Utiliser des clés de chiffrement gérées par le client avec Azure Managed Lustre
Vous pouvez utiliser Azure Key Vault pour contrôler la propriété des clés utilisées pour chiffrer vos données stockées dans un système de fichiers Azure Managed Lustre. Cet article explique comment utiliser des clés gérées par le client pour le chiffrement des données avec Azure Managed Lustre.
Remarque
Toutes les données stockées dans Azure sont chiffrées au repos à l’aide de clés gérées par Microsoft par défaut. Vous devez uniquement suivre les étapes décrites dans cet article si vous souhaitez gérer les clés utilisées pour chiffrer vos données lorsqu’elles sont stockées dans votre cluster Azure Managed Lustre.
Le chiffrement de l’hôte de machine virtuelle protège toutes les informations sur les disques managés qui contiennent vos données dans un système de fichiers Azure Managed Lustre, même si vous ajoutez une clé client pour les disques Lustre. L’ajout d’une clé gérée par le client offre un niveau de sécurité supplémentaire pour les besoins de sécurité élevés. Pour plus d’informations, consultez le chiffrement côté serveur du stockage de disque Azure.
Il existe trois étapes pour activer le chiffrement de clé gérée par le client pour Azure Managed Lustre :
- Configurez un coffre de clés Azure pour stocker les clés.
- Créez une identité managée qui peut accéder à ce coffre de clés.
- Lors de la création du système de fichiers, choisissez le chiffrement de clé géré par le client et spécifiez le coffre de clés, la clé et l’identité managée à utiliser.
Cet article explique ces étapes plus en détail.
Après avoir créé le système de fichiers, vous ne pouvez pas changer entre les clés gérées par le client et les clés gérées par Microsoft.
Prérequis
Vous pouvez utiliser un coffre de clés et une clé préexistants, ou vous pouvez en créer de nouveaux pour les utiliser avec Azure Managed Lustre. Consultez les paramètres requis suivants pour vous assurer que vous disposez d’un coffre de clés et d’une clé correctement configurés.
Créer un coffre de clés et une clé
Configurez un coffre de clés Azure pour stocker vos clés de chiffrement. Le coffre de clés et la clé doivent répondre à ces exigences pour utiliser Azure Managed Lustre.
Propriétés du coffre de clés
Les paramètres suivants sont requis pour une utilisation avec Azure Managed Lustre. Vous pouvez configurer les options qui ne sont pas répertoriées en fonction des besoins.
Paramètres de base:
- Abonnement : utilisez le même abonnement que celui utilisé pour le cluster Azure Managed Lustre.
- Région : le coffre de clés doit se trouver dans la même région que le cluster Azure Managed Lustre.
- Niveau tarifaire : le niveau standard est suffisant pour une utilisation avec Azure Managed Lustre.
- Suppression réversible : Azure Managed Lustre active la suppression réversible si elle n’est pas déjà configurée sur le coffre de clés.
- Protection contre le vidage : activez la protection contre le vidage.
Stratégie d’accès :
- Configuration d’accès - Définir sur le contrôle d’accès en fonction du rôle Azure.
Mise en réseau :
Accès public : doit être activé.
Autoriser l’accès - Sélectionner tous les réseaux ou, si vous avez besoin de restreindre l’accès, sélectionnez Réseaux sélectionnés
- Si les réseaux sélectionnés sont choisis, vous devez activer l’option Autoriser les services Microsoft approuvées pour contourner cette option de pare-feu dans la section Exception ci-dessous.
Remarque
Si vous utilisez un coffre de clés existant, vous pouvez consulter la section paramètres réseau pour vérifier que l’autorisation d’accès à partir de laquelle l’accès est défini sur Autoriser l’accès public à partir de tous les réseaux ou apporter des modifications si nécessaire.
Propriétés clés
- Type de clé : RSA
- Taille de clé RSA : 2048
- Activée : oui
Autorisations d’accès au coffre de clés :
L’utilisateur qui crée le système Azure Managed Lustre doit disposer d’autorisations équivalentes au rôle contributeur Key Vault. Les mêmes autorisations sont requises pour configurer et gérer Azure Key Vault.
Pour plus d’informations, consultez Accès sécurisé à un coffre de clés.
En savoir plus sur les principes de base d’Azure Key Vault.
Créer une identité managée attribuée par l’utilisateur
Le système de fichiers Azure Managed Lustre a besoin d’une identité managée affectée par l’utilisateur pour accéder au coffre de clés.
Les identités managées sont des informations d’identification d’identité autonomes qui prennent la place des identités utilisateur lors de l’accès aux services Azure via l’ID Microsoft Entra. Comme d’autres utilisateurs, ils peuvent être affectés à des rôles et des autorisations. En savoir plus sur les Identités managées.
Créez cette identité avant de créer le système de fichiers et donnez-lui accès au coffre de clés.
Remarque
Si vous fournissez une identité managée qui ne peut pas accéder au coffre de clés, vous ne pourrez pas créer le système de fichiers.
Pour plus d’informations, consultez la documentation sur les identités managées :
Créer le système de fichiers Azure Managed Lustre avec des clés de chiffrement gérées par le client
Lorsque vous créez votre système de fichiers Azure Managed Lustre, utilisez l’onglet Clés de chiffrement de disque pour sélectionner Client géré dans le paramètre de type de clé de chiffrement de disque. D’autres sections s’affichent pour les paramètres de clé client et les identités managées.
N’oubliez pas que vous ne pouvez configurer que les clés gérées par le client au moment de la création. Vous ne pouvez pas modifier le type de clés de chiffrement utilisées pour un système de fichiers Azure Managed Lustre existant.
Paramètres de la clé client
Sélectionnez le lien dans les paramètres de clé client pour sélectionner les paramètres de coffre de clés, de clé et de version. Vous pouvez également créer un coffre de clés Azure à partir de cette page. Si vous créez un coffre de clés, n’oubliez pas de lui accorder l’accès à votre identité managée.
Si votre azure Key Vault n’apparaît pas dans la liste, vérifiez les conditions suivantes :
- Le système de fichiers se trouve-t-il dans le même abonnement que le coffre de clés ?
- Le système de fichiers se trouve-t-il dans la même région que le coffre de clés ?
- Existe-t-il une connectivité réseau entre le Portail Azure et le coffre de clés ?
Après avoir sélectionné un coffre, sélectionnez la clé individuelle parmi les options disponibles ou créez une nouvelle clé. La clé doit être une clé RSA 2048 bits.
Spécifiez la version de la clé sélectionnée. Pour plus d’informations sur le contrôle de version, consultez la documentation Azure Key Vault.
Paramètres des identités managées
Sélectionnez le lien dans les identités managées et sélectionnez l’identité utilisée par le système de fichiers Azure Managed Lustre pour l’accès au coffre de clés.
Après avoir configuré ces paramètres de clé de chiffrement, passez à l’onglet Vérifier + créer et terminez la création du système de fichiers comme d’habitude.
Étapes suivantes
Ces articles expliquent plus en détail l’utilisation d’Azure Key Vault et des clés gérées par le client pour chiffrer les données dans Azure :