Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser Azure Key Vault pour contrôler la propriété des clés utilisées pour chiffrer vos données dans Azure HPC Cache. Cet article explique comment utiliser des clés gérées par le client pour le chiffrement des données de cache.
Note
Toutes les données stockées dans Azure, y compris sur les disques de cache, sont chiffrées au repos à l’aide de clés gérées par Microsoft par défaut. Vous devez uniquement suivre les étapes décrites dans cet article si vous souhaitez gérer les clés utilisées pour chiffrer vos données.
Azure HPC Cache est également protégé par le chiffrement de l’hôte de machine virtuelle sur les disques managés qui contiennent vos données mises en cache, même si vous ajoutez une clé client pour les disques de cache. L’ajout d’une clé gérée par le client pour le double chiffrement offre un niveau de sécurité supplémentaire pour les clients ayant des besoins de sécurité élevés. Pour plus d’informations, lisez le chiffrement côté serveur du stockage disque Azure .
Il existe trois étapes pour activer le chiffrement de clé géré par le client pour Azure HPC Cache :
Configurez un coffre de clés Azure pour stocker les clés.
Lors de la création d’Azure HPC Cache, choisissez le chiffrement de clé géré par le client et spécifiez le coffre de clés et la clé à utiliser. Si vous le souhaitez, fournissez une identité managée pour le cache à utiliser pour accéder au coffre de clés.
Selon les choix que vous effectuez dans cette étape, vous pourrez peut-être ignorer l’étape 3. Lisez l’option Choisir une identité managée pour le cache pour plus d’informations.
Si vous utilisez une identité managée affectée par le système ou une identité affectée par l’utilisateur qui n’est pas configurée avec l’accès au coffre de clés : accédez au cache nouvellement créé et autorisez-le à accéder au coffre de clés.
Si l’identité managée n’a pas déjà accès à Azure Key Vault, votre chiffrement n’est pas entièrement configuré tant que vous ne l’avez pas autorisé à partir du cache nouvellement créé (étape 3).
Si vous utilisez une identité managée par le système, l’identité est créée lors de la création du cache. Vous devez transmettre l’identité du cache au coffre de clés pour le rendre un utilisateur autorisé après la création du cache.
Vous pouvez ignorer cette étape si vous attribuez une identité managée par l’utilisateur qui a déjà accès au coffre de clés.
Après avoir créé le cache, vous ne pouvez pas changer entre les clés gérées par le client et les clés gérées par Microsoft. Toutefois, si votre cache utilise des clés gérées par le client, vous pouvez modifier la clé de chiffrement, la version de la clé et le coffre de clés en fonction des besoins.
Comprendre le coffre-fort de clés et les exigences relatives aux clés
Le coffre de clés et la clé doivent répondre à ces exigences pour fonctionner avec Azure HPC Cache.
Propriétés du coffre-fort de clés :
- Abonnement : utilisez le même abonnement que celui utilisé pour le cache.
- Region - Le Key Vault doit se trouver dans la même région que le cache HPC Azure.
- Niveau tarifaire : le niveau standard est suffisant pour une utilisation avec Azure HPC Cache.
- Suppression réversible – Azure HPC Cache activera la suppression réversible si elle n’est pas déjà configurée dans le coffre de clés.
- Protection contre la purge : la protection contre la purge doit être activée.
- Stratégie d’accès : les paramètres par défaut sont suffisants.
- Connectivité réseau : Azure HPC Cache doit être en mesure d’accéder au coffre de clés, quel que soit les paramètres de point de terminaison que vous choisissez.
Propriétés de clé :
- Type de clé : RSA
- Taille de clé RSA : 2048
- Activée : oui
Autorisations d’accès au coffre de clés :
L’utilisateur qui crée Azure HPC Cache doit disposer d’autorisations équivalentes au rôle contributeur Key Vault. Les mêmes autorisations sont requises pour configurer et gérer Azure Key Vault.
Pour plus d’informations, lisez l’accès sécurisé à un coffre de clés .
Choisir une option d’identité managée pour le cache
Votre HPC Cache utilise ses informations d'identité gérée pour se connecter à Azure Key Vault.
Azure HPC Cache peut utiliser deux types d’identités managées :
Identité gérée attribuée par le système : identité unique créée automatiquement pour votre cache. Cette identité managée existe uniquement alors que hpC Cache existe et qu’elle ne peut pas être directement gérée ou modifiée.
Identité gérée affectée par l'utilisateur: une crédentialité d'identité autonome gérée séparément du cache. Vous pouvez configurer une identité managée affectée par l’utilisateur qui a exactement l’accès souhaité et l’utiliser dans plusieurs caches HPC.
Si vous n’affectez pas d’identité managée au cache lorsque vous le créez, Azure crée automatiquement une identité managée affectée par le système pour le cache.
En utilisant une identité managée assignée par l'utilisateur, vous pouvez fournir une identité qui a déjà accès à votre coffre-fort de clés. (Par exemple, il a été ajouté à la stratégie d’accès au coffre de clés ou a un rôle RBAC Azure qui autorise l’accès.) Si vous utilisez une identité attribuée par le système ou fournissez une identité managée qui n’a pas accès, vous devez demander l’accès à partir du cache après sa création. Il s’agit d’une étape manuelle décrite ci-dessous à l’étape 3.
En savoir plus sur les identités managées
Découvrir les principes de base d’Azure Key Vault
1. Configurer Azure Key Vault
Vous pouvez configurer un coffre de clés et une clé avant de créer le cache, ou le faire dans le cadre de la création du cache. Assurez-vous que ces ressources répondent aux exigences décrites ci-dessus.
Au moment de la création du cache, vous devez spécifier un coffre, une clé et une version de clé à utiliser pour le chiffrement du cache.
Pour plus d’informations, consultez la documentation Azure Key Vault .
Note
Azure Key Vault doit utiliser le même abonnement et se trouver dans la même région que le cache HPC Azure. Assurez-vous que la région que vous choisissez prend en charge les deux produits.
2. Créer le cache avec des clés gérées par le client activées
Vous devez spécifier la source de clé de chiffrement lorsque vous créez votre cache AZURE HPC. Suivez les instructions fournies dans Créer un cache HPC Azure et spécifiez le coffre de clés et la clé dans la page clés de chiffrement de disque . Vous pouvez créer un nouveau coffre de clés et une nouvelle clé pendant la création du cache.
Tip
Si la page clés de chiffrement de disque n’apparaît pas, vérifiez que votre cache se trouve dans l’une des régions prises en charge.
L’utilisateur qui crée le cache doit avoir des privilèges égaux au rôle contributeur Key Vault ou supérieur.
Cliquez sur le bouton pour activer les clés gérées en privé. Après avoir modifié ce paramètre, les paramètres du coffre de clés s’affichent.
Cliquez sur Sélectionner un coffre de clés pour ouvrir la page de sélection de clés. Choisissez ou créez le coffre de clés et la clé pour chiffrer les données sur les disques de ce cache.
Si votre azure Key Vault n’apparaît pas dans la liste, vérifiez les conditions suivantes :
- Le cache se trouve-t-il dans le même abonnement que le coffre de clés ?
- Le cache se trouve-t-il dans la même région que le coffre de clés ?
- Existe-t-il une connectivité réseau entre le Portail Azure et le coffre de clés ?
Après avoir sélectionné un coffre, sélectionnez la clé spécifique parmi les options disponibles ou créez une nouvelle clé. La clé doit être une clé RSA 2048 bits.
Spécifiez la version de la clé sélectionnée. En savoir plus sur le contrôle de version dans la documentation Azure Key Vault.
Ces paramètres sont facultatifs :
Cochez la case Toujours utiliser la version actuelle de la clé si vous souhaitez utiliser la permutation automatique des clés.
Si vous souhaitez utiliser une identité managée spécifique pour ce cache, sélectionnez Utilisateur affecté dans la section Identités managées et sélectionnez l’identité à utiliser. Lisez la documentation sur les identités managées pour obtenir de l’aide.
Tip
Une identité managée affectée par l’utilisateur peut simplifier la création du cache si vous transmettez une identité déjà configurée pour accéder à votre coffre de clés. Avec une identité gérée attribuée par le système, vous devez effectuer une étape supplémentaire après la création du cache afin d’autoriser l'identité système nouvellement créée du cache à utiliser votre coffre de clés.
Note
Vous ne pouvez pas modifier l’identité attribuée après la création du cache.
Poursuivez avec le reste des spécifications et créez le cache, comme décrit dans Créer un cache HPC Azure.
3. Autoriser le chiffrement Azure Key Vault à partir du cache (si nécessaire)
Note
Cette étape n’est pas nécessaire si vous avez fourni une identité managée affectée par l’utilisateur avec accès au coffre de clés lors de la création du cache.
Après quelques minutes, le nouveau cache HPC Azure s’affiche dans votre portail Azure. Accédez à la page Vue d’ensemble pour l’autoriser à accéder à votre coffre de clés Azure et activer le chiffrement de clé géré par le client.
Tip
Le cache peut apparaître dans la liste des ressources avant que les messages « déploiement en cours » ne s’effacent. Vérifiez la liste de vos ressources après une minute ou deux au lieu d’attendre une notification de réussite.
Vous devez autoriser le chiffrement dans les 90 minutes après la création du cache. Si vous n’effectuez pas cette étape, le cache expire et échoue. Un cache ayant échoué doit être recréé, il ne peut pas être résolu.
Le cache affiche l’état En attente de clé. Cliquez sur le bouton Activer le chiffrement en haut de la page pour autoriser le cache à accéder au coffre de clés spécifié.
Cliquez sur Activer le chiffrement , puis sur le bouton Oui pour autoriser le cache à utiliser la clé de chiffrement. Cette action active également la suppression réversible et la protection contre la purge (si elles ne sont pas déjà activées) sur l'entrepôt de clés.
Une fois que le cache demande l’accès au coffre de clés, il peut créer et chiffrer les disques qui stockent les données mises en cache.
Après avoir autorisé le chiffrement, Azure HPC Cache passe plusieurs minutes de configuration pour créer les disques chiffrés et l’infrastructure associée.
Mettre à jour les paramètres de clé
Vous pouvez modifier le coffre de clés, la clé ou la version de clé de votre cache à partir du portail Azure. Cliquez sur le lien Paramètres de chiffrement du cache pour ouvrir la page paramètres de la clé client .
Vous ne pouvez pas modifier un cache entre les clés gérées par le client et les clés gérées par le système.
Cliquez sur le lien Modifier la clé , puis sur Modifier le coffre de clés, la clé ou la version pour ouvrir le sélecteur de clés.
Les coffres de clés dans le même abonnement et la même région que ce cache sont affichés dans la liste.
Après avoir choisi les nouvelles valeurs de clé de chiffrement, cliquez sur Sélectionner. Une page de confirmation s’affiche avec les nouvelles valeurs. Cliquez sur Enregistrer pour finaliser la sélection.
En savoir plus sur les clés gérées par le client dans Azure
Ces articles expliquent plus en détail l’utilisation d’Azure Key Vault et des clés gérées par le client pour chiffrer les données dans Azure :
- Vue d’ensemble du chiffrement du stockage Azure
- Chiffrement de disque avec des clés gérées par le client - Documentation sur l’utilisation d’Azure Key Vault avec des disques managés, ce qui est un scénario similaire à Azure HPC Cache
Étapes suivantes
Une fois que vous avez créé Azure HPC Cache et le chiffrement basé sur Key Vault autorisé, continuez à configurer votre cache en lui accordant l’accès à vos sources de données.