Compartilhar via


Gerenciamento de identidades e chaves para TDE com chaves gerenciadas pelo cliente no nível do banco de dados

Aplica-se a: Banco de Dados SQL do Azure

Observação

  • A CMK de TDE no nível do banco de dados está disponível para o Banco de Dados SQL do Azure (todas as edições do Banco de Dados SQL). Ela não está disponível para a Instância Gerenciada de SQL do Azure, SQL Servers locais, VMs do Azure e Azure Synapse Analytics [pools de SQL dedicados (antigo SQL DW)].
  • O mesmo guia pode ser aplicado para configurar chaves gerenciadas pelo cliente no nível do banco de dados no mesmo locatário excluindo o parâmetro de ID do cliente federada. Para obter mais informações sobre chaves gerenciadas pelo cliente no nível do banco de dados, confira TDE (Transparent Data Encryption) com chaves gerenciadas pelo cliente no nível do banco de dados.

Neste guia, percorremos as etapas para criar, atualizar e recuperar um Banco de Dados SQL do Azure com TDE (Transparent Data Encryption) e CMK (chaves gerenciadas pelo cliente) no nível do banco de dados, utilizando uma identidade gerenciada atribuída pelo usuário para acessar o Azure Key Vault. O Azure Key Vault está em um locatário do Microsoft Entra diferente do banco de dados SQL do Azure. Para obter mais informações, confira Chaves gerenciadas pelo cliente entre locatários com transparent data encryption.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Pré-requisitos

Recursos necessários no primeiro locatário

Para a finalidade deste tutorial, vamos supor que o primeiro locatário pertence a um ISV (fornecedor de software independente) e o segundo locatário é de seu cliente. Para obter mais informações sobre esse cenário, confira Chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente.

Antes de podermos configurar a TDE para o banco de dados SQL do Azure com uma CMK entre locatários, precisamos ter uma aplicação do Microsoft Entra multilocatário configurada com uma identidade gerenciada atribuída pelo usuário atribuída como uma credencial de identidade federada para a aplicação. Siga um dos guias em Pré-requisitos.

  1. No primeiro locatário em que você deseja criar o banco de dados SQL do Azure, crie e configure uma aplicação Microsoft Entra multilocatário.

  2. Criar uma identidade gerenciada atribuída pelo usuário.

  3. Configure a identidade gerenciada atribuída pelo usuário como uma credencial de identidade federada para o aplicativo multilocatário.

  4. Registre o nome do aplicativo e a ID do aplicativo. Isso pode ser encontrado no portal do Azure>Microsoft Entra ID>aplicações empresariais e pesquise a aplicação criada.

Recursos necessários no segundo locatário

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Nota: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

  1. No segundo locatário em que reside o Azure Key Vault, crie uma entidade de serviço (aplicativo) usando a ID do aplicativo registrado do primeiro locatário. Aqui estão alguns exemplos de como registrar o aplicativo multilocatário. Substitua <TenantID> e <ApplicationID> pela ID do locatário do cliente do Microsoft Entra ID e pela ID da aplicação da aplicação multilocatário, respectivamente:

    • PowerShell:

      Connect-AzureAD -TenantID <TenantID>
      New-AzADServicePrincipal  -ApplicationId <ApplicationID>
      
    • A CLI do Azure:

      az login --tenant <TenantID>
      az ad sp create --id <ApplicationID>
      
  2. Acesse o portal do Azure>Microsoft Entra ID>Aplicações empresariais e pesquise a aplicação que foi criada.

  3. Crie uma conta do Azure Key Vault caso não tenha uma e crie uma chave.

  4. Crie ou defina a política de acesso.

    1. Selecione as permissões Obter, Encapsular Chave, Desencapsular Chave em Permissões de chave ao criar a política de acesso.
    2. Selecione o aplicativo multilocatário criado na primeira etapa na opção Entidade de segurança ao criar a política de acesso.

    Captura de tela do menu de política de acesso de um cofre de chaves no portal do Azure.

  5. Depois que a política de acesso e a chave tiverem sido criadas, recupere a chave do Key Vault e registre o Identificador de chave.

Criar um Banco de Dados SQL do Azure com chaves gerenciadas pelo cliente no nível do banco de dados

Veja a seguir exemplos para criar um banco de dados no Banco de Dados SQL do Azure com uma identidade gerenciada atribuída pelo usuário e como definir uma chave gerenciada pelo cliente entre locatários no nível do banco de dados. A identidade gerenciada atribuída pelo usuário é obrigatória para configurar uma chave gerenciada pelo cliente para Transparent Data Encryption durante a fase de criação do servidor.

  1. Navegue até a página com a opção Selecionar implantação do SQL no portal do Azure.

  2. Se você ainda não entrou no portal do Azure, entre quando solicitado.

  3. Em Bancos de dados SQL, deixe Tipo de recurso definido como Banco de dados individual e selecione Criar.

  4. Na guia Noções básicas do formulário Criar Banco de Dados SQL, em Detalhes do projeto, selecione a Assinatura do Azure desejada, Grupo de recursos e Servidor para seu banco de dados. Em seguida, use um nome exclusivo para seu Nome de banco de dados. Se você ainda não criou um servidor lógico para SQL do Azure Banco de Dados, confira Criar servidor configurado com TDE com CMK (chave gerenciada pelo cliente) entre locatários para referência.

  5. Ao acessar a guia Segurança, selecione Configurar criptografia de dados transparente.

    Captura de tela do portal do Azure e o menu Segurança ao criar um banco de Dados SQL do Azure.

  6. No menu Transparent data encryption, selecione Chave gerenciada pelo cliente no nível do banco de dados (CMK).

    Captura de tela do menu do Transparent Data Encryption do portal do Azure.

  7. Para identidade gerenciada atribuída pelo usuário, selecione Configurar para habilitar uma Identidade de banco de dados e Adicionar uma identidade gerenciada atribuída pelo usuário ao recurso se uma identidade desejada não estiver listada no menu Identidade. Em seguida, selecione Aplicar.

    Captura de tela do menu de identidade do portal do Azure.

    Observação

    Você pode configurar a Identidade do cliente federado aqui se estiver configurando o CMK entre locatários para TDE.

  8. No menu Transparent data encryption, selecione Alterar chave. Selecione a Assinatura, o Cofre de chaves, a Chave e a Versão desejadas para a chave gerenciada pelo cliente que será usada para a TDE. Escolha o botão Selecionar. Depois de selecionar uma chave, você também pode adicionar chaves de banco de dados adicionais conforme o necessário usando o URI do Azure Key Vault (identificador de objeto) no menu Transparent data encryption.

    A Rotação automática de chave também pode ser habilitada no nível do banco de dados usando a caixa de seleção Girar automaticamente a chave no menu Transparent Data Encryption.

    Captura dados do menu Transparent data encryption no portal do Azure referenciando como adicionar outras chaves.

  9. Selecione Aplicar para continuar criando o banco de dados.

  10. Selecione Revisar + criar na parte inferior da página

  11. Na página Examinar + criar, após examinar, selecione Criar.

Observação

A criação do banco de dados falhará se a identidade gerenciada atribuída pelo usuário não tiver as permissões corretas habilitadas no cofre de chaves. A identidade gerenciada atribuída pelo usuário precisará das permissões Get, wrapKey e unwrapKey no cofre de chaves. Para ver mais informações, confira Identidades gerenciadas para criptografia de dados transparente com chave gerenciada pelo cliente.

Atualizar um Banco de Dados SQL do Azure existente com chaves gerenciadas pelo cliente no nível do banco de dados

Veja a seguir exemplos de atualização de um banco de dados existente no Banco de Dados SQL do Azure com uma identidade gerenciada atribuída pelo usuário e como definir uma chave gerenciada pelo cliente entre locatários no nível do banco de dados. A identidade gerenciada atribuída pelo usuário é obrigatória para configurar uma chave gerenciada pelo cliente para Transparent Data Encryption durante a fase de criação do servidor.

  1. No portal do Azure, navegue até o recurso de banco de dados SQL que você deseja atualizar com uma chave gerenciada pelo cliente no nível do banco de dados.

  2. Em Segurança, selecione Identidade. Adicione uma Identidade gerenciada atribuída pelo usuário para este banco de dados e selecione Salvar

  3. Agora acesse o menu Criptografia de dados em Segurança para seu banco de dados. Selecione Chave gerenciada pelo cliente no nível do banco de dados (CMK). A Identidade do banco de dados para o banco de dados já deve estar Habilitada, pois você configurou a identidade na última etapa.

  4. Selecione Alterar chave. Selecione a Assinatura, o Cofre de chaves, a Chave e a Versão desejadas para a chave gerenciada pelo cliente que será usada para a TDE. Escolha o botão Selecionar. Depois de selecionar uma chave, você também pode adicionar chaves de banco de dados adicionais conforme o necessário usando o URI do Azure Key Vault (identificador de objeto) no menu Criptografia de dados.

    Marque a caixa de seleção Girar automaticamente a chave se quiser habilitar a rotação automática de chave no nível do banco de dados.

    Captura de tela do menu do Transparent Data Encryption do portal do Azure ao atualizar um banco de dados existente.

  5. Clique em Salvar.

Exibir as configurações de chave gerenciada pelo cliente no nível do banco de dados em um Banco de Dados SQL do Azure

Veja exemplos de recuperação das chaves gerenciadas pelo cliente no nível do banco de dados. O recurso Microsoft.Sql/servers/databases do ARM, por padrão, mostra apenas o protetor de TDE e a identidade gerenciada configurada no banco de dados. Para expandir a lista completa de chaves, use o parâmetro -ExpandKeyList. Além disso, filtros como -KeysFilter "current" e um valor de momento (por exemplo, 2023-01-01) podem ser usados para recuperar as chaves atuais usadas e as chaves usadas no passado em um momento específico. Só há suporte para esses filtros em consultas individuais de banco de dados e não em consultas no nível do servidor.

Para exibir as chaves gerenciadas pelo cliente no nível do banco de dados no portal do Azure, acesse o menu Criptografia de dados do recurso do banco de dados SQL.

Listar todas as chaves em um servidor lógico

Para buscar a lista de todas as chaves (e não apenas o protetor primário) usadas pelos bancos de dados no servidor, é necessário fazer uma consulta individual com os filtros de chave. Veja a seguir um exemplo de consulta do PowerShell para listar cada chave no servidor lógico.

Use o cmdlet Get-AzSqlDatabase.

$dbs = Get-AzSqlDatabase -resourceGroupName <ResourceGroupName> -ServerName <ServerName>
foreach ($db in $dbs)
{
Get-AzSqlDatabase -DatabaseName $db.DatabaseName -ServerName $db.ServerName -ResourceGroupName $db.ResourceGroupName -ExpandKeyList
}

Revalidar a chave gerenciada pelo cliente no nível do banco de dados em um Banco de Dados SQL do Azure

Em caso de protetor de TDE inacessível, como descrito em TDE (Transparent Data Encryption) com CMK, depois que o acesso à chave for corrigido, a operação de revalidação de chave poderá ser usada para que o banco de dados fique acessível. Veja as instruções ou comandos a seguir para obter exemplos.

Usando o portal do Azure, localize o recurso do banco de dados SQL. Depois de selecionar o recurso do banco de dados SQL, acesse a guia Transparent Data Encryption do menu Criptografia de dados nas configurações de Segurança. Se o banco de dados tiver perdido o acesso ao Azure Key Vault, um botão Revalidar chave será exibido e você terá a opção de revalidar a chave existente selecionando Repetir chave existente ou outra chave selecionando Selecionar chave de backup.

Reverter a chave gerenciada pelo cliente no nível do banco de dados em um Banco de Dados SQL do Azure

Um banco de dados configurado com CMK no nível do banco de dados pode ser revertido para criptografia no nível do servidor se o servidor estiver configurado com uma chave gerenciada pelo serviço usando os comandos a seguir.

Para reverter a configuração de chave gerenciada pelo cliente no nível do banco de dados para a chave de criptografia no nível do servidor no portal do Azure, acesse a guia Transparent data encryption do menu Criptografia de dados do recurso de banco de dados SQL. Selecione Chave de criptografia no nível do servidor e selecione Salvar para salvar as configurações.

Observação

Para usar a configuração de Chave de criptografia no nível do servidor para bancos de dados individuais, o servidor lógico do banco de dados SQL do Azure deve ser configurado para usar a Chave gerenciada pelo serviço para TDE.

Próximas etapas

Verifique a seguinte documentação em várias operações de CMK no nível do banco de dados: