Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma conta de armazenamento existente

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter mais controle sobre chaves de criptografia, você pode gerenciar suas próprias chaves. As chaves gerenciadas pelo cliente precisam ser armazenadas no Azure Key Vault ou no HSM (Modelo de Segurança de Hardware) Gerenciado do Key Vault.

Este artigo mostra como configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente quando a conta de armazenamento e o cofre de chaves estão no mesmo locatário. As chaves gerenciadas pelo cliente devem ser armazenadas em um cofre de chaves.

Para saber como configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento, confira Configurar chaves gerenciadas pelo cliente em um Azure Key Vault para uma nova conta de armazenamento.

Para saber como configurar a criptografia com chaves gerenciadas pelo cliente armazenadas em um HSM gerenciado, confira Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado pelo Azure Key Vault.

Observação

O Azure Key Vault e o HSM Gerenciado pelo Azure Key Vault oferecem suporte às mesmas APIs e interfaces de gerenciamento para configuração da chaves gerenciadas pelo cliente. Qualquer ação compatível com o Azure Key Vault também é compatível com o HSM Gerenciado do Azure Key Vault.

Configurar o cofre de chaves

Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário. Para saber mais sobre o Azure Key Vault, confira Visão geral do Azure Key Vault e O que é o Azure Key Vault?.

O uso de chaves gerenciadas pelo cliente com a criptografia do Armazenamento do Azure exige que a exclusão temporária e a proteção contra limpeza sejam habilitadas para o cofre de chaves. A exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou após sua criação.

O Azure Key Vault dá suporte à autorização com o RBAC do Azure por meio de um modelo de permissão de RBAC do Azure. A Microsoft recomenda usar o modelo de permissão de RBAC do Azure nas políticas de acesso do cofre de chaves. Para obter mais informações, confira Conceder permissão para aplicativos acessarem um cofre de chaves do Azure usando o RBAC do Azure.

Portal do Azure

Para saber como criar um cofre de chaves com o portal do Azure, confira Início Rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Habilitar proteção contra limpeza, conforme mostrado na imagem a seguir.

Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:

1. Navegue até o cofre de chaves no portal do Azure.
2. Em Configurações, escolha Propriedades.
3. Na seção Proteção contra limpeza, escolha Habilitar proteção contra limpeza.

PowerShell

Para criar um novo cofre de chaves com o PowerShell, instale a versão 2.0.0 ou mais recente do módulo Az.KeyVault do PowerShell. Depois, chame New-AzKeyVault para criar um novo cofre de chaves. Com a versão 2.0.0 e mais recente do módulo Az.KeyVault, a exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves.

O exemplo a seguir cria um novo cofre de chaves com a exclusão reversível e a proteção contra limpeza habilitadas. O modelo de permissão do cofre de chaves está definido para usar o RBAC do Azure. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Para saber como habilitar a proteção contra limpeza em um cofre de chaves existente com o PowerShell, confira Visão geral da recuperação do Azure Key Vault.

Após criar o cofre de chaves, você precisa atribuir a você mesmo a função de Key Vault Crypto Officer. Essa função permite que você crie uma chave no cofre de chaves. O exemplo a seguir atribui essa função a um usuário, com escopo no cofre de chaves:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para obter mais informações sobre como atribuir uma função de RBAC com o PowerShell, consulte Atribuir funções do Azure usando o Azure PowerShell.

CLI do Azure

Para criar um novo cofre de chaves usando a CLI do Azure, chame az keyvault create. O exemplo a seguir cria um novo cofre de chaves com a exclusão reversível e a proteção contra limpeza habilitadas. O modelo de permissão do cofre de chaves está definido para usar o RBAC do Azure. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Para saber como habilitar a proteção contra limpeza em um cofre de chaves existente com a CLI do Azure, confira Visão geral da recuperação do Azure Key Vault.

Após criar o cofre de chaves, você precisa atribuir a você mesmo a função de Key Vault Crypto Officer. Essa função permite que você crie uma chave no cofre de chaves. O exemplo a seguir atribui essa função a um usuário, com escopo no cofre de chaves:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Para obter mais informações sobre como atribuir uma função de RBAC com a CLI do Azure, consulte Atribuir funções do Azure usando a CLI do Azure.

Adicionar uma chave

Depois, adicione uma chave no cofre de chaves. Antes de adicionar a chave, verifique se você atribuiu a você mesmo a função de Key Vault Crypto Officer.

A criptografia do Armazenamento do Azure dá suporte às chaves RSA e RSA-HSM de tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave com suporte, confira Sobre chaves.

Portal do Azure

Para saber como adicionar uma chave com o portal do Azure, confira Início Rápido: definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.

PowerShell

Para adicionar uma chave com o PowerShell, chame Add-AzKeyVaultKey. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

CLI do Azure

Para adicionar uma chave com a CLI do Azure, chame az keyvault key create. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Escolher uma identidade gerenciada para autorizar o acesso ao cofre de chaves

Ao habilitar as chaves gerenciadas pelo cliente em uma conta de armazenamento existente, você deve especificar uma identidade gerenciada a ser usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada precisa ter permissões para acessar a chave no cofre de chaves.

A identidade gerenciada que autoriza o acesso ao cofre de chaves pode ser uma identidade gerenciada atribuída pelo usuário ou atribuída pelo sistema. Para saber mais sobre as identidades gerenciadas atribuídas pelo sistema e as atribuídas pelo usuário, confira Tipos de identidade gerenciada.

Usar uma identidade gerenciada atribuída pelo usuário para autorizar o acesso

Ao habilitar as chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você precisa especificar uma identidade gerenciada atribuída pelo usuário. Uma conta de armazenamento existente dá suporte ao uso de uma identidade gerenciada atribuída pelo usuário ou de uma identidade gerenciada atribuída pelo sistema para configurar chaves gerenciada pelo cliente.

Ao configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, a identidade gerenciada atribuída pelo usuário é usada para autorizar o acesso ao cofre de chaves que contém a chave. Você precisa criar a identidade atribuída pelo usuário para configurar as chaves gerenciadas pelo cliente.

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Para saber mais sobre identidades gerenciadas atribuídas pelo usuário, confira Tipos de identidade gerenciada. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, confira Gerenciar identidades gerenciadas atribuídas pelo usuário.

A identidade gerenciada atribuída pelo usuário precisa ter as permissões para acessar a chave no cofre de chaves. Atribua a função de Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário no escopo do cofre de chaves para conceder essas permissões.

Portal do Azure

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, você deve atribuir a função Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário, com escopo no cofre de chaves. Essa permissão concede à identidade gerenciada atribuída pelo usuário permissões para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções de RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Ao configurar as chaves gerenciadas pelo cliente com o portal do Azure, você pode selecionar uma identidade atribuída pelo usuário existente por meio da interface do usuário do portal.

PowerShell

O exemplo a seguir mostra como recuperar a identidade gerenciada atribuída pelo usuário e atribuir a ela a função de RBAC necessária, com escopo no cofre de chaves. Não deixe de substituir os valores do espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

CLI do Azure

O exemplo a seguir mostra como recuperar a identidade gerenciada atribuída pelo usuário e atribuir a ela a função de RBAC necessária, com escopo no cofre de chaves. Não deixe de substituir os valores do espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Usar uma identidade gerenciada atribuída pelo sistema para autorizar o acesso

Uma identidade gerenciada atribuída pelo sistema está associada a uma instância de um serviço do Azure, nesse caso, uma conta do Armazenamento do Azure. Você precisa atribuir explicitamente uma identidade gerenciada atribuída pelo sistema a uma conta de armazenamento para usar a identidade gerenciada atribuída pelo sistema a fim de autorizar o acesso ao cofre de chaves que contém a chave gerenciada pelo cliente.

Somente as contas de armazenamento existentes podem usar uma identidade atribuída pelo sistema para autorizar o acesso ao cofre de chaves. As novas contas de armazenamento precisam usar uma identidade atribuída pelo usuário quando as chaves gerenciadas pelo cliente são configuradas na criação de conta.

A identidade gerenciada atribuída pelo sistema precisa ter as permissões para acessar a chave no cofre de chaves. Atribua a função de Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo sistema no escopo do cofre de chaves para conceder essas permissões.

Portal do Azure

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo sistema, você deve atribuir a função Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo sistema, com escopo no cofre de chaves. Essa permissão concede à identidade gerenciada atribuída pelo sistema permissões para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções de RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Quando você configura chaves gerenciadas pelo cliente no portal do Azure com uma identidade gerenciada atribuída pelo sistema, essa identidade é atribuída à conta de armazenamento automaticamente.

PowerShell

Para atribuir uma identidade gerenciada atribuída pelo sistema à conta de armazenamento, chame primeiro Set-AzStorageAccount:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Em seguida, atribua à identidade gerenciada atribuída pelo sistema a função de RBAC necessária, com escopo no cofre de chaves. Não deixe de substituir os valores do espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

CLI do Azure

Para autenticar o acesso ao cofre de chaves com uma identidade gerenciada atribuída pelo sistema, primeiro atribua a identidade gerenciada atribuída pelo sistema à conta de armazenamento chamando az storage account update:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Em seguida, atribua à identidade gerenciada atribuída pelo sistema a função de RBAC necessária, com escopo no cofre de chaves. Não deixe de substituir os valores do espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Configurar chaves gerenciadas pelo cliente para uma conta existente

Ao configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente, você pode optar por atualizar automaticamente a versão da chave usada para a criptografia do Armazenamento do Azure sempre que uma nova versão estiver disponível no cofre de chaves associado. Como alternativa, você pode especificar explicitamente uma versão de chave a ser usada para criptografia até que a versão da chave seja atualizada manualmente.

Quando a versão da chave é alterada, seja automaticamente ou manualmente, a proteção da chave de criptografia raiz é alterada, mas os dados na sua conta de Armazenamento do Azure permanecem criptografados o tempo todo. Não há mais ações adicionais necessárias da sua parte para garantir que seus dados estejam protegidos. A rotação da versão chave não afeta o desempenho. Não há tempo de inatividade associado à rotação da versão da chave.

Você pode usar uma identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário para autorizar o acesso ao cofre de chaves ao configurar as chaves gerenciadas pelo cliente para uma conta de armazenamento existente.

Observação

Para girar uma chave, crie uma nova versão da chave no Azure Key Vault. O Armazenamento do Azure não lida com a rotação de chaves, portanto, você precisará gerenciar a rotação da chave no cofre de chaves. Você pode configurar a rotação automática de chaves no Azure Key Vault ou rotacionar a chave manualmente.

Configurar a criptografia para atualização automática das versões de chave

O Armazenamento do Azure pode atualizar automaticamente a chave gerenciada pelo cliente usada para criptografia para usar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica no cofre de chaves diariamente de há uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a usar a versão mais recente da chave para criptografia.

Importante

O Armazenamento do Azure verifica o cofre de chaves para detectar uma nova versão de chave apenas uma vez por dia. Ao rotacionar uma chave, aguarde 24 horas antes de desabilitar a versão mais antiga.

Azure portal

Para configurar as chaves gerenciadas pelo cliente de uma conta existente com a atualização automática de versão da chave no portal do Azure, siga as etapas abaixo:

1. Navegue para sua conta de armazenamento.

2. Em Segurança + rede, selecione Criptografia. Por padrão, o gerenciamento de chaves é definido como Chaves Gerenciadas pela Microsoft, conforme mostrado na imagem abaixo:

   

3. Selecione a opção Chaves Gerenciadas pelo Cliente. Se a conta tiver sido configurada anteriormente para Chaves Gerenciadas pelo Cliente com a atualização manual de versão da chave, selecione Alterar chave na parte inferior da página.

4. Escolha a opção Selecionar do Cofre de chaves.

5. Selecione Selecionar um cofre de chaves e uma chave.

6. Selecione o cofre de chaves que contém a chave que você deseja usar. Você também pode criar um novo cofre de chaves.

7. Selecione a chave no cofre de chaves. Você também pode criar uma nova chave.

   

8. Selecione o tipo de identidade a ser usado para autenticar o acesso ao cofre de chaves. As opções incluem Atribuída pelo sistema (o padrão) ou Atribuída pelo usuário. Para saber mais sobre cada tipo de identidade gerenciada, consulte Tipos de identidade gerenciada.

   1. Se você selecionar Atribuída pelo sistema, a identidade gerenciada atribuída pelo sistema para a conta de armazenamento será criada nos bastidores, se ainda não existir.
   2. Se selecionar Atribuída pelo usuário, você deverá selecionar uma identidade atribuída pelo usuário existente que tenha permissões para acessar o cofre de chaves. Para saber como criar uma identidade atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

   

9. Salve suas alterações.

Depois de especificar a chave, o portal do Azure indica que a atualização automática da versão da chave está habilitada e exibe a versão da chave atualmente em uso para criptografia. O portal também exibe o tipo de identidade gerenciada usada para autorizar o acesso ao cofre de chaves e à ID da entidade de segurança da identidade gerenciada.

PowerShell

Para configurar as chaves gerenciadas pelo cliente para uma conta existente com a atualização automática de versão da chave com o PowerShell, instale o módulo Az.Storage, versão 2.0.0 ou posterior.

Depois, chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento. Inclua o parâmetro KeyvaultEncryption para habilitar chaves gerenciadas pelo cliente na conta de armazenamento e defina KeyVersion como uma cadeia de caracteres vazia para habilitar a atualização automática de versão da chave. Se a conta de armazenamento tiver sido configurada anteriormente para as chaves gerenciadas pelo cliente com uma versão de chave específica, definir a versão da chave como uma cadeia de caracteres vazia habilitará a atualização automática da versão da chave daqui pra frente.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

CLI do Azure

Para configurar as chaves gerenciadas pelo cliente para uma conta existente com a atualização automática de versão da chave com a CLI do Azure, instale a CLI do Azure versão 2.4.0 ou posterior. Para obter mais informações, consulte Instalar a CLI do Azure.

Depois, chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento. Inclua o parâmetro --encryption-key-source e defina-o como Microsoft.Keyvault para habilitar as chaves gerenciadas pelo cliente para a conta e defina encryption-key-version como uma cadeia de caracteres vazia para habilitar a atualização automática de versão da chave. Se a conta de armazenamento tiver sido configurada anteriormente para as chaves gerenciadas pelo cliente com uma versão de chave específica, definir a versão da chave como uma cadeia de caracteres vazia habilitará a atualização automática da versão da chave daqui pra frente.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Configurar a criptografia para atualização manual das versões de chave

Se você preferir atualizar manualmente a versão da chave, especifique explicitamente a versão no momento em que configurar a criptografia com chaves gerenciadas pelo cliente. Nesse caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando uma nova versão for criada no cofre de chaves. Para usar uma nova versão de chave, você precisa atualizar manualmente a versão usada na criptografia do Armazenamento do Azure.

Azure portal

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave no portal do Azure, especifique o URI da chave, incluindo a versão. Para especificar uma chave como um URI, siga estas etapas:

1. Para localizar o URI da chave no portal do Azure, navegue até o cofre de chaves e selecione a configuração Chaves. Selecione a chave desejada e depois clique na chave para visualizar as versões. Selecione uma versão da chave para ver as configurações dessa versão.

2. Copie o valor do campo Identificador da Chave, que fornece o URI.

   

3. Nas configurações de Chave de criptografia para a conta de armazenamento, escolha a opção Inserir URI da chave.

4. Cole o URI que você copiou no campo URI da Chave. Omita a versão de chave do URI para habilitar a atualização automática da versão de chave.

   

5. Especifique a assinatura que contém o cofre de chaves.

6. Especifique uma identidade gerenciada atribuída pelo sistema ou pelo usuário.

7. Salve suas alterações.

PowerShell

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave, forneça explicitamente a versão de chave ao configurar a criptografia para a conta de armazenamento. Chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento, conforme mostrado no exemplo a seguir, e inclua a opção -KeyvaultEncryption para habilitar chaves gerenciadas pelo cliente para a conta de armazenamento.

Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Ao atualizar manualmente a versão da chave, você precisará atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão. Primeiro, chame Get-AzKeyVaultKey para obter a versão mais recente da chave. Depois, chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão da chave, conforme mostrado no exemplo anterior.

CLI do Azure

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave, forneça explicitamente a versão de chave ao configurar a criptografia para a conta de armazenamento. Chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento, conforme mostrado no exemplo a seguir. Inclua o parâmetro --encryption-key-source e defina-o como Microsoft.Keyvault para habilitar chaves gerenciadas pelo cliente para a conta.

Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Ao atualizar manualmente a versão da chave, você precisará atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão. Primeiro, consulte o URI do cofre de chaves chamando az keyvault show e para a versão de chave chamando az keyvault key list-versions. Depois, chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão da chave, conforme mostrado no exemplo anterior.

Alterar a chave

Você pode alterar a chave que está usando para a criptografia de Armazenamento do Azure a qualquer momento.

Observação

Quando você atualiza a chave ou sua versão, a proteção da chave de criptografia raiz é alterada, mas os dados em sua conta do Armazenamento do Azure permanecem criptografados o tempo todo. Não há mais nenhuma ação necessária da sua parte para garantir que seus dados estejam protegidos. Alterar a chave ou girar a versão da chave não afeta o desempenho. Não há tempo de inatividade associado à alteração ou rotação da versão da chave.

Portal do Azure

Para alterar a chave com o portal do Azure, siga estas etapas:

1. Navegue até a conta de armazenamento e exiba as configurações de Criptografia.
2. Selecione o cofre de chaves e escolha uma nova chave.
3. Salve suas alterações.

PowerShell

Para alterar a chave com o PowerShell, chame Set-AzStorageAccount e forneça o nome e a versão da nova chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.

CLI do Azure

Para alterar a chave com a CLI do Azure, chame az storage account update e forneça o nome e a versão da nova chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.

Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você optar pela atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.

Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente

Para revogar temporariamente o acesso a uma conta de armazenamento que está usando chaves gerenciadas pelo cliente, desabilite a chave que está sendo usada atualmente no cofre de chaves. Não há nenhum impacto no desempenho ou tempo de inatividade associado à desabilitação e reabilitação da chave.

Depois que a chave é desativada, os clientes não podem chamar operações que leem ou gravam em um blob ou em seus metadados. Para obter informações sobre quais operações falharão, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Cuidado

Quando você desabilitar a chave no cofre de chaves, os dados em sua conta do Armazenamento do Azure permanecerão criptografados, mas ficarão inacessíveis até que você reabilite a chave.

Portal do Azure

Para desabilitar uma chave gerenciada pelo cliente com o portal do Azure, siga estas etapas:

1. Navegue até o cofre de chaves que contém a chave.

2. Em Objetos, selecione Chaves.

3. Clique com o botão direito do mouse na chave e selecione Desabilitar.

   

PowerShell

Para revogar uma chave gerenciada pelo cliente com o PowerShell, chame o comando Update-AzKeyVaultKey, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

CLI do Azure

Para revogar uma chave gerenciada pelo cliente com a CLI do Azure, chame o comando az keyvault key set-attributes, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Voltar para chaves gerenciadas pela Microsoft

Você pode sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft a qualquer momento, usando o portal do Azure, o PowerShell ou a CLI do Azure.

Portal do Azure

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft no portal do Azure, siga estas etapas:

1. Navegue para sua conta de armazenamento.

2. Em Segurança + rede, selecione Criptografia.

3. Altere o Tipo de criptografia para Chaves gerenciadas pela Microsoft.

   

PowerShell

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas ela Microsoft com o PowerShell, chame Set-AzStorageAccount com a opção -StorageEncryption, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

CLI do Azure

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft com a CLI do Azure, chame az storage account update e defina --encryption-key-source parameter como Microsoft.Storage, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Próximas etapas

• Criptografia do Armazenamento do Azure para dados em repouso
• Chaves gerenciadas pelo cliente para a criptografia do Armazenamento do Azure
• Configurar chaves gerenciadas pelo cliente em um Azure Key Vault para uma nova conta de armazenamento