Configurer la rotation automatique des clés dans Azure Managed HSM

Vue d’ensemble

Notes

La rotation automatique des clés nécessite Azure CLI version 2.42.0 ou ultérieure.

La rotation automatique des clés dans Managed HSM permet aux utilisateurs de configurer Managed HSM de manière à générer automatiquement une nouvelle version de clé à une fréquence spécifiée. Vous pouvez définir une stratégie de rotation pour configurer la rotation de chaque clé individuelle, voire pour faire pivoter les clés à la demande. Il est recommandé d’effectuer une rotation des clés de chiffrement au moins tous les deux ans afin de respecter les meilleures pratiques en matière de chiffrement. Pour obtenir des conseils et des recommandations supplémentaires, consultez NIST SP 800-57 - Première partie.

Cette fonctionnalité permet une rotation de bout en bout sans intervention pour le chiffrement au repos des services Azure avec des clés gérées par le client (CMK) stockées dans Azure Managed HSM. Consultez la documentation spécifique des services Azure pour voir si le service couvre la rotation de bout en bout.

Tarifs

La rotation des clés Managed HSM n’est pas facturée. Pour plus d’informations sur la tarification de Managed HSM, consultez la page Tarification d’Azure Key Vault

Avertissement

Managed HSM présente une limite de 100 versions par clé. Les versions des clés créées dans le cadre de la rotation automatique ou manuelle comptent dans cette limite.

Autorisations requises

La rotation d’une clé ou la définition d’une stratégie de rotation de clé requiert des autorisations de gestion de clés spécifiques. Vous pouvez attribuer le rôle « Utilisateur du chiffrement Managed HSM » pour obtenir des autorisations suffisantes afin de gérer la stratégie de rotation et la rotation à la demande.

Pour plus d’informations sur la configuration des autorisations RBAC locales sur Managed HSM, consultez Gestion des rôles Managed HSM.

Notes

La définition d’une stratégie de rotation requiert l’autorisation « Écriture de clé ». La rotation d’une clé à la demande nécessite des autorisations « Rotation ». Elles sont incluses avec le rôle intégré « Utilisateur du chiffrement Managed HSM »

Stratégie de rotation des clés

La stratégie de rotation des clés permet aux utilisateurs de configurer les intervalles de rotation et de définir l’intervalle d’expiration des clés pivotées. Elle doit être définie pour permettre la rotation des clés à la demande.

Notes

Managed HSM ne prend pas en charge les notifications Event Grid.

Paramètres de la stratégie de rotation des clés :

• Heure d’expiration : intervalle d’expiration de clé (28 jours minimum). Elle est utilisée pour définir la date d’expiration d’une clé nouvellement pivotée (par exemple, après la rotation, la nouvelle clé est définie pour expirer dans 30 jours).
• Types de rotation :
  • Renouveler automatiquement à un moment donné après la création
  • Renouveler automatiquement à un moment donné avant l’expiration. « Date d’expiration » doit être définie sur la clé pour que cet événement se déclenche.

Avertissement

Une stratégie de rotation automatique ne peut imposer la création de nouvelles versions de clés plus fréquemment qu’une fois tous les 28 jours. Pour les stratégies de rotation basées sur la création, cela signifie que la valeur minimale pour timeAfterCreate est P28D. Pour les stratégies de rotation basées sur l’expiration, la valeur maximale pour timeBeforeExpiry dépend de expiryTime. Par exemple, si expiryTime est P56Dle cas, timeBeforeExpiry peut être au maximum P28D.

Configurer une stratégie de rotation des clés

Azure CLI

Écrivez une stratégie de rotation des clés et enregistrez-la dans un fichier. Utilisez les formats de durée ISO8601 pour spécifier des intervalles de temps. Des exemples de stratégies sont fournis dans la section suivante. Utilisez la commande suivante pour appliquer la stratégie à une clé.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Exemples de stratégies

Faites pivoter la clé 18 mois après sa création et définissez la nouvelle clé pour qu’elle expire au bout de deux ans.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Faites pivoter la clé 28 jours avant l’expiration et définissez la nouvelle clé pour qu’elle expire au bout d’un an.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Supprimer la stratégie de rotation des clés (moyennant la définition d’une stratégie vide)

{
  "lifetimeActions": [],
  "attributes": {}
}

Rotation à la demande

Après avoir définir une stratégie de rotation pour la clé, vous pouvez également la faire pivoter à la demande. Vous devez d’abord définir une stratégie de rotation des clés.

Azure CLI

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Ressources

• Gestion du rôle HSM managé
• Chiffrement des données Azure au repos
• Chiffrement du stockage Azure