryption User à l’identité managée assignée par l’utilisateur à l'aide d'Azure CLI, exécutez les commandes suivantes. Remplacez <resource-group>, <identity-name> et <key-vault-name> par vos propres valeurs.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Étape 4 : Configurer des clés gérées par le client sur le compte de stockage

Avec le coffre de clés, la clé et l’identité managée en place, vous pouvez activer les clés gérées par le client sur le compte de stockage.

Suivez ces étapes pour configurer le compte de stockage afin d’utiliser votre clé pour le chiffrement. Le portail Azure utilise toujours la mise à jour automatique de la version de clé. Pour utiliser la gestion manuelle des versions de clé à la place, utilisez Azure PowerShell ou Azure CLI et spécifiez une version de clé.

Important

Pour les comptes de stockage associés à un périmètre de sécurité réseau, le coffre de clés doit idéalement se trouver dans le même périmètre de sécurité réseau. Si ce n’est pas le cas, vous devez configurer le profil de périmètre de sécurité réseau du coffre de clés pour autoriser la communication du compte de stockage avec celui-ci.

Configurer des clés gérées par le client pour un compte de stockage existant

Vous pouvez configurer des clés gérées par le client sur un compte de stockage existant à l’aide du portail Azure, Azure PowerShell ou Azure CLI.

Pour configurer des clés gérées par le client sur un compte de stockage existant à l’aide du portail Azure, procédez comme suit. Le portail utilise la mise à jour automatique de la version de clé par défaut. Vous ne pouvez pas spécifier de version de clé.

Accédez à votre compte de stockage.
Dans le menu du service, sous Sécurité + mise en réseau, sélectionnez Chiffrement.
Pour le type de chiffrement, sélectionnez clés gérées par le client. Si le compte de stockage est déjà configuré pour CMK, sélectionnez Modifier la clé.
Pour la clé de chiffrement, sélectionnez Sélectionner depuis le coffre de clés.
Sélectionnez Un coffre de clés et une clé, puis choisissez votre coffre de clés et votre clé.
Pour le type d’identité, choisissez l’utilisateur assigné pour utiliser l'identité managée qui a été précédemment créée et assignée par l'utilisateur.
Recherchez et sélectionnez l’identité managée affectée par l’utilisateur, puis sélectionnez Ajouter.
Cliquez sur Enregistrer.

Capture d’écran montrant la sélection de chiffrement et la sélection de clé pour la configuration des clés gérées par le client.

Pour configurer des clés gérées par le client sur un compte de stockage existant à l’aide de Azure PowerShell avec la mise à jour automatique de la version de clé (recommandé), exécutez l’applet de commande suivante. Remplacez <resource-group>, , <identity-name><storage-account-name>, <key-vault-name>et <key-name> par vos propres valeurs.

L’applet de commande suivante utilise votre identité managée attribuée à l'utilisateur précédemment créée. Si vous souhaitez utiliser l’identité système du compte de stockage à la place, définissez IdentityTypeSystemAssigned et omettez la $identity variable, UserAssignedIdentityIdet KeyVaultUserAssignedIdentityId.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Pour utiliser la mise à jour manuelle de la version de clé au lieu de la mise à jour automatique, ajoutez le -KeyVersion $key.Version paramètre à l’applet Set-AzStorageAccount de commande.

Pour configurer des clés gérées par le client sur un compte de stockage existant à l’aide de Azure CLI avec la mise à jour automatique de la version de clé (recommandé), exécutez les commandes suivantes. Remplacez <resource-group>, , <identity-name><storage-account-name>, <key-vault-name>et <key-name> par vos propres valeurs.

La commande suivante utilise votre identité gérée assignée par l'utilisateur précédemment créée. Si vous souhaitez utiliser l’identité système du compte de stockage à la place, définissez --identity-typeSystemAssigned et omettez la IDENTITY_RESOURCE_ID variable, --user-identity-idet --key-vault-user-identity-id.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Pour utiliser la mise à jour manuelle de la version de clé au lieu de la mise à jour automatique, ajoutez --encryption-key-version <key-version> à la az storage account update commande.

Configurer des clés gérées par le client pour un nouveau compte de stockage

Vous pouvez configurer des clés gérées par le client lorsque vous créez un compte de stockage à l’aide du portail Azure, de Azure PowerShell ou de Azure CLI.

Vous ne pouvez pas utiliser une identité affectée par le système lors de la création du compte de stockage, car l’identité n’existe pas tant que le compte de stockage n’est pas créé. Vous devez utiliser une identité managée assignée par l'utilisateur.

Pour configurer des clés gérées par le client pour un nouveau compte de stockage à l’aide du portail Azure, procédez comme suit. Le portail utilise la mise à jour automatique de la version de clé par défaut. Vous ne pouvez pas spécifier de version de clé.

Sous l’onglet Chiffrement lors de la création du compte de stockage, sélectionnez Clés gérées par le client (CMK) pour le type de chiffrement.
Sous Clé de chiffrement, choisissez Sélectionner un coffre de clés et une clé, puis sélectionnez votre coffre de clés et votre clé.
Sous Identité affectée par l’utilisateur, choisissez Sélectionner une identité. La fenêtre Sélectionner l'identité managée assignée par l'utilisateur s'ouvre.
Recherchez et sélectionnez votre identité gérée assignée à l'utilisateur précédemment créée. Les nouveaux comptes de stockage ne peuvent pas utiliser une identité managée affectée par le système.
Cliquez sur Ajouter.
Complétez les onglets restants et sélectionnez Vérifier + créer.

Pour créer un compte de stockage avec des clés gérées par le client à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <resource-group>, , <identity-name><storage-account-name>, <key-vault-name>, et <key-name><region>par vos propres valeurs. Vous pouvez spécifier différentes valeurs pour -Kind et -SkuName si vous le souhaitez.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Pour utiliser la mise à jour manuelle de la version de clé au lieu de la mise à jour automatique, ajoutez le -KeyVersion $key.Version paramètre à l’applet New-AzStorageAccount de commande.

Pour créer un compte de stockage avec des clés gérées par le client à l’aide de Azure CLI, exécutez les commandes suivantes. Remplacez <resource-group>, , <identity-name><storage-account-name>, <key-vault-name>, et <key-name><region>par vos propres valeurs. Vous pouvez spécifier différentes valeurs pour --kind et --sku si vous le souhaitez.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Pour utiliser la mise à jour manuelle de la version de clé au lieu de la mise à jour automatique, ajoutez --encryption-key-version <key-version> à la az storage account create commande.

Étape 5 : Vérifier la configuration

Après avoir activé les clés gérées par le client, vérifiez que le chiffrement est correctement configuré sur votre compte de stockage. Pour ce faire, utilisez le portail Azure, Azure PowerShell ou Azure CLI.

Pour vérifier la configuration du compte de stockage à l’aide du portail Azure, procédez comme suit :

Accédez à votre compte de stockage dans le portail Azure.
Dans le menu du service, sous Sécurité + mise en réseau, sélectionnez Chiffrement.
Vérifiez que le type de chiffrement indique clés gérées par le client.
Vérifiez que les informations sous Sélection de clé sont correctes.

Pour vérifier la configuration du compte de stockage à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <resource-group> et <storage-account-name> par vos propres valeurs.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Vérifiez que KeySource est Microsoft.Keyvault et que KeyVaultProperties affiche l’URI et le nom de votre coffre de clés.

Pour vérifier la configuration à l’aide de Azure CLI, exécutez la commande suivante. Remplacez <resource-group> et <storage-account-name> par vos propres valeurs.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Vérifiez que keySource est Microsoft.Keyvault et que la section keyVaultProperties affiche l’URI et le nom de votre coffre de clés.

Rotation des clés

La rotation régulière de votre clé de chiffrement limite l’exposition si une clé est jamais compromise. Il existe deux façons de faire pivoter le chiffrement pour un compte de stockage qui utilise des clés gérées par le client :

Faire pivoter la version de la clé : créez une nouvelle version de la même clé dans le coffre de clés. Le nom de la clé reste le même, mais la version change.
Modifiez la clé : changez le compte de stockage pour utiliser une clé entièrement différente (avec un nom différent) dans le même coffre de clés ou un autre coffre de clés.

Important

Azure vérifie le coffre de clés pour une nouvelle version de clé une seule fois par jour. Après la rotation d’une clé, attendez 24 heures avant de désactiver la version précédente de la clé.

Faire pivoter la version de la clé

Pour les meilleures pratiques de sécurité, faites pivoter la version de clé au moins une fois tous les deux ans.

Rotation automatique des versions de clé (recommandé)

Si vous avez configuré des clés gérées par le client sans spécifier de version de clé (par défaut lors de l’utilisation du portail Azure), Azure recherche automatiquement les nouvelles versions de clés quotidiennement. Si vous créez une nouvelle version de la clé dans le coffre de clés, Azure la récupère dans les 24 heures. Vous pouvez également configurer rotation automatique des clés dans Azure Key Vault pour générer de nouvelles versions de clés selon une planification.

Rotation manuelle de la version de la clé

Si vous avez spécifié une version de clé lors de la configuration des clés gérées par le client à l'aide de PowerShell ou de Azure CLI, Azure utilise cette version spécifique et ne vérifie pas automatiquement les nouvelles versions. Vous devez mettre à jour manuellement la configuration du compte de stockage pour pointer vers la nouvelle version de clé.

La rotation manuelle des versions de clé n'est pas prise en charge dans le portail Azure. Pour faire pivoter manuellement la version de la clé, utilisez Azure PowerShell ou Azure CLI.

Pour faire pivoter manuellement la version de la clé à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <resource-group>, <storage-account-name>, <key-vault-name> et <key-name> par vos propres valeurs.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Pour faire pivoter manuellement la version de la clé à l’aide de Azure CLI, exécutez les commandes suivantes. Remplacez <storage-account-name>, <resource-group>, <key-vault-name> et <key-name> par vos propres valeurs.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Modifier la clé

Pour changer de compte de stockage pour utiliser une clé entièrement différente, créez ou importez une clé dans votre coffre de clés (consultez Créer ou importer une clé de chiffrement), puis mettez à jour la configuration de chiffrement du compte de stockage pour utiliser la nouvelle clé.

Pour modifier la clé à l’aide du portail Azure, procédez comme suit :

Accédez à votre compte de stockage.
Dans le menu du service, sous Sécurité + mise en réseau, sélectionnez Chiffrement.
Sélectionnez Changer la clé.
Sélectionnez un coffre de clés et une clé, puis choisissez votre coffre de clés et votre nouvelle clé.
Cliquez sur Enregistrer.

Pour modifier la clé à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <resource-group>, <storage-account-name>, <key-vault-name> et <new-key-name> par vos propres valeurs. Pour utiliser la mise à jour automatique de la version de clé (recommandé), omettez le -KeyVersion paramètre.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Pour modifier la clé à l’aide de Azure CLI, exécutez les commandes suivantes. Remplacez <storage-account-name>, <resource-group>, <key-vault-name> et <new-key-name> par vos propres valeurs. Pour utiliser la mise à jour automatique de la version de clé (recommandé), omettez le --encryption-key-version paramètre.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

Vous pouvez bloquer immédiatement l’accès aux données de partage de fichiers chiffrées en désactivant ou en supprimant la clé gérée par le client. Bien que la clé soit désactivée, toutes les opérations de plan de données Azure Files échouent avec HTTP 403 (Interdit), notamment :

Répertorier les répertoires et les fichiers
Créer/obtenir/définir un répertoire ou un fichier
Obtenir/définir des métadonnées de fichier
Définir la plage, copier le fichier, renommer le fichier

Pour révoquer l’accès à vos données de partage de fichiers, désactivez la clé dans le coffre de clés à l’aide du portail Azure, Azure PowerShell ou Azure CLI. Réactivez la clé pour restaurer l’accès.

Pour désactiver la clé à l’aide du portail Azure, procédez comme suit :

Accédez à votre coffre de clés dans le Portail Azure.
Dans le menu de service, sous Objets, sélectionnez Clés.
Cliquez avec le bouton droit sur la clé, puis sélectionnez Désactiver.

Pour désactiver la clé à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <key-vault-name> et <key-name> par vos propres valeurs.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Pour désactiver la clé à l’aide de Azure CLI, exécutez la commande suivante. Remplacez <key-vault-name> et <key-name> par vos propres valeurs.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Revenir aux clés gérées par Microsoft

Si vous n’avez plus besoin de clés gérées par le client, vous pouvez revenir au compte de stockage à l’aide de clés gérées par Microsoft pour le chiffrement à l’aide du portail Azure, Azure PowerShell ou Azure CLI.

Pour revenir aux clés gérées par Microsoft à l’aide du portail Azure, procédez comme suit :

Accédez à votre compte de stockage dans le portail Azure.
Dans le menu du service, sous Sécurité + mise en réseau, sélectionnez Chiffrement.
Remplacez Encryption type par Clés gérées par Microsoft.
Cliquez sur Enregistrer.

Pour revenir aux clés gérées par Microsoft à l’aide de Azure PowerShell, exécutez l’applet de commande suivante. Remplacez <resource-group> et <storage-account-name> par vos propres valeurs.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Pour revenir aux clés gérées par Microsoft à l’aide de Azure CLI, exécutez la commande suivante. Remplacez <resource-group> et <storage-account-name> par vos propres valeurs.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Pour plus d’informations sur le chiffrement et la gestion des clés, consultez les articles suivants.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-08