DocumentationExperience PlatformPrésentation d’Experience Platform

Configuration d’un coffre de clés Azure pour les clés gérées par le client

Last update: Thu Jun 19 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Rubriques :

Créé pour :

  • Développeur

Les clés gérées par le client (CMK) prennent en charge les clés des coffres de clés Microsoft Azure et des Key Management Service (KMS) AWS. Si votre implémentation est hébergée sur Azure, suivez les étapes ci-dessous pour créer un coffre Key Vault. Pour les implémentations hébergées par AWS, consultez le guide de configuration d’AWS KMS.

IMPORTANT
Seuls les niveaux HSM Standard, Premium et Managed pour Azure Key Vault sont pris en charge. Azure Dedicated HSM et Azure Payments HSM ne sont pas pris en charge. Reportez-vous à la documentation d’Azurepour plus d’informations sur les services de gestion de clés proposés.
NOTE
La documentation ci-dessous ne couvre que les étapes de base pour créer le coffre de clés. En dehors de ces instructions, vous devez configurer le coffre de clés en fonction des politiques de votre entreprise.

Connectez-vous au portail Azure et utilisez la barre de recherche pour accéder à Key vaults sous la liste des services.

La fonction de recherche dans Microsoft Azure avec Key vaults mis en surbrillance dans les résultats de la recherche.

La page Key vaults s’affiche après avoir sélectionné le service. À partir de là, sélectionnez Create.

Tableau de bord Key vaults dans Microsoft Azure avec Create mis en surbrillance.

À l’aide du formulaire fourni, renseignez les détails de base du coffre de clés, y compris un nom et un groupe de ressources affecté.

WARNING
Bien que la plupart des options puissent rester sur leurs valeurs par défaut, assurez-vous d’activer les options de suppression réversible et de protection contre le vidage. Si vous n’activez pas ces fonctionnalités, vous risquez de perdre l’accès à vos données si le coffre de clés est supprimé.
Le workflow Microsoft Azure Create a Key Vault avec suppression réversible et protection contre le vidage est mis en surbrillance.

À partir de là, continuez à parcourir le workflow de création du coffre de clés et configurez les différentes options en fonction des politiques de votre entreprise.

Une fois l’étape Review + create atteinte, vous pouvez consulter les détails du coffre de clés pendant la validation. Une fois la validation acceptée, sélectionnez Create pour terminer le processus.

Les coffres de clés Azure Microsoft Examinez et créez une page avec l’option Créer mise en surbrillance.

Configuration de l’accès configure-access

Ensuite, activez le contrôle d’accès basé sur les rôles Azure pour votre coffre de clés. Sélectionnez Access configuration dans la section Settings du volet de navigation de gauche, puis sélectionnez Azure role-based access control pour activer le paramètre. Cette étape est essentielle, car l’application CMK doit être associée ultérieurement à un rôle Azure. L’attribution d’un rôle est documentée dans les workflows API et UI.

Tableau de bord Microsoft Azure avec Access configuration et Azure role-based access control mis en surbrillance.

Configurer les options de mise en réseau configure-network-options

Si votre coffre de clés est configuré pour restreindre l’accès public à certains réseaux virtuels ou pour désactiver entièrement l’accès public, vous devez Microsoft une exception de pare-feu.

Sélectionnez Networking dans le volet de navigation de gauche. Sous Firewalls and virtual networks, cochez la case Allow trusted Microsoft services to bypass this firewall, puis sélectionnez Apply.

NOTE
Si votre coffre de clés utilise un accès réseau restreint, Adobe vous recommande d’ajouter l’adresse IP statique suivante : 20.88.123.53. L’ajout de cette adresse IP permet aux services Adobe de surveiller plus efficacement la connectivité et de fournir des alertes sur Platform lorsque des problèmes d’accès sont détectés.
Pour en savoir plus sur quand et quand placer sur la liste autorisée l’adresse IP d’Adobe, comment les alertes fonctionnent et comment répondre aux notifications d’accès clé en cas d’échec, consultez Configuration des alertes et de l’accès IP pour Azure CMK.
Si votre coffre de clés est déjà configuré pour autoriser l’accès au réseau public, aucune autre action n’est requise.

Onglet Networking de Microsoft Azure avec Networking et Allow trusted Microsoft surfaces to bypass this firewall exception en surbrillance.

Générer une clé generate-a-key

Une fois que vous avez créé un coffre de clés, vous pouvez générer une nouvelle clé. Accédez à l’onglet Keys et sélectionnez Generate/Import.

Onglet Keys de la Azure avec le Generate import mis en surbrillance.

Utilisez le formulaire fourni pour attribuer un nom à la clé, puis sélectionnez RSA ou RSA-HSM pour le type de clé. Pour les implémentations hébergées sur Azure, la RSA key size doit être d’au moins 3 072 bits ​comme requis pour Azure Cosmos DB. Azure Data Lake Storage est également compatible avec RSA 3027.

NOTE
Mémorisez le nom que vous indiquez pour la clé, car il est nécessaire pour envoyer la clé à Adobe.

Utilisez les commandes restantes pour configurer la clé que vous souhaitez générer ou importer selon vos besoins. Lorsque vous avez terminé, sélectionnez Create.

Tableau de bord Create a key avec 3072 bits mis en surbrillance.

La clé configurée apparaît dans la liste des clés du coffre.

Espace de travail Keys avec le nom de clé en surbrillance.

Étapes suivantes

Pour poursuivre le processus unique de configuration de la fonctionnalité Clés gérées par le client, suivez les guides de configuration pour l’environnement d’hébergement de votre plateforme :

  • Par Azure, utilisez les guides de configuration API ou UI.
  • Pour AWS, reportez-vous au guide de configuration de KMS d’AWS et au guide de configuration de l’interface utilisateur IU.
recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5