Compartilhar via


Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma nova conta de armazenamento

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para ter mais controle sobre as chaves de criptografia, você pode gerenciar as próprias chaves. As chaves gerenciadas pelo cliente devem ser armazenadas em um Azure Key Vault ou em um HSM (Modelo de Segurança de Hardware) Gerenciado do Azure Key Vault.

Este artigo mostra como configurar a criptografia com chaves gerenciadas pelo cliente no momento em que você cria uma nova conta de armazenamento. As chaves gerenciadas pelo cliente devem ser armazenadas em um cofre de chaves.

Para saber como configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente, confira Configurar chaves gerenciadas pelo cliente em um cofre de chaves do Azure para uma conta de armazenamento existente.

Observação

O Azure Key Vault e o HSM Gerenciado pelo Azure Key Vault oferecem suporte às mesmas APIs e interfaces de gerenciamento para configuração da chaves gerenciadas pelo cliente. Qualquer ação compatível com o Azure Key Vault também é compatível com o HSM Gerenciado do Azure Key Vault.

Configurar o cofre de chaves

Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário. Para saber mais sobre o Azure Key Vault, confira Visão geral do Azure Key Vault e O que é o Azure Key Vault?.

O uso de chaves gerenciadas pelo cliente com a criptografia do Armazenamento do Azure exige que a exclusão temporária e a proteção contra limpeza sejam habilitadas para o cofre de chaves. A exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou após sua criação.

O Azure Key Vault dá suporte à autorização com o RBAC do Azure por meio de um modelo de permissão de RBAC do Azure. A Microsoft recomenda usar o modelo de permissão de RBAC do Azure nas políticas de acesso do cofre de chaves. Para obter mais informações, confira Conceder permissão para aplicativos acessarem um cofre de chaves do Azure usando o RBAC do Azure.

Para saber como criar um cofre de chaves com o portal do Azure, confira Início Rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Habilitar proteção contra limpeza, conforme mostrado na imagem a seguir.

Captura de tela mostrando como habilitar a proteção contra limpeza ao criar um cofre de chaves.

Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:

  1. Navegue até o cofre de chaves no portal do Azure.
  2. Em Configurações, escolha Propriedades.
  3. Na seção Proteção contra limpeza, escolha Habilitar proteção contra limpeza.

Adicionar uma chave

Depois, adicione uma chave no cofre de chaves. Antes de adicionar a chave, verifique se você atribuiu a você mesmo a função de Key Vault Crypto Officer.

A criptografia do Armazenamento do Azure dá suporte às chaves RSA e RSA-HSM de tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave com suporte, confira Sobre chaves.

Para saber como adicionar uma chave com o portal do Azure, confira Início Rápido: definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.

Usar uma identidade gerenciada atribuída pelo usuário para autorizar o acesso ao cofre de chaves

Ao habilitar as chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você precisa especificar uma identidade gerenciada atribuída pelo usuário. Uma conta de armazenamento existente dá suporte ao uso de uma identidade gerenciada atribuída pelo usuário ou de uma identidade gerenciada atribuída pelo sistema para configurar chaves gerenciada pelo cliente.

Ao configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, a identidade gerenciada atribuída pelo usuário é usada para autorizar o acesso ao cofre de chaves que contém a chave. Você precisa criar a identidade atribuída pelo usuário para configurar as chaves gerenciadas pelo cliente.

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Para saber mais sobre identidades gerenciadas atribuídas pelo usuário, confira Tipos de identidade gerenciada. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, confira Gerenciar identidades gerenciadas atribuídas pelo usuário.

A identidade gerenciada atribuída pelo usuário precisa ter as permissões para acessar a chave no cofre de chaves. Atribua a função de Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário no escopo do cofre de chaves para conceder essas permissões.

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, você deve atribuir a função Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário, com escopo no cofre de chaves. Essa permissão concede à identidade gerenciada atribuída pelo usuário permissões para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções de RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Ao configurar as chaves gerenciadas pelo cliente com o portal do Azure, você pode selecionar uma identidade atribuída pelo usuário existente por meio da interface do usuário do portal.

Configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento

Ao configurar a criptografia com chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você pode optar por atualizar automaticamente a versão da chave usada para a criptografia do Armazenamento do Azure sempre que uma nova versão estiver disponível no cofre de chaves associado. Como alternativa, você pode especificar explicitamente uma versão de chave a ser usada para criptografia até que a versão da chave seja atualizada manualmente.

Você precisa usar uma identidade gerenciada atribuída pelo usuário existente para autorizar o acesso ao cofre de chaves ao configurar as chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. A identidade gerenciada atribuída pelo usuário precisa ter as permissões apropriadas para acessar o cofre de chaves. Para saber mais, confira Autenticar-se no Azure Key Vault.

Configurar a criptografia para atualização automática das versões de chave

O Armazenamento do Azure pode atualizar automaticamente a chave gerenciada pelo cliente usada para criptografia para usar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica no cofre de chaves diariamente de há uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a usar a versão mais recente da chave para criptografia.

Importante

O Armazenamento do Azure verifica o cofre de chaves para detectar uma nova versão de chave apenas uma vez por dia. Ao rotacionar uma chave, aguarde 24 horas antes de desabilitar a versão mais antiga.

Para configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento com a atualização automática de versão da chave, siga estas etapas:

  1. No portal do Azure, navegue até a página Contas de armazenamento e clique no botão Criar para criar nova conta.

  2. Siga as etapas descritas em Criar uma conta de armazenamento para preencher os campos nas guias Informações Básicas, Avançado, Rede e Proteção de Dados.

  3. Na guia Criptografia , indique para quais serviços você deseja habilitar o suporte a chaves gerenciadas pelo cliente no campo Habilitar suporte para chaves gerenciadas pelo cliente.

  4. No campo Tipo de criptografia, selecione CMK (Teclas gerenciadas pelo cliente).

  5. No campo Chave de criptografia, escolha Selecionar um cofre de chaves e uma chave e especifique o cofre de chaves e a chave.

  6. Para o campo Identidade atribuída pelo usuário, selecione uma identidade gerenciada atribuída pelo usuário existente.

    Captura de tela mostrando como configurar as chaves gerenciadas pelo cliente para uma nova conta de armazenamento no portal do Azure.

  7. Selecione o botão Revisar para validar e criar a conta.

Você também pode configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave ao criar uma conta de armazenamento. Siga as etapas descritas em Configurar a criptografia para atualização manual de versões de chave.

Configurar a criptografia para atualização manual das versões de chave

Se você preferir atualizar manualmente a versão da chave, especifique explicitamente a versão quando configurar a criptografia com chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. Nesse caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando uma nova versão for criada no cofre de chaves. Para usar uma nova versão de chave, você precisa atualizar manualmente a versão usada na criptografia do Armazenamento do Azure.

Você precisa usar uma identidade gerenciada atribuída pelo usuário existente para autorizar o acesso ao cofre de chaves ao configurar as chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. A identidade gerenciada atribuída pelo usuário precisa ter as permissões apropriadas para acessar o cofre de chaves. Para saber mais, confira Autenticar-se no Azure Key Vault.

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave no portal do Azure, especifique o URI da chave, incluindo a versão, durante a criação da conta de armazenamento. Para especificar uma chave como um URI, siga estas etapas:

  1. No portal do Azure, navegue até a página Contas de armazenamento e clique no botão Criar para criar nova conta.

  2. Siga as etapas descritas em Criar uma conta de armazenamento para preencher os campos nas guias Informações Básicas, Avançado, Rede e Proteção de Dados.

  3. Na guia Criptografia , indique para quais serviços você deseja habilitar o suporte a chaves gerenciadas pelo cliente no campo Habilitar suporte para chaves gerenciadas pelo cliente.

  4. No campo Tipo de criptografia, selecione CMK (Teclas gerenciadas pelo cliente).

  5. Para localizar o URI da chave no portal do Azure, navegue até o cofre de chaves e selecione a configuração Chaves. Selecione a chave desejada e depois clique na chave para visualizar as versões. Selecione uma versão da chave para ver as configurações dessa versão.

  6. Copie o valor do campo Identificador da Chave, que fornece o URI.

    Captura de tela mostrando o URI da chave do cofre de chaves no portal do Azure.

  7. Nas configurações de Chave de criptografia para a conta de armazenamento, escolha a opção Inserir URI da chave.

  8. Cole o URI que você copiou no campo URI da Chave. Inclua a versão da chave no URI para configurar a atualização manual da versão da chave.

  9. Especifique uma identidade gerenciada atribuída pelo usuário escolhendo o link Selecionar uma identidade.

    Captura de tela mostrando como inserir o URI da chave no portal do Azure.

  10. Selecione o botão Revisar para validar e criar a conta.

Alterar a chave

Você pode alterar a chave que está usando para a criptografia de Armazenamento do Azure a qualquer momento.

Observação

Quando você atualiza a chave ou sua versão, a proteção da chave de criptografia raiz é alterada, mas os dados em sua conta do Armazenamento do Azure permanecem criptografados o tempo todo. Não há mais nenhuma ação necessária da sua parte para garantir que seus dados estejam protegidos. Alterar a chave ou girar a versão da chave não afeta o desempenho. Não há tempo de inatividade associado à alteração ou rotação da versão da chave.

Para alterar a chave com o portal do Azure, siga estas etapas:

  1. Navegue até a conta de armazenamento e exiba as configurações de Criptografia.
  2. Selecione o cofre de chaves e escolha uma nova chave.
  3. Salve suas alterações.

Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você escolher a atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.

Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente

Para revogar temporariamente o acesso a uma conta de armazenamento que está usando chaves gerenciadas pelo cliente, desabilite a chave que está sendo usada atualmente no cofre de chaves. Não há nenhum impacto no desempenho ou tempo de inatividade associado à desabilitação e reabilitação da chave.

Depois que a chave é desativada, os clientes não podem chamar operações que leem ou gravam em um blob ou em seus metadados. Para obter informações sobre quais operações falharão, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Cuidado

Quando você desabilitar a chave no cofre de chaves, os dados em sua conta do Armazenamento do Azure permanecerão criptografados, mas ficarão inacessíveis até que você reabilite a chave.

Para desabilitar uma chave gerenciada pelo cliente com o portal do Azure, siga estas etapas:

  1. Navegue até o cofre de chaves que contém a chave.

  2. Em Objetos, selecione Chaves.

  3. Clique com o botão direito do mouse na chave e selecione Desabilitar.

    Captura de tela mostrando como desabilitar uma chave gerenciada pelo cliente no cofre de chaves.

Desabilitar a chave fará com que as tentativas de acessar os dados na conta de armazenamento falhem com o código de erro 403 (Forbidden). Para obter uma lista de operações de conta de armazenamento que serão afetadas pela desabilitação da chave, confira Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Voltar para as chaves gerenciadas pela Microsoft

Você pode sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft a qualquer momento, usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft no portal do Azure, siga estas etapas:

  1. Navegue para sua conta de armazenamento.

  2. Em Segurança + rede, selecione Criptografia.

  3. Altere o Tipo de criptografia para Chaves gerenciadas pela Microsoft.

    Captura de tela mostrando como alternar para chaves gerenciadas pela Microsoft para uma conta de armazenamento.

Próximas etapas