Configurare chiavi gestite dal cliente tra tenant per un nuovo account di archiviazione

Archiviazione di Azure crittografa tutti i dati in un account di archiviazione inattivo. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile usare chiavi gestite dal cliente. Le chiavi gestite dal cliente devono essere archiviate in un'istanza di Azure Key Vault o in un modulo di protezione hardware gestito da Azure Key Vault.

Questo articolo illustra come configurare la crittografia con chiavi gestite dal cliente al momento della creazione di un nuovo account di archiviazione. Nello scenario tra tenant, l'account di archiviazione risiede in un tenant gestito da un fornitore di software indipendente (ISV), mentre la chiave usata per la crittografia dell'account di archiviazione risiede in un insieme di credenziali delle chiavi in un tenant gestito dal cliente.

Per informazioni su come configurare le chiavi gestite dal cliente per un account di archiviazione esistente, vedere Configurare chiavi gestite dal cliente tra tenant per un account di archiviazione esistente.

Nota

Azure Key Vault e il modulo di protezione hardware gestito da Azure Key Vault supportano le stesse API e interfacce di gestione per la configurazione delle chiavi gestite dal cliente. Qualsiasi azione supportata per Azure Key Vault è supportata anche per il modulo di protezione hardware gestito da Azure Key Vault.

Informazioni sulle chiavi gestite dal cliente tra tenant

Molti provider di servizi che creano offerte SaaS (Software as a Service) in Azure vogliono offrire ai clienti la possibilità di gestire le proprie chiavi di crittografia. Le chiavi gestite dal cliente consentono a un provider di servizi di crittografare i dati del cliente usando una chiave di crittografia gestita dal cliente del provider e non accessibile al provider stesso. In Azure, il cliente del provider di servizi può usare Azure Key Vault per gestire le chiavi di crittografia nel proprio tenant e nella propria sottoscrizione di Microsoft Entra.

I servizi e le risorse della piattaforma Azure di proprietà del provider di servizi e che risiedono nel suo tenant richiedono l'accesso alla chiave dal tenant del cliente per eseguire le operazioni di crittografia/decrittografia.

L'immagine seguente mostra la crittografia dei dati inattivi con identità federata in un flusso di lavoro CMK tra tenant che interessa un provider di servizi e il relativo cliente.

Nell'esempio precedente sono presenti due tenant di Microsoft Entra: il tenant di un provider di servizi indipendenti (Tenant 1) e il tenant di un cliente (Tenant 2). Tenant 1 ospita i servizi della piattaforma Azure e Tenant 2 ospita l'insieme di credenziali delle chiavi del cliente.

La registrazione di un'applicazione multi-tenant viene creata dal provider di servizi in Tenant 1. In questa applicazione viene creata una credenziale di identità federata usando un'identità gestita assegnata dall'utente. Il nome e l'ID applicazione dell'app vengono quindi condivisi con il cliente.

Un utente con le autorizzazioni appropriate installa l'applicazione del provider di servizi nel tenant del cliente, ovvero in Tenant 2. Un utente concede quindi all'entità servizio associato all'applicazione installata l'accesso all'insieme di credenziali delle chiavi del cliente. Il cliente archivia anche la chiave di crittografia o la chiave gestita dal cliente nell'insieme di credenziali delle chiavi. Il cliente condivide il percorso della chiave (l'URL della chiave) con il provider di servizi.

Il provider di servizi dispone ora di:

• Un ID applicazione per un'applicazione multi-tenant installata nel tenant del cliente, a cui è stato concesso l'accesso alla chiave gestita dal cliente.
• Un'identità gestita configurata come credenziale nell'applicazione multi-tenant.
• La posizione della chiave nell'insieme di credenziali delle chiavi del cliente.

Con questi tre parametri, il provider di servizi effettua il provisioning delle risorse di Azure in Tenant 1 che possono essere crittografate con la chiave gestita dal cliente in Tenant 2.

A questo punto, è possibile suddividere la soluzione end-to-end precedente in tre fasi:

1. Il provider di servizi configura le identità.
2. Il cliente concede all'app multi-tenant del provider di servizi l'accesso a una chiave di crittografia in Azure Key Vault.
3. Il provider di servizi crittografa i dati in una risorsa di Azure usando la chiave gestita dal cliente.

Le operazioni nella fase 1 sono una configurazione una tantum per la maggior parte delle applicazioni del provider di servizi. Le operazioni nelle fasi 2 e 3 si ripetono invece per ogni cliente.

Fase 1: il provider di servizi configura un'applicazione Microsoft Entra

Procedi	Descrizione	Ruolo minimo a livello di controllo degli accessi in base al ruolo di Azure	Ruolo minimo a livello di controllo degli accessi in base al ruolo di Microsoft Entra
1.	Creare una nuova registrazione dell'applicazione Microsoft Entra multi-tenant o iniziare con una registrazione dell'applicazione esistente. Prendere nota dell'ID applicazione (ID client) della registrazione dell'applicazione tramite il portale di Azure, l'API Microsoft Graph, Azure PowerShell o l'interfaccia della riga di comando di Azure	None	Sviluppatore di applicazioni
2.	Creare un'identità gestita assegnata dall'utente (da usare come credenziale di identità federata). Portale di Azure / Interfaccia della riga di comando di Azure / Azure PowerShell/ Modelli di Azure Resource Manager	Collaboratore di identità gestita	None
3.	Configurare l'identità gestita assegnata dall'utente come credenziale di identità federata nell'applicazione, in modo che possa rappresentare l'identità dell'applicazione. Informazioni di riferimento sulle API Graph/ Portale di Azure/ Interfaccia della riga di comando di Azure/ Azure PowerShell	None	Proprietario dell'applicazione
4.	Condividere il nome dell'applicazione e l'ID applicazione con il cliente, in modo che possano installare e autorizzare l'applicazione.	None	None

Considerazioni per i provider di servizi

• I modelli di Azure Resource Manager (ARM) non sono consigliati per la creazione di applicazioni Microsoft Entra.
• La stessa applicazione multi-tenant può essere usata per accedere alle chiavi in un numero qualsiasi di tenant, ad esempio Tenant 2, Tenant 3, Tenant 4 e così via. In ogni tenant viene creata un'istanza indipendente dell'applicazione con lo stesso ID applicazione ma un ID oggetto diverso. Ogni istanza di questa applicazione viene quindi autorizzata in modo indipendente. Si consideri il modo in cui l'oggetto applicazione usato per questa funzionalità viene impiegato per partizionare l'applicazione in tutti i clienti.
  • L'applicazione può avere un massimo di 20 credenziali di identità federate e ciò comporta che un provider di servizi condivida le identità federate tra i propri clienti. Per altre informazioni sulle considerazioni e sulle restrizioni di progettazione delle identità federate, vedere Configurare un'app per considerare attendibile un provider di identità esterno
• In rari scenari, un provider di servizi potrebbe usare un singolo oggetto Application per ogni cliente, ma richiede costi di manutenzione significativi per gestire le applicazioni su larga scala in tutti i clienti.
• Nel tenant del provider di servizi non è possibile automatizzare la verifica del server di pubblicazione.

Fase 2: il cliente autorizza l'accesso all'insieme di credenziali delle chiavi

Procedi	Descrizione	Ruoli Controllo degli accessi in base al ruolo di Azure con privilegi minimi	Ruoli di Microsoft Entra con privilegi minimi
1.	Consigliato: invitare l'utente ad accedere all'app. Se l'utente può accedere, nel tenant esiste un'entità servizio per l'app. Usare Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell o l'interfaccia della riga di comando di Azure per creare l'entità servizio. Creare un URL di consenso amministratore e concedere il consenso a livello di tenant per creare l'entità servizio usando l'ID applicazione.	None	Utenti con autorizzazioni per installare le applicazioni
2.	Creare un'istanza di Azure Key Vault e una chiave usata come chiave gestita dal cliente.	A un utente deve essere assegnato il ruolo Collaboratore di Key Vault per creare l'insieme di credenziali delle chiavi A un utente deve essere assegnato il ruolo Responsabile della crittografia di Key Vault per aggiungere una chiave all'insieme di credenziali delle chiavi	None
3.	Concedere all'identità dell'applicazione concessa l'accesso all'insieme di credenziali delle chiavi di Azure assegnando il ruolo Utente di crittografia del servizio di crittografia di Key Vault	Per assegnare il ruolo Utente di crittografia del servizio di crittografia di Key Vault all'applicazione, è necessario aver assegnato il ruolo Amministratore accessi utente.	None
4.	Copiare l'URL dell'insieme di credenziali delle chiavi e il nome della chiave nella configurazione delle chiavi gestite dal cliente dell'offerta SaaS.	None	None

Nota

Per autorizzare l'accesso al modulo di protezione hardware gestito per la crittografia tramite la chiave gestita dal cliente, vedere l'esempio relativo all'account di archiviazione qui. Per altre informazioni sulla gestione delle chiavi mediante il modulo di protezione hardware gestito, vedere Gestire un modulo di protezione hardware gestito con l'interfaccia della riga di comando di Azure

Considerazioni per i clienti dei provider di servizi

• Nel tenant del cliente, Tenant 2, un amministratore può impostare criteri per impedire agli utenti non amministratori di installare le applicazioni. Questi criteri possono impedire agli utenti non amministratori di creare entità servizio. Se questi criteri sono configurati, è necessario coinvolgere gli utenti con autorizzazioni per creare entità servizio.
• L'accesso ad Azure Key Vault può essere autorizzato usando il controllo degli accessi in base al ruolo di Azure o i criteri di accesso. Quando si concede l'accesso a un insieme di credenziali delle chiavi, assicurarsi di usare il meccanismo attivo per l'insieme di credenziali delle chiavi in uso.
• Una registrazione dell'applicazione Microsoft Entra ha un ID applicazione (ID client). Quando l'applicazione viene installata nel tenant, viene creata un'entità servizio. L'entità servizio condivide lo stesso ID applicazione della registrazione dell'app, ma genera il proprio ID oggetto. Quando si autorizza l'applicazione ad avere accesso alle risorse, potrebbe essere necessario usare l'entità servizio Name o la proprietà ObjectID.

Fase 3: il provider di servizi crittografa i dati in una risorsa di Azure usando la chiave gestita dal cliente

Al termine delle fasi 1 e 2, il provider di servizi può configurare la crittografia nella risorsa di Azure con la chiave e l'insieme di credenziali delle chiavi nel tenant del cliente e la risorsa di Azure nel tenant del fornitore di software indipendente. Il provider di servizi può configurare chiavi gestite dal cliente tra tenant con gli strumenti client supportati da tale risorsa di Azure, con un modello di Resource Manager o con l'API REST.

Configurare chiavi gestite dal cliente tra tenant

Questa sezione descrive come configurare una chiave gestita dal cliente multi-tenant e crittografare i dati dei clienti. Si apprenderà come crittografare i dati dei clienti in una risorsa in Tenant1 usando una chiave gestita dal cliente archiviata in un insieme di credenziali delle chiavi in Tenant2. È possibile usare il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Azure portal

Accedere al portale di Azure e seguire questi passaggi.

Il provider di servizi configura le identità

I passaggi seguenti vengono eseguiti dal provider di servizi nel proprio tenant, ovvero Tenant1.

Il provider di servizi crea una nuova registrazione dell'app multi-tenant

È possibile creare una nuova registrazione dell'applicazione Microsoft Entra multi-tenant o iniziare con una registrazione dell'applicazione multi-tenant esistente. Se si inizia con una registrazione dell'applicazione esistente, prendere nota dell'ID applicazione (ID client) dell'applicazione.

Per creare una nuova registrazione:

1. Cercare Microsoft Entra ID nella casella di ricerca. Individuare e selezionare l'estensione Microsoft Entra ID.

2. Selezionare Gestisci > Registrazioni app nel riquadro sinistro.

3. Seleziona + Nuova registrazione.

4. Specificare il nome della registrazione dell'applicazione e selezionare Account in qualsiasi directory organizzativa (qualsiasi directory Microsoft Entra - Multi-tenant).

5. Selezionare Registra.

6. Prendere nota dell'ID applicazione/ID client dell'applicazione.

   

Il provider di servizi crea un'identità gestita assegnata dall'utente

Creare un'identità gestita assegnata dall'utente (da usare come credenziale di identità federata).

1. Cercare Identità gestite nella casella di ricerca. Individuare e selezionare l'estensione Identità gestite.

2. Seleziona + Crea.

3. Specificare il gruppo di risorse, l'area e il nome per l'identità gestita.

4. Selezionare Rivedi e crea.

5. Al termine della distribuzione, prendere nota dell'ID risorsa di Azure dell'identità gestita assegnata dall'utente, disponibile in Proprietà. Ad esempio:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Il provider di servizi configura l'identità gestita assegnata dall'utente come credenziale federata nell'applicazione

Configurare un'identità gestita assegnata dall'utente come credenziale di identità federata nell'applicazione, in modo che possa rappresentare l'identità dell'applicazione.

1. Passare a Microsoft Entra ID > Registrazioni app > applicazione desiderata.

2. Selezionare Certificati e segreti.

3. Selezionare Credenziali federate.

   

4. Selezionare + Aggiungi credenziali.

5. In Scenario credenziali federate selezionare Chiavi gestite dal cliente.

6. Fare clic su Selezionare un'identità gestita. Nel riquadro selezionare la sottoscrizione. In Identità gestita selezionare Identità gestita assegnata dall'utente. Nella casella Seleziona cercare l'identità gestita creata in precedenza, quindi fare clic su Seleziona nella parte inferiore del riquadro.

   

7. In Dettagli credenziali specificare un nome e una descrizione facoltativa per le credenziali e selezionare Aggiungi.

   

PowerShell

Per usare Azure PowerShell per configurare il tenant del fornitore di software indipendente, installare il modulo Az più recente. Per altre informazioni sull'installazione di PowerShell, vedere Installare Azure PowerShell in Windows con PowerShellGet.

• Se si sceglie di usare Azure PowerShell in locale:
  • Installare la versione più recente del modulo Az di PowerShell.
  • Connettersi all'account Azure con il cmdlet Connect-AzAccount.
• Se si sceglie di usare Azure Cloud Shell:
  • Vedere Panoramica di Azure Cloud Shell per altre informazioni.

Il provider di servizi configura le identità

I passaggi seguenti vengono eseguiti dal provider di servizi (ISV) nel proprio tenant, Tenant1.

Il provider di servizi accede ad Azure

In Azure PowerShell accedere al tenant del fornitore di software indipendente e impostare la sottoscrizione attiva sulla relativa sottoscrizione.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Il provider di servizi crea una nuova registrazione dell'app multi-tenant

Selezionare un nome per l'applicazione registrata multi-tenant in Tenant1e creare l'applicazione multi-tenant nel portale di Azure.

Il nome specificato per l'applicazione multi-tenant viene usato dal cliente per identificare l'applicazione in Tenant2. Prendere nota dell'ID oggetto e dell'ID applicazione dell'app. Questi valori saranno necessari nei passaggi successivi.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Il provider di servizi crea un'identità gestita assegnata dall'utente

Accedere al tenant del fornitore di software indipendente e quindi creare un'identità gestita assegnata dall'utente da usare come credenziale di identità federata. Per creare una nuova identità gestita assegnata dall'utente, è necessario avere un ruolo che includa l'azione Microsoft.ManagedIdentity/userAssignedIdentities/write.

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Il provider di servizi configura l'identità gestita assegnata dall'utente come credenziale federata nell'applicazione

Configurare un'identità gestita assegnata dall'utente come credenziale di identità federata nell'applicazione, in modo che possa rappresentare l'identità dell'applicazione.

Per configurare le credenziali di identità federate da PowerShell, installare prima la versione 6.3.0 o successiva del modulo Az.Resources.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

Interfaccia della riga di comando di Azure

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

Il provider di servizi configura le identità

I passaggi seguenti vengono eseguiti dal provider di servizi nel proprio tenant, ovvero Tenant1.

Il provider di servizi accede ad Azure

Accedere ad Azure per usare l'interfaccia della riga di comando di Azure.

az login

Il provider di servizi crea una nuova registrazione dell'app multi-tenant

Selezionare un nome per l'applicazione multi-tenant in Tenant1e creare l'applicazione multi-tenant nel portale di Azure.

Il nome specificato per l'applicazione multi-tenant viene usato dal cliente per identificare l'applicazione in Tenant2. Copiare l'ID applicazione (o l'ID client) dell'app, l'ID oggetto dell'app e anche l'ID tenant dell'app. Questi valori saranno necessari nei passaggi seguenti.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Il provider di servizi crea un'identità gestita assegnata dall'utente

Accedere al tenant del fornitore di software indipendente e quindi creare un'identità gestita assegnata dall'utente da usare come credenziale di identità federata. Per creare una nuova identità gestita assegnata dall'utente, è necessario avere un ruolo che includa l'azione Microsoft.ManagedIdentity/userAssignedIdentities/write.

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Il provider di servizi configura l'identità gestita assegnata dall'utente come credenziale federata nell'applicazione

Eseguire il metodo az ad app federated-credential create per configurare una credenziale di identità federata in un'app e creare una relazione di trust con un provider di identità esterno.

Usare api://AzureADTokenExchange come valore audience nella credenziale dell'identità federata. Per altri dettagli, vedere le informazioni di riferimento sull'API.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Il provider di servizi condivide l'ID applicazione con il cliente

Trovare l'ID applicazione (ID client) dell'applicazione multi-tenant e condividerlo con il cliente.

Il cliente concede all'app del provider di servizi l'accesso alla chiave nell'insieme di credenziali delle chiavi

I passaggi seguenti vengono eseguiti dal cliente nel tenant del cliente Tenant2. Il cliente può usare il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.

L'utente che esegue i passaggi deve essere un amministratore con un ruolo con privilegi, ad esempio Amministratore applicazione, Amministratore applicazione cloud o Amministratore globale.

Portale

Accedere al portale di Azure e seguire questi passaggi.

Il cliente installa l'applicazione del provider di servizi nel tenant del cliente

Per installare l'applicazione registrata del provider di servizi nel tenant del cliente, creare un'entità servizio con l'ID applicazione dall'app registrata. È possibile creare l'entità servizio in uno dei modi seguenti:

• Usare Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell o l'interfaccia della riga di comando di Azure per creare manualmente l'entità servizio.
• Creare un URL di consenso amministratore e concedere il consenso a livello di tenant per creare l'entità servizio. Sarà necessario specificare queste informazioni usando AppId.

Il cliente crea un insieme di credenziali delle chiavi

Per creare l'insieme di credenziali delle chiavi, all'account dell'utente deve essere assegnato il ruolo Collaboratore di Key Vault o un altro ruolo che consenta la creazione di un insieme di credenziali delle chiavi.

1. Nel menu del portale di Azure o dalla pagina Home selezionare + Crea una risorsa. Nella casella Cerca immettere Insiemi di credenziali delle chiavi. Nell'elenco dei risultati scegliere Insiemi di credenziali delle chiavi . Nella pagina Insiemi di credenziali delle chiavi selezionare Crea.

2. Nella scheda Informazioni di base scegliere una sottoscrizione. In Gruppo di risorse selezionare Crea nuovo e immettere un nome per il gruppo di risorse.

3. Immettere un nome univoco per l'insieme di credenziali delle chiavi.

4. Selezionare un'area e un piano tariffario.

5. Abilitare la protezione dalla rimozione definitiva per il nuovo insieme di credenziali delle chiavi.

6. Nella scheda Criteri di accesso selezionare Controllo degli accessi in base al ruolo di Azure per Modello di autorizzazione.

7. Selezionare Rivedi e crea e quindi Crea.

   

Prendere nota del nome dell'insieme di credenziali delle chiavi e dell'URI. Le applicazioni che accedono all'insieme di credenziali delle chiavi devono usare questo URI.

Per altre informazioni, vedere Avvio rapido: Creare un'istanza di Azure Key Vault tramite il portale di Azure.

Il cliente assegna il ruolo Responsabile della crittografia di Key Vault a un account utente

Questo passaggio garantisce che sia possibile creare chiavi di crittografia.

1. Passare all'insieme di credenziali delle chiavi e selezionare Controllo di accesso (IAM) nel riquadro sinistro.
2. Sotto Concedi l'accesso a questa risorsa, seleziona Aggiungi assegnazione ruolo.
3. Cercare e selezionare Responsabile della crittografia di Key Vault.
4. In Membri selezionare Utente, gruppo o entità servizio.
5. Selezionare Membri e cercare l'account utente.
6. Selezionare Rivedi + Assegna.

Il cliente crea una chiave di crittografia

Per creare la chiave di crittografia, all'account dell'utente deve essere assegnato il ruolo Responsabile della crittografia di Key Vault o un altro ruolo che consenta la creazione di una chiave.

1. Nella pagina delle proprietà dell'istanza di Key Vault selezionare Chiavi.
2. Seleziona Genera/Importa.
3. Nella schermata Crea una chiave specificare un nome per la chiave. Lasciare invariati gli altri valori predefiniti.
4. Seleziona Crea.
5. Copiare l'URI della chiave.

Il cliente concede all'applicazione del provider di servizi l'accesso alla chiave nell'insieme di credenziali delle chiavi

Assegnare il ruolo Controllo degli accessi in base al ruolo di Azure Utente di crittografia del servizio di crittografia di Key Vault all'applicazione registrata del provider di servizi in modo che possa accedere all'insieme di credenziali delle chiavi.

1. Passare all'insieme di credenziali delle chiavi e selezionare Controllo di accesso (IAM) nel riquadro sinistro.
2. Sotto Concedi l'accesso a questa risorsa, seleziona Aggiungi assegnazione ruolo.
3. Cercare e selezionare Utente di crittografia del servizio di crittografia di Key Vault.
4. In Membri selezionare Utente, gruppo o entità servizio.
5. Selezionare Membri e cercare il nome dell'applicazione installata dal provider di servizi.
6. Selezionare Rivedi + Assegna.

È ora possibile configurare le chiavi gestite dal cliente con l'URI e la chiave dell'insieme di credenziali delle chiavi.

PowerShell

Per usare Azure PowerShell per configurare il tenant del client, installare il modulo Az più recente. Per altre informazioni sull'installazione di PowerShell, vedere Installare Azure PowerShell in Windows con PowerShellGet.

• Se si sceglie di usare Azure PowerShell in locale:
  • Installare la versione più recente del modulo Az di PowerShell.
  • Connettersi all'account Azure con il cmdlet Connect-AzAccount.
• Se si sceglie di usare Azure Cloud Shell:
  • Vedere Panoramica di Azure Cloud Shell per altre informazioni.

Il cliente accede ad Azure

In Azure PowerShell accedere al tenant del cliente e impostare la sottoscrizione attiva sulla relativa sottoscrizione.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Il cliente installa l'applicazione del provider di servizi nel tenant del cliente

Dopo aver ricevuto l'ID applicazione dell'applicazione multi-tenant del provider di servizi, installare l'applicazione nel tenant Tenant2 mediante la creazione di un'entità servizio.

Eseguire i comandi seguenti nel tenant in cui si prevede di creare l'insieme di credenziali delle chiavi.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Il cliente crea un insieme di credenziali delle chiavi

Per creare l'insieme di credenziali delle chiavi, all'account del cliente deve essere assegnato il ruolo Collaboratore di Key Vault o un altro ruolo che consenta la creazione di un insieme di credenziali delle chiavi.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Il cliente assegna il ruolo Responsabile della crittografia di Key Vault a un account utente

Assegnare il ruolo Responsabile della crittografia di Key Vault a un account utente. Questo passaggio garantisce che l'utente possa creare l'insieme di credenziali delle chiavi e le chiavi di crittografia. L'esempio seguente assegna il ruolo all'utente connesso corrente.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Il cliente crea una chiave di crittografia

Per creare la chiave di crittografia, all'account dell'utente deve essere assegnato il ruolo Responsabile della crittografia di Key Vault o un altro ruolo che consenta la creazione di una chiave.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Il cliente concede all'applicazione del provider di servizi l'accesso alla chiave nell'insieme di credenziali delle chiavi

Assegnare il ruolo Controllo degli accessi in base al ruolo di Azure Utente di crittografia del servizio di crittografia di Key Vault all'applicazione registrata del provider di servizi, tramite l'entità servizio precedentemente creata, in modo che possa accedere all'insieme di credenziali delle chiavi.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

È ora possibile configurare le chiavi gestite dal cliente con l'URI e la chiave dell'insieme di credenziali delle chiavi.

Interfaccia della riga di comando di Azure

• Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.

  

• Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.

  • Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.

  • Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

Il cliente accede ad Azure

Accedere ad Azure per usare l'interfaccia della riga di comando di Azure.

az login

Il cliente installa l'applicazione del provider di servizi nel tenant del cliente

Dopo aver ricevuto l'ID applicazione dell'applicazione multi-tenant del provider di servizi, installare l'applicazione nel tenant Tenant2 usando il comando seguente. L'installazione dell'applicazione crea un'entità servizio nel tenant.

Eseguire i comandi seguenti nel tenant in cui si prevede di creare l'insieme di credenziali delle chiavi.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Il cliente crea un insieme di credenziali delle chiavi

Per creare l'insieme di credenziali delle chiavi, all'account del cliente deve essere assegnato il ruolo Collaboratore di Key Vault o un altro ruolo che consenta la creazione di un insieme di credenziali delle chiavi.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Il cliente assegna il ruolo Responsabile della crittografia di Key Vault a un account utente

Questo passaggio garantisce che l'utente possa creare l'insieme di credenziali delle chiavi e le chiavi di crittografia.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Il cliente crea una chiave di crittografia

Per creare la chiave di crittografia, all'account dell'utente deve essere assegnato il ruolo Responsabile della crittografia di Key Vault o un altro ruolo che consenta la creazione di una chiave.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Il cliente concede all'applicazione del provider di servizi l'accesso alla chiave nell'insieme di credenziali delle chiavi

Assegnare il ruolo Controllo degli accessi in base al ruolo di Azure Utente di crittografia del servizio di crittografia di Key Vault all'applicazione registrata del provider di servizi, tramite l'entità servizio precedentemente creata, in modo che l'applicazione registrata possa accedere all'insieme di credenziali delle chiavi.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

È ora possibile configurare le chiavi gestite dal cliente con l'URI e la chiave dell'insieme di credenziali delle chiavi.

Creare un nuovo account di archiviazione crittografato con una chiave da un tenant diverso

Fino a questo punto, è stata configurata l'applicazione multi-tenant nel tenant dell'ISV, è stata installata l'applicazione nel tenant del cliente e sono stati configurati l'insieme di credenziali delle chiavi e la chiave nel tenant del cliente. Sarà quindi possibile creare un nuovo account di archiviazione nel tenant dell'ISV e configurare le chiavi gestite dal cliente con la chiave del tenant del cliente.

È necessario usare un'identità gestita assegnata dall'utente esistente per autorizzare l'accesso all'insieme di credenziali delle chiavi quando si configurano le chiavi gestite dal cliente durante la creazione dell'account di archiviazione. L'identità gestita assegnata dall'utente deve disporre delle autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi. Per altre informazioni, vedere Eseguire l'autenticazione in Azure Key Vault.

Quando si configura la crittografia con chiavi gestite dal cliente per un account di archiviazione esistente, è possibile scegliere di aggiornare automaticamente la versione della chiave usata per la crittografia di Archiviazione di Azure ogni volta che è disponibile una nuova versione nell'insieme di credenziali delle chiavi associato. A tale scopo, omettere la versione della chiave dall'URI della chiave. In alternativa, è possibile specificare in modo esplicito una versione della chiave da usare per la crittografia fino a quando la versione della chiave non viene aggiornata manualmente. L'inclusione della versione della chiave nell'URI della chiave configura le chiavi gestite dal cliente per l'aggiornamento manuale della versione della chiave.

Importante

Per ruotare una chiave, creare una nuova versione della chiave in Azure Key Vault. Archiviazione di Azure non gestisce la rotazione delle chiavi, quindi sarà necessario gestire la rotazione della chiave nell'insieme di credenziali delle chiavi. È possibile configurare la rotazione automatica delle chiavi in Azure Key Vault o ruotare manualmente la chiave.

Archiviazione di Azure controlla l'insieme di credenziali delle chiavi per verificare la disponibilità di una nuova versione della chiave una sola volta al giorno. Quando si ruota una chiave in Azure Key Vault, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.

Azure portal

Per configurare chiavi gestite dal cliente tra tenant per un nuovo account di archiviazione nel portale di Azure, seguire questa procedura:

1. Nel portale di Azure passare alla pagina Account di archiviazione nel tenant dell'ISV e selezionare il pulsante Crea per creare un nuovo account.

2. Seguire i passaggi descritti in Creare un account di archiviazione per compilare i campi nelle schede Informazioni di base, Avanzate, Rete e Protezione dei dati.

3. Nella scheda Crittografia indicare per quali servizi si vuole abilitare il supporto per le chiavi gestite dal cliente nel campo Abilita supporto per le chiavi gestite dal cliente.

4. Selezionare Chiavi gestite dal cliente in Tipo di crittografia.

5. Nel campo Chiave di crittografia scegliere Immettere la chiave dall'insieme di credenziali delle chiavi e specificare l'URI della chiave. Omettere la versione della chiave dall'URI se si vuole che Archiviazione di Azure verifichi automaticamente la disponibilità di una nuova versione della chiave e la aggiorni.

6. Per il campo Identità assegnata dall'utente cercare l'identità gestita assegnata dall'utente creata in precedenza nel tenant dell'ISV.

7. Espandere la sezione Avanzate e selezionare l'applicazione registrata multi-tenant creata in precedenza nel tenant dell'ISV.

   

8. Selezionare il pulsante Rivedi per convalidare e creare l'account.

PowerShell

Per configurare le chiavi gestite dal cliente tra tenant per un nuovo account di archiviazione in PowerShell, installare prima di tutto il modulo PowerShell Az.Storage versione 5.1.0 o successiva. Questo modulo viene installato con il modulo Az PowerShell, versione 9.1.0 o successiva.

Chiamare quindi New-AzStorageAccount, specificando l'ID risorsa per l'identità gestita assegnata dall'utente configurata in precedenza nella sottoscrizione dell'ISV e l'ID applicazione (client) per l'applicazione multi-tenant configurata in precedenza nella sottoscrizione dell'ISV. Specificare l'URI dell'insieme di credenziali delle chiavi e il nome della chiave dell'insieme di credenziali delle chiavi del cliente.

Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

$accountName = "<account-name>"
$kvUri = "<key-vault-uri>"
$keyName = "<keyName>"
$location = "<location>"
$multiTenantAppId = "<application-id>" # appId value from multi-tenant app

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> -ResourceGroupName $rgName

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId 

Interfaccia della riga di comando di Azure

Per configurare le chiavi gestite dal cliente tra tenant per un nuovo account di archiviazione con l'interfaccia della riga di comando di Azure, installare prima di tutto l'interfaccia della riga di comando di Azure, versione 2.42.0 o successiva. Per altre informazioni sull'installazione dell'interfaccia della riga di comando di Azure, vedere Come installare l'interfaccia della riga di comando di Azure.

Chiamare quindi az storage account create, specificando l'ID risorsa per l'identità gestita assegnata dall'utente configurata in precedenza nella sottoscrizione dell'ISV e l'ID applicazione (client) per l'applicazione multi-tenant configurata in precedenza nella sottoscrizione dell'ISV. Specificare l'URI dell'insieme di credenziali delle chiavi e il nome della chiave dell'insieme di credenziali delle chiavi del cliente.

Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $managedIdentity \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account create \
    --name $accountName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

È anche possibile configurare chiavi gestite dal cliente con l'aggiornamento manuale della versione della chiave quando si crea un nuovo account di archiviazione. A tale scopo, includere la versione della chiave quando si specifica l'URI della chiave.

Modificare la chiave

È possibile modificare la chiave usata per la crittografia di Archiviazione di Azure in qualsiasi momento.

Nota

Quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nell'account di archiviazione di Azure rimangono sempre crittografati. Non è richiesta alcuna azione aggiuntiva da parte tua per garantire che i tuoi dati siano protetti. La modifica della chiave o la rotazione della versione della chiave non influisce sulle prestazioni. Non sono previsti tempi di inattività associati alla modifica della chiave o alla rotazione della versione della chiave.

Azure portal

Per modificare la chiave usando il portale di Azure, seguire questa procedura:

1. Passare all'account di archiviazione e visualizzare le impostazioni di Crittografia.
2. Selezionare l'insieme di credenziali delle chiavi e scegliere una nuova chiave.
3. Salva le modifiche.

PowerShell

Per modificare la chiave usando PowerShell, chiamare Set-AzStorageAccount e specificare il nome e la versione della nuova chiave. Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Interfaccia della riga di comando di Azure

Per modificare la chiave con l'interfaccia della riga di comando di Azure, chiamare az storage account update e specificare il nome e la versione della nuova chiave. Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente

Per revocare temporaneamente l'accesso a un account di archiviazione che usa chiavi gestite dal cliente, disabilitare la chiave attualmente usata nell'insieme di credenziali delle chiavi. La disabilitazione e la riabilitazione della chiave non comporta alcun impatto sulle prestazioni o tempi di inattività.

Dopo aver disabilitato la chiave, i client non possono chiamare operazioni che leggono o scrivono in un BLOB o nei relativi metadati. Per informazioni sulle operazioni che avranno esito negativo, vedere Revocare l'accesso a un account di archiviazione che usa chiavi gestite dal cliente.

Attenzione

Quando si disabilita la chiave nell'insieme di credenziali delle chiavi, i dati nell'account di archiviazione di Azure rimangono crittografati, ma diventa inaccessibile fino a quando non si riabilita la chiave.

Azure portal

Per disabilitare una chiave gestita dal cliente nel portale di Azure, seguire questa procedura:

1. Passare all'insieme di credenziali delle chiavi che contiene la chiave.

2. In Oggetti, selezionare Chiavi.

3. Fare clic con il pulsante destro del mouse sulla chiave e scegliere Disabilita.

   

PowerShell

Per revocare una chiave gestita dal cliente con PowerShell, chiamare il comando Update-AzKeyVaultKey, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili o usare le variabili definite negli esempi precedenti.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Interfaccia della riga di comando di Azure

Per revocare una chiave gestita dal cliente con l'interfaccia della riga di comando di Azure, chiamare il comando az keyvault key set-attributes, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili o usare le variabili definite negli esempi precedenti.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Passare nuovamente alle chiavi gestite da Microsoft

È possibile passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft in qualsiasi momento, usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Azure portal

Per passare nuovamente dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft nel portale di Azure, seguire questa procedura:

1. Passa all'account di archiviazione.

2. In Sicurezza e rete selezionare Crittografia.

3. Impostare Tipo di crittografia su Chiavi gestite da Microsoft.

   

PowerShell

Per passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft con PowerShell, chiamare Set-AzStorageAccount con l'opzione -StorageEncryption, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Interfaccia della riga di comando di Azure

Per passare dalle chiavi gestite dal cliente alle chiavi gestite da Microsoft con l'interfaccia della riga di comando di Azure, chiamare az storage account update e impostare --encryption-key-source parameter su Microsoft.Storage, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori e di usare le variabili definite negli esempi precedenti.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Vedi anche

• Chiavi gestite dal cliente per la crittografia di Archiviazione di Azure
• Configurare chiavi gestite dal cliente tra tenant per un account di archiviazione esistente