Usar chaves gerenciadas pelo cliente no Azure Key Vault para Azure Data Box

  • Artigo

Azure Data Box protege a chave de desbloqueio do dispositivo (também conhecida como a senha do dispositivo), que é usada para bloquear um dispositivo, por meio de uma chave de criptografia. Por padrão, essa chave de criptografia é uma chave gerenciada da Microsoft. Para ter mais controle, use uma chave gerenciada pelo cliente.

Uma chave gerenciada pelo cliente não afeta como os dados no dispositivo são criptografados. Ele afeta apenas como a chave de desbloqueio do dispositivo é criptografada.

Para manter esse nível de controle ao longo do processo de pedido, use uma chave gerenciada pelo cliente ao criar seu pedido. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.

Este artigo mostra como habilitar uma chave gerenciada pelo cliente para sua ordem de Data Box existente no portal do Azure. Você descobrirá como alterar o cofre de chaves, a chave, a versão ou a identidade de sua chave atual gerenciada pelo cliente ou voltar a usar uma chave gerenciada da Microsoft.

Este artigo se aplica aos dispositivos Azure Data Box e Azure Data Box Heavy.

Requisitos

A chave gerenciada pelo cliente para uma ordem de Data Box deve atender aos seguintes requisitos:

  • A chave deve ser criada e armazenada em um Azure Key Vault que tenha exclusão reversível e não a limpeza seja habilitada. Para obter mais informações, veja O que é o Cofre da Chave do Azure?. Você pode criar um cofre de chaves e uma chave ao criar ou atualizar seu pedido.
  • A chave deve ser uma chave RSA de tamanho de 2048 ou maior.
  • Habilite as permissões Get, UnwrapKey e WrapKey da chave no Azure Key Vault. As permissões devem permanecer ativas durante o tempo de vida do pedido. Caso contrário, não será possível acessar a chave gerenciada pelo cliente no início da fase de Cópia de Dados.

Habilitar chave

Para habilitar uma chave gerenciada pelo cliente para seu pedido de Data Box existente no portal do Azure, siga esses passos:

  1. Vá para a tela de Visão geral do seu pedido de Data Box.

    Overview screen of a Data Box order - 1

  2. Vá para Configurações > Criptografia, e selecione Chave gerenciada pelo Cliente. Em seguida, selecione Selecionar um cofre de chaves e uma chave.

    Select the customer-managed key encryption option

    Na tela Selecionar chave do Azure Key Vault, a assinatura é preenchida automaticamente.

  3. Para o cofre de chaves, você pode selecionar um cofre de chaves existente na lista suspensa ou selecionar criar novo e criar um novo cofre de chaves.

    Key vault options when selecting a customer-managed key

    Para criar um novo cofre de chaves, insira a assinatura, o grupo de recursos, o nome do cofre de chaves e outras informações na tela criar novo cofre de chaves. Nas Opções de Recuperação Verifique se as opções Exclusão temporária e Proteção contra limpeza estão habilitadas. Em seguida, selecione Examinar + Criar.

    Review and create Azure Key Vault

    Examine as informações do seu cofre de chaves e selecione Criar. Aguarde alguns minutos até que a criação do cofre de chaves seja concluída.

    Create Azure Key Vault with your settings

  4. Na tela selecionar chave de Azure Key Vault, você pode selecionar uma chave existente no cofre de chaves ou criar uma nova.

    Select key from Azure Key Vault

    Se você desejar criar uma chave, selecione Criar. Você precisa usar uma chave RSA. O tamanho pode ser 2048 ou maior.

    Create new key in Azure Key Vault

    Insira um nome para a nova chave, aceite os outros padrões e selecione Criar. Você será notificado quando a chave tiver sido criada no cofre de chaves.

    Name new key

  5. Para Versão, você pode selecionar uma versão de chaves existente na lista suspensa.

    Select version for new key

    Se você deseja gerar uma nova versão da chave, selecione Criar novo.

    Open a dialog box for creating a new key version

    Escolha configurações para a nova versão de chave e selecione Criar.

    Create a new key version

  6. Quando você tiver selecionado um cofre de chaves, uma chave e uma versão de chave, escolha Selecionar.

    A key in an Azure Key Vault

    As configurações de Tipo de Criptografia mostram o cofre de chaves e a chave que você escolheu.

    Key and key vault for a customer-managed key

  7. Selecione o tipo de identidade a ser usado para gerenciar a chave gerenciada pelo cliente para este recurso. Você pode usar a identidade atribuída pelo sistema que foi gerada durante a criação do pedido ou escolher uma identidade atribuída pelo usuário.

    Uma identidade atribuída pelo usuário é um recurso independente que você pode usar para gerenciar o acesso aos recursos. Para obter mais informações, confira Tipos de identidade gerenciada.

    Select the identity type

    Para atribuir uma identidade de usuário, selecione usuário atribuído. Em seguida, selecione selecionar uma identidade de usuárioe selecione a identidade gerenciada que você deseja usar.

    Select an identity to use

    Você não pode criar uma nova identidade de usuário aqui. Para descobrir como criar um, consulte Criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o Portal do Azure.

    A Identidade de usuário selecionada mostrada nas configurações Tipo de criptografia.

    A selected user identity shown in Encryption type settings

  8. Selecione salvar para salvar as configurações de tipo de criptografia atualizadas.

    Save your customer-managed key

    A URL da chave é exibida em Tipo de criptografia.

    Customer-managed key URL

Importante

Habilite as permissões Get, UnwrapKey e WrapKey na chave. Para definir as permissões na CLI do Azure, confira az keyvault set-policy.

Alterar a chave

Para alterar o cofre de chaves, a chave e/ou a versão de chave para a chave gerenciada pelo cliente que você está usando no momento, siga estas etapas:

  1. Na tela de Visão Geral de seu Pedido de Data Box, acesse Configurações>Criptografiae clique em Alterar chave.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Escolha Selecionar um cofre de chaves e uma chave diferentes.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. A tela selecionar chave da chave do cofre de chaves mostra a assinatura, mas nenhum cofre de chaves, chave ou versão de chave. Você pode fazer algumas das seguintes alterações:

    • Selecione uma chave diferente do mesmo cofre de chaves. Você precisará selecionar o cofre de chaves antes de selecionar a chave e a versão.

    • Selecione um cofre de chaves diferente e atribua uma nova chave.

    • Altere a versão da chave atual.

    Ao concluir as alterações, escolha Selecionar.

    Choose encryption option - 2

  4. Selecione Salvar.

    Save updated encryption settings - 1

Importante

Habilite as permissões Get, UnwrapKey e WrapKey na chave. Para definir as permissões na CLI do Azure, confira az keyvault set-policy.

Alterar a identidade

Se você quiser alterar a identidade usada para gerenciar o acesso à chave gerenciada pelo cliente para esse pedido, siga estas etapas:

  1. Na tela de Visão Geral de seu Pedido de Data Box, acesse Configurações>Criptografia.

  2. Faça algumas das seguintes alterações:

    • Para alterar para uma identidade de usuário diferente, clique em Selecionar uma identidade de usuário diferente. Em seguida, selecione uma identidade diferente no painel no lado direito da tela e escolha Selecionar.

      Option for changing the user-assigned identity for a customer-managed key

    • Para alternar para a identidade atribuída pelo sistema gerada durante a criação do pedido, selecione sistema atribuído por Selecionar tipo de identidade.

      Option for changing to a system-assigned for a customer-managed key

  3. Selecione Salvar.

    Save updated encryption settings - 2

Usar as chaves gerenciadas pela Microsoft

Para alterar o uso de uma chave gerenciada pelo cliente para a chave gerenciada da Microsoft para seu pedido, siga estas etapas:

  1. Na tela de Visão Geral de seu Pedido de Data Box, acesse Configurações>Criptografia.

  2. Em Selecionar tipo, selecione chave gerenciada da Microsoft.

    Overview screen of a Data Box order - 5

  3. Selecione Salvar.

    Save updated encryption settings for a Microsoft managed key

Solucionar problemas de erros

Se você receber erros relacionados à chave gerenciada pelo cliente, use a tabela a seguir para solucionar problemas.

Código do erro Detalhes do erro Recuperáveis?
SsemUserErrorEncryptionKeyDisabled Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente está desativada. Sim, habilitando a versão da chave.
SsemUserErrorEncryptionKeyExpired Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente expirou. Sim, habilitando a versão da chave.
SsemUserErrorKeyDetailsNotFound Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente não foi encontrada. Se você excluiu o cofre de chaves, não é possível recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte alterar uma ID de locatário do cofre de chaves após a movimentação de uma assinatura. Se você excluiu o cofre de chaves:
  1. Sim, se estiver na duração da proteção de limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção de limpeza.

Caso contrário, se o cofre de chaves passou por uma migração de locatário, sim, ele pode ser recuperado usando uma das etapas abaixo:
  1. Reverter o cofre de chaves de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite as permissões Get, WrapKey e UnwrapKey para a nova identidade na política de Acesso do Key Vault.
SsemUserErrorKeyVaultBadRequestException Foi aplicada uma chave gerenciada pelo cliente, mas o acesso à chave não foi permitido, foi revogado ou não foi possível acessar o cofre de chaves porque o firewall está habilitado. Adicione a identidade selecionada ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Se o firewall do cofre de chaves estiver habilitado, mude para uma identidade atribuída pelo sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKeyVaultDetailsNotFound Não foi possível buscar a chave de acesso porque o cofre de chaves associado à chave gerenciada pelo cliente não foi encontrado. Se você excluiu o cofre de chaves, não é possível recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte alterar uma ID de locatário do cofre de chaves após a movimentação de uma assinatura. Se você excluiu o cofre de chaves:
  1. Sim, se estiver na duração da proteção de limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção de limpeza.

Caso contrário, se o cofre de chaves passou por uma migração de locatário, sim, ele pode ser recuperado usando uma das etapas abaixo:
  1. Reverter o cofre de chaves de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite as permissões Get, WrapKey e UnwrapKey para a nova identidade na política de Acesso do Key Vault.
SsemUserErrorSystemAssignedIdentityAbsent Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente não foi encontrada. Sim, verifique se:
  1. O cofre de chaves ainda tem o MSI na política de acesso.
  2. A identidade é do tipo atribuído pelo Sistema.
  3. Habilite as permissões Get, WrapKey e UnwrapKey para a identidade na política de acesso do cofre de chaves. Essas permissões devem permanecer ativas durante o tempo de vida do pedido. Elas são usadas durante a criação do pedido e no início da fase de cópia de dados.
SsemUserErrorUserAssignedLimitReached Falha ao adicionar uma Identidade Atribuída ao Usuário porque você atingiu o número limite total de identidades atribuídas ao usuário que podem ser adicionadas. Antes de tentar novamente, repita a operação com menos identidades de usuário ou remova algumas identidades atribuídas pelo usuário do recurso.
SsemUserErrorCrossTenantIdentityAccessForbidden Falha na operação de acesso de identidade gerenciada.
Observação: esse erro pode ocorrer quando uma assinatura é movida para um locatário diferente. O cliente precisa mover a identidade manualmente para o novo locatário.		 Tente adicionar outra identidade atribuída ao usuário ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Ou mova a identidade para o novo locatário no qual a assinatura está presente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKekUserIdentityNotFound Uma chave gerenciada pelo cliente foi aplicada, mas a identidade atribuída ao usuário que tem acesso à chave não foi encontrada no diretório ativo.
Observação: esse erro pode ocorrer quando uma identidade de usuário é excluída do Azure.		 Tente adicionar outra identidade atribuída ao usuário ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorUserAssignedIdentityAbsent Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente não foi encontrada. Não foi possível acessar a chave gerenciada pelo cliente. A identidade atribuída pelo usuário (UAI) associada à chave foi excluída ou o tipo UAI foi alterado.
SsemUserErrorKeyVaultBadRequestException Aplicou uma chave gerenciada pelo cliente, mas o acesso à chave não foi concedido, foi revogado ou não foi possível acessar o cofre de chaves porque um firewall está habilitado. Adicione a identidade selecionada ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Se o firewall do cofre de chaves estiver habilitado, mude para uma identidade atribuída pelo sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorEncryptionKeyTypeNotSupported Essa operação não suporta esse tipo de chave de criptografia. Habilite um tipo de criptografia com suporte na chave, por exemplo, RSA ou RSA-HSM. Para obter mais informações, confira Tipos de chave, algoritmos e operações.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled A exclusão temporária ou a proteção contra limpeza não estão habilitadas no cofre de chaves. Habilite a exclusão temporária e a proteção contra limpeza no cofre de chaves.
SsemUserErrorInvalidKeyVaultUrl
(Somente linha de comando)		 Um URI inválido do cofre de chaves foi usado. Obter o URI correto do cofre de chaves. Para obter o URI do cofre de chaves, use Get-AzKeyVault no PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Apenas o HTTPS tem suporte para transmitir o URI do cofre de chaves. Transmita o URI do cofre de chaves por HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost O host de URI do cofre de chaves não é permitido na região geográfica. Na nuvem pública, o URI do cofre de chaves deve terminar com vault.azure.net. Na nuvem do Azure Governamental, o URI do cofre de chaves deve terminar com vault.usgovcloudapi.net.
Erro genérico Não foi possível buscar a chave de acesso. Esse erro é genérico. Entre em contato com Suporte da Microsoft para solucionar o erro e determinar as próximas etapas.

Próximas etapas