Claves administradas por el cliente para el cifrado de Azure Storage

Puede usar su propia clave de cifrado para proteger los datos de la cuenta de almacenamiento. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. Las claves administradas por el cliente ofrecen más flexibilidad para administrar controles de acceso.

Debe usar uno de los siguientes almacenes de claves de Azure para almacenar las claves administradas por el cliente:

• Azure Key Vault
• Módulo de seguridad de hardware (HSM) administrado por Azure Key Vault

Puede crear sus propias claves y almacenarlas en un almacén de claves o HSM administrado, o bien puede usar las API de Azure Key Vault para generarlas. La cuenta de almacenamiento y el almacén de claves o HSM administrado pueden ser diferentes inquilinos, regiones y suscripciones de Azure Active Directory (Azure AD).

Nota:

Azure Key Vault y HSM administrado de Azure Key Vault admiten las mismas API e interfaces de administración para la configuración.

Acerca de las claves administradas por el cliente

En el diagrama siguiente se muestra cómo Azure Storage usa Azure AD y un almacén de claves o HSM administrado para hacer solicitudes mediante la clave administrada por el cliente:

En la lista siguiente se explican los pasos numerados del diagrama:

1. Un administrador de Azure Key Vault concede permisos para las claves de cifrado a una identidad administrada. La identidad administrada puede ser una identidad administrada asignada por el usuario que haya creado y administrado, o bien una identidad administrada asignada por el sistema asociada a la cuenta de almacenamiento.
2. Un administrador de Azure Storage configura el cifrado con una clave administrada por el cliente para la cuenta de almacenamiento.
3. Azure Storage usa la identidad administrada a la que el administrador de Azure Key Vault concedió permisos en el paso 1 para autenticar el acceso a Azure Key Vault a través de Azure AD.
4. Azure Storage encapsula la clave de cifrado de la cuenta con la clave administrada por el cliente en Azure Key Vault.
5. En operaciones de lectura y escritura, Azure Storage envía solicitudes a Azure Key Vault para desencapsular la clave de cifrado de la cuenta con el fin de realizar operaciones de cifrado y descifrado.

La identidad administrada asociada a la cuenta de almacenamiento debe tener estos permisos como mínimo para acceder a una clave administrada por el cliente en Azure Key Vault:

• wrapkey
• unwrapkey
• get

Para obtener más información sobre los permisos de clave, consulte Tipos de claves, algoritmos y operaciones.

Azure Policy proporciona una directiva integrada para requerir que las cuentas de almacenamiento usen claves administradas por el cliente para cargas de trabajo de Blob Storage y Azure Files. Para obtener más información, consulte la sección Almacenamiento de las definiciones de directivas integradas de Azure Policy.

Claves administradas por el cliente para colas y tablas

Los datos almacenados en Queue y Table Storage no se protegen automáticamente mediante una clave administrada por el cliente cuando se habilitan las claves administradas por el cliente para la cuenta de almacenamiento. Opcionalmente, puede configurar estos servicios para que se incluyan en esta protección en el momento de crear la cuenta de almacenamiento.

Para más información sobre cómo crear una cuenta de almacenamiento que admita el uso de claves administradas por el cliente para colas y tablas, consulte Creación de una cuenta que admita las claves administradas por el cliente para tablas y colas.

Los datos en Blob Storage y Azure Files siempre están protegidos por claves administradas por el cliente cuando se han configurado las claves administradas por el cliente para la cuenta de almacenamiento.

Habilitación de claves administradas por el cliente para una cuenta de almacenamiento

Al configurar una clave administrada por el cliente, Azure Storage encapsula la clave de cifrado de la cuenta con la clave administrada por el cliente en el almacén de claves o HSM administrado asociado. La habilitación de claves administradas por el cliente surte efecto inmediatamente y no afecta al rendimiento.

Puede configurar claves administradas por el cliente con el almacén de claves y la cuenta de almacenamiento en el mismo inquilino o en distintos inquilinos de Azure AD. Para aprender a configurar el cifrado de Azure Storage con claves administradas por el cliente cuando el almacén de claves y la cuenta de almacenamiento están en los mismos inquilinos, consulte uno de los siguientes artículos:

• Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault.
• Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault.

Para aprender a configurar el cifrado de Azure Storage con claves administradas por el cliente cuando el almacén de claves y la cuenta de almacenamiento están en distintos inquilinos de Azure AD, consulte uno de los siguientes artículos:

• Configuración de claves administradas por el cliente entre inquilinos para una nueva cuenta de almacenamiento
• Configuración de claves administradas por el cliente entre inquilinos para una cuenta de almacenamiento existente

Al habilitar o deshabilitar las claves administradas por el cliente, o al modificar la clave o la versión de la clave, la protección de la clave de cifrado raíz cambia, pero los datos de la cuenta de Azure Storage permanecen cifrados en todo momento. No se requiere ninguna acción adicional por su parte para asegurarse de que los datos están protegidos. La rotación de la versión de la clave no afecta al rendimiento. No hay tiempo de inactividad asociado a la rotación de la versión de la clave.

Puede habilitar las claves administradas por el cliente en cuentas de almacenamiento nuevas y existentes. Al habilitar las claves administradas por el cliente, debe especificar una identidad administrada que se usará para autorizar el acceso al almacén de claves que contiene la clave. La identidad administrada puede ser una identidad administrada asignada por el usuario o asignada por el sistema:

• Si configura claves administradas por el cliente al crear una cuenta de almacenamiento, debe usar una identidad administrada asignada por el usuario.
• Si configura claves administradas por el cliente en una cuenta de almacenamiento existente, puede usar una identidad administrada asignada por el usuario o asignada por el sistema.

Para más información sobre las identidades administradas asignadas por el sistema en comparación con las asignadas por el usuario, consulte Identidades administradas para recursos de Azure.

Puede cambiar entre las claves administradas por el cliente y las claves administradas por Microsoft en cualquier momento. Para obtener más información sobre las claves administradas por Microsoft, vea Información sobre la administración de claves de cifrado.

Importante

Las claves administradas por el cliente dependen de identidades administradas para los recursos de Azure, una característica de Azure AD. Actualmente, las identidades administradas no admiten escenarios entre inquilinos. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada a la cuenta de almacenamiento en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o la cuenta de almacenamiento de un inquilino de Azure AD a otro, la identidad administrada asociada a la cuenta de almacenamiento no se transfiere al inquilino nuevo, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, vea Transferencia de una suscripción entre directorios de Azure AD en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.

El almacén de claves que almacena la clave debe tener habilitada la eliminación temporal y la protección de purga. El cifrado de almacenamiento de Azure admite claves RSA y RSA-HSM de los tamaños 2048, 3072 y 4096. Para obtener más información sobre las claves, consulte Acerca de las claves.

El uso de un almacén de claves o HSM administrado tiene costos asociados. Para más información, vea Precios de Key Vault.

Actualización de la versión de la clave

Al configurar el cifrado con claves administradas por el cliente, tiene dos opciones para actualizar la versión de la clave:

• Actualización automática de la versión de la clave: para actualizar automáticamente una clave administrada por el cliente a una nueva versión disponible, omita la versión de la clave al habilitar el cifrado con las claves administradas por el cliente para la cuenta de almacenamiento. Si se omite la versión de la clave, Azure Storage comprueba el almacén de claves o HSM administrado diariamente para obtener una nueva versión de una clave administrada por el cliente. Si hay disponible una nueva versión de la clave, Azure Storage usa automáticamente la versión más reciente.

  Azure Storage comprueba solo una vez al día el almacén de claves para obtener una nueva versión de la clave. Al girar una clave, asegúrese de esperar 24 horas antes de deshabilitar la versión anterior.

  Si la cuenta de almacenamiento se configuró anteriormente para la actualización manual de la versión de la clave y desea cambiarla para que se actualice automáticamente, es posible que tenga que cambiar explícitamente la versión de la clave a una cadena vacía. Para más información sobre cómo hacerlo, consulte Configuración de claves administradas por el cliente en un almacén de claves de Azure para una nueva cuenta de almacenamiento.

• Actualización manual de la versión de la clave: para usar una versión determinada de una clave para el cifrado de Azure Storage, especifique la versión de la clave al habilitar el cifrado con las claves administradas por el cliente para la cuenta de almacenamiento. Si especifica la versión de la clave, Azure Storage usará esa versión para el cifrado hasta que actualice manualmente la versión de la clave.

  Cuando se especifica la versión de la clave de manera explícita, debe actualizar manualmente la cuenta de almacenamiento para usar el nuevo URI de la versión de la clave cuando se crea una nueva versión. Para obtener más información sobre cómo actualizar la cuenta de almacenamiento para usar una nueva versión de la clave, consulte Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault o Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault.

Al habilitar o deshabilitar las claves administradas por el cliente, o al modificar la clave o la versión de la clave, la protección de la clave de cifrado raíz cambia, pero los datos de la cuenta de Azure Storage permanecen cifrados en todo momento. No se requiere ninguna acción adicional por su parte para asegurarse de que los datos están protegidos. La rotación de la versión de la clave no afecta al rendimiento. No hay tiempo de inactividad asociado a la rotación de la versión de la clave.

Nota:

Para rotar una clave, cree una nueva versión de la clave en el almacén de claves o HSM administrado, según las directivas de cumplimiento. Azure Storage no controla la rotación de claves, por lo que deberá administrar la rotación de la clave en el almacén de claves. Puede rotar las claves manualmente o configurarlas para que roten de forma automática.

Cuando rotas la clave que se usa para las claves administradas por el cliente, esa acción no se registra actualmente en los registros de Azure Monitor para Azure Storage.

Revocar el acceso a una cuenta de almacenamiento que usa claves administradas por el cliente

Para revocar el acceso a una cuenta de almacenamiento que usa claves administradas por el cliente, deshabilite la clave que se está usando en ese momento. Para obtener información sobre cómo deshabilitar una clave en el almacén de claves de Azure, consulte El impacto de cambiar las claves administradas por el cliente. Después de deshabilitar la clave, los clientes no pueden llamar a las operaciones que leen o escriben en un blob o en sus metadatos. Los intentos de llamar a cualquiera de las siguientes operaciones producirán un error con el código de error 403 (prohibido) para todos los usuarios:

• List Blobs, cuando se llama con el parámetro include=metadata en el URI de solicitud
• Get Blob
• Get Blob Properties
• Get Blob Metadata
• Set Blob Metadata
• Snapshot Blob, cuando se llama con el encabezado de solicitud x-ms-meta-name
• Copy Blob
• Copy Blob From URL
• Set Blob Tier
• Put Block
• Put Block From URL
• Append Block
• Append Block From URL
• Put Blob
• Put Page
• Put Page From URL
• Incremental Copy Blob (Copia incremental del blob)

Para volver a llamar a estas operaciones, restaure el acceso a la clave administrada por el cliente.

Todas las operaciones de datos que no aparecen en esta sección pueden continuar después de que se hayan revocado las claves administradas por el cliente o se haya deshabilitado o eliminado una clave.

Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure.

Claves administradas por el cliente para discos administrados por Azure

Las claves administradas por el cliente también están disponibles para administrar el cifrado de discos administrados por Azure. Las claves administradas por el cliente se comportan de forma diferente en los discos administrados que en los recursos de Azure Storage. Para más información, consulte Cifrado del lado servidor de Azure Managed Disks para Windows o Cifrado del lado servidor de Azure Managed Disks para Linux.

Pasos siguientes

• Cifrado de Azure Storage para datos en reposo
• Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault
• Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault.