Configurer un coffre Azure Key Vault
Les clés gérées par le client (CMK) ne prennent en charge que les clés d’un Key Vault Microsoft Azure. Pour commencer, vous devez travailler avec Azure pour créer un compte d’entreprise ou utiliser un compte d’entreprise existant et suivre les étapes ci-dessous pour créer le Key Vault.
Connectez-vous au portail Azure et utilisez la barre de recherche pour accéder à Key vaults sous la liste des services.
La page Key vaults s’affiche après avoir sélectionné le service. À partir de là, sélectionnez Create.
À l’aide du formulaire fourni, renseignez les détails de base du Key Vault, y compris un nom et un groupe de ressources affecté.
À partir de là, continuez à parcourir le workflow de création de Key Vault et configurez les différentes options en fonction des stratégies de votre entreprise.
Une fois que vous êtes arrivé à l’étape Review + create, vous pouvez consulter les détails du Key Vault pendant la validation. Une fois la validation acceptée, sélectionnez Create pour terminer le processus.
Configurer l’accès configure-access
Ensuite, activez le contrôle d’accès basé sur les rôles Azure pour votre coffre-fort de clé. Sélectionnez Access configuration dans la section Settings du volet de navigation de gauche, puis sélectionnez Azure role-based access control pour activer le paramètre. Cette étape est essentielle, car l’application CMK doit être associée ultérieurement à un rôle Azure. L’affectation d’un rôle est documentée dans les workflows API et UI .
Configurer les options de mise en réseau configure-network-options
Si votre Key Vault est configuré pour restreindre l'accès public à certains réseaux virtuels ou désactiver entièrement l'accès public, vous devez accorder à Microsoft une exception de pare-feu.
Sélectionnez Networking dans le volet de navigation de gauche. Sous Firewalls and virtual networks, cochez la case Allow trusted Microsoft services to bypass this firewall, puis sélectionnez Apply.
Générer une clé generate-a-key
Une fois que vous avez créé un KeyVault, vous pouvez en générer une nouvelle. Accédez à l’onglet Keys et sélectionnez Generate/Import.
Utilisez le formulaire fourni pour donner un nom à la clé et sélectionnez RSA ou RSA-HSM pour le type de clé. Au minimum, RSA key size doit être au moins 3072 bits comme requis par Cosmos DB. Azure Data Lake Storage est également compatible avec RSA 3027.
Utilisez les commandes restantes pour configurer la clé que vous souhaitez générer ou importer selon vos besoins. Lorsque vous avez terminé, sélectionnez Create.
La clé configurée apparaît dans la liste des clés du coffre.
Étapes suivantes
Pour poursuivre le processus unique de configuration de la fonctionnalité de clés gérées par le client, continuez avec les guides de configuration des clés API ou IU gérés par le client.