Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma nova conta de armazenamento

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para ter mais controle sobre as chaves de criptografia, você pode gerenciar as próprias chaves. As chaves gerenciadas pelo cliente devem ser armazenadas em um Azure Key Vault ou em um HSM (Modelo de Segurança de Hardware) Gerenciado do Azure Key Vault.

Este artigo mostra como configurar a criptografia com chaves gerenciadas pelo cliente no momento em que você cria uma nova conta de armazenamento. As chaves gerenciadas pelo cliente devem ser armazenadas em um cofre de chaves.

Para saber como configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente, confira Configurar chaves gerenciadas pelo cliente em um cofre de chaves do Azure para uma conta de armazenamento existente.

Observação

O Azure Key Vault e o HSM Gerenciado pelo Azure Key Vault oferecem suporte às mesmas APIs e interfaces de gerenciamento para configuração da chaves gerenciadas pelo cliente. Qualquer ação compatível com o Azure Key Vault também é compatível com o HSM Gerenciado do Azure Key Vault.

Configurar o cofre de chaves

Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário. Para saber mais sobre o Azure Key Vault, confira Visão geral do Azure Key Vault e O que é o Azure Key Vault?.

O uso de chaves gerenciadas pelo cliente com a criptografia do Armazenamento do Azure exige que a exclusão temporária e a proteção contra limpeza sejam habilitadas para o cofre de chaves. A exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou após sua criação.

O Azure Key Vault dá suporte à autorização com o RBAC do Azure por meio de um modelo de permissão de RBAC do Azure. A Microsoft recomenda usar o modelo de permissão de RBAC do Azure nas políticas de acesso do cofre de chaves. Para obter mais informações, confira Conceder permissão para aplicativos acessarem um cofre de chaves do Azure usando o RBAC do Azure.

Portal do Azure

Para saber como criar um cofre de chaves com o portal do Azure, confira Início Rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Habilitar proteção contra limpeza, conforme mostrado na imagem a seguir.

Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:

1. Navegue até o cofre de chaves no portal do Azure.
2. Em Configurações, escolha Propriedades.
3. Na seção Proteção contra limpeza, escolha Habilitar proteção contra limpeza.

PowerShell

Para criar um novo cofre de chaves com o PowerShell, instale a versão 2.0.0 ou mais recente do módulo Az.KeyVault do PowerShell. Depois, chame New-AzKeyVault para criar um novo cofre de chaves. Com a versão 2.0.0 e mais recente do módulo Az.KeyVault, a exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves.

O exemplo a seguir cria um novo cofre de chaves com a exclusão reversível e a proteção contra limpeza habilitadas. O modelo de permissão do cofre de chaves está definido para usar o RBAC do Azure. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Para saber como habilitar a proteção contra limpeza em um cofre de chaves existente com o PowerShell, confira Visão geral da recuperação do Azure Key Vault.

Após criar o cofre de chaves, você precisa atribuir a você mesmo a função de Key Vault Crypto Officer. Essa função permite que você crie uma chave no cofre de chaves. O exemplo a seguir atribui essa função a um usuário, com escopo no cofre de chaves:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para obter mais informações sobre como atribuir uma função de RBAC com o PowerShell, consulte Atribuir funções do Azure usando o Azure PowerShell.

CLI do Azure

Para criar um novo cofre de chaves usando a CLI do Azure, chame az keyvault create. O exemplo a seguir cria um novo cofre de chaves com a exclusão reversível e a proteção contra limpeza habilitadas. O modelo de permissão do cofre de chaves está definido para usar o RBAC do Azure. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Para saber como habilitar a proteção contra limpeza em um cofre de chaves existente com a CLI do Azure, confira Visão geral da recuperação do Azure Key Vault.

Após criar o cofre de chaves, você precisa atribuir a você mesmo a função de Key Vault Crypto Officer. Essa função permite que você crie uma chave no cofre de chaves. O exemplo a seguir atribui essa função a um usuário, com escopo no cofre de chaves:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Para obter mais informações sobre como atribuir uma função de RBAC com a CLI do Azure, consulte Atribuir funções do Azure usando a CLI do Azure.

Adicionar uma chave

Depois, adicione uma chave no cofre de chaves. Antes de adicionar a chave, verifique se você atribuiu a você mesmo a função de Key Vault Crypto Officer.

A criptografia do Armazenamento do Azure dá suporte às chaves RSA e RSA-HSM de tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave com suporte, confira Sobre chaves.

Portal do Azure

Para saber como adicionar uma chave com o portal do Azure, confira Início Rápido: definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.

PowerShell

Para adicionar uma chave com o PowerShell, chame Add-AzKeyVaultKey. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

CLI do Azure

Para adicionar uma chave com a CLI do Azure, chame az keyvault key create. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Usar uma identidade gerenciada atribuída pelo usuário para autorizar o acesso ao cofre de chaves

Ao habilitar as chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você precisa especificar uma identidade gerenciada atribuída pelo usuário. Uma conta de armazenamento existente dá suporte ao uso de uma identidade gerenciada atribuída pelo usuário ou de uma identidade gerenciada atribuída pelo sistema para configurar chaves gerenciada pelo cliente.

Ao configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, a identidade gerenciada atribuída pelo usuário é usada para autorizar o acesso ao cofre de chaves que contém a chave. Você precisa criar a identidade atribuída pelo usuário para configurar as chaves gerenciadas pelo cliente.

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Para saber mais sobre identidades gerenciadas atribuídas pelo usuário, confira Tipos de identidade gerenciada. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, confira Gerenciar identidades gerenciadas atribuídas pelo usuário.

A identidade gerenciada atribuída pelo usuário precisa ter as permissões para acessar a chave no cofre de chaves. Atribua a função de Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário no escopo do cofre de chaves para conceder essas permissões.

Portal do Azure

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, você deve atribuir a função Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário, com escopo no cofre de chaves. Essa permissão concede à identidade gerenciada atribuída pelo usuário permissões para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções de RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Ao configurar as chaves gerenciadas pelo cliente com o portal do Azure, você pode selecionar uma identidade atribuída pelo usuário existente por meio da interface do usuário do portal.

PowerShell

O exemplo a seguir mostra como recuperar a identidade gerenciada atribuída pelo usuário e atribuir a ela a função de RBAC necessária, com escopo no cofre de chaves. Não deixe de substituir os valores do espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

CLI do Azure

O exemplo a seguir mostra como recuperar a identidade gerenciada atribuída pelo usuário e atribuir a ela a função de RBAC necessária, com escopo no cofre de chaves. Não deixe de substituir os valores do espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento

Ao configurar a criptografia com chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você pode optar por atualizar automaticamente a versão da chave usada para a criptografia do Armazenamento do Azure sempre que uma nova versão estiver disponível no cofre de chaves associado. Como alternativa, você pode especificar explicitamente uma versão de chave a ser usada para criptografia até que a versão da chave seja atualizada manualmente.

Você precisa usar uma identidade gerenciada atribuída pelo usuário existente para autorizar o acesso ao cofre de chaves ao configurar as chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. A identidade gerenciada atribuída pelo usuário precisa ter as permissões apropriadas para acessar o cofre de chaves. Para saber mais, confira Autenticar-se no Azure Key Vault.

Configurar a criptografia para atualização automática das versões de chave

O Armazenamento do Azure pode atualizar automaticamente a chave gerenciada pelo cliente usada para criptografia para usar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica no cofre de chaves diariamente de há uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a usar a versão mais recente da chave para criptografia.

Importante

O Armazenamento do Azure verifica o cofre de chaves para detectar uma nova versão de chave apenas uma vez por dia. Ao rotacionar uma chave, aguarde 24 horas antes de desabilitar a versão mais antiga.

Portal do Azure

Para configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento com a atualização automática de versão da chave, siga estas etapas:

1. No portal do Azure, navegue até a página Contas de armazenamento e clique no botão Criar para criar nova conta.

2. Siga as etapas descritas em Criar uma conta de armazenamento para preencher os campos nas guias Informações Básicas, Avançado, Rede e Proteção de Dados.

3. Na guia Criptografia , indique para quais serviços você deseja habilitar o suporte a chaves gerenciadas pelo cliente no campo Habilitar suporte para chaves gerenciadas pelo cliente.

4. No campo Tipo de criptografia, selecione CMK (Teclas gerenciadas pelo cliente).

5. No campo Chave de criptografia, escolha Selecionar um cofre de chaves e uma chave e especifique o cofre de chaves e a chave.

6. Para o campo Identidade atribuída pelo usuário, selecione uma identidade gerenciada atribuída pelo usuário existente.

   

7. Selecione o botão Revisar para validar e criar a conta.

Você também pode configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave ao criar uma conta de armazenamento. Siga as etapas descritas em Configurar a criptografia para atualização manual de versões de chave.

PowerShell

Para configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento com atualização automática de versão da chave, chame New-AzStorageAccount, conforme mostrado no exemplo a seguir. Use a variável já criada da ID do recurso para a identidade gerenciada atribuída pelo usuário. Você também precisará do URI do cofre de chaves e do nome da chave:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

CLI do Azure

Para configurar as chaves gerenciadas pelo cliente para uma nova conta de armazenamento com a atualização automática de versão da chave, chame az storage account create, conforme mostrado no exemplo a seguir. Use a variável já criada da ID do recurso para a identidade gerenciada atribuída pelo usuário. Você também precisará do URI do cofre de chaves e do nome da chave:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Configurar a criptografia para atualização manual das versões de chave

Se você preferir atualizar manualmente a versão da chave, especifique explicitamente a versão quando configurar a criptografia com chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. Nesse caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando uma nova versão for criada no cofre de chaves. Para usar uma nova versão de chave, você precisa atualizar manualmente a versão usada na criptografia do Armazenamento do Azure.

Você precisa usar uma identidade gerenciada atribuída pelo usuário existente para autorizar o acesso ao cofre de chaves ao configurar as chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. A identidade gerenciada atribuída pelo usuário precisa ter as permissões apropriadas para acessar o cofre de chaves. Para saber mais, confira Autenticar-se no Azure Key Vault.

Portal do Azure

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave no portal do Azure, especifique o URI da chave, incluindo a versão, durante a criação da conta de armazenamento. Para especificar uma chave como um URI, siga estas etapas:

1. No portal do Azure, navegue até a página Contas de armazenamento e clique no botão Criar para criar nova conta.

2. Siga as etapas descritas em Criar uma conta de armazenamento para preencher os campos nas guias Informações Básicas, Avançado, Rede e Proteção de Dados.

3. Na guia Criptografia , indique para quais serviços você deseja habilitar o suporte a chaves gerenciadas pelo cliente no campo Habilitar suporte para chaves gerenciadas pelo cliente.

4. No campo Tipo de criptografia, selecione CMK (Teclas gerenciadas pelo cliente).

5. Para localizar o URI da chave no portal do Azure, navegue até o cofre de chaves e selecione a configuração Chaves. Selecione a chave desejada e depois clique na chave para visualizar as versões. Selecione uma versão da chave para ver as configurações dessa versão.

6. Copie o valor do campo Identificador da Chave, que fornece o URI.

   

7. Nas configurações de Chave de criptografia para a conta de armazenamento, escolha a opção Inserir URI da chave.

8. Cole o URI que você copiou no campo URI da Chave. Inclua a versão da chave no URI para configurar a atualização manual da versão da chave.

9. Especifique uma identidade gerenciada atribuída pelo usuário escolhendo o link Selecionar uma identidade.

   

10. Selecione o botão Revisar para validar e criar a conta.

PowerShell

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave, forneça explicitamente a versão de chave ao configurar a criptografia enquanto cria a conta de armazenamento. Chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento, conforme mostrado no exemplo a seguir, e inclua a opção -KeyvaultEncryption para habilitar chaves gerenciadas pelo cliente para a conta de armazenamento.

Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Ao atualizar manualmente a versão de chave, você precisará atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão. Primeiro, chame Get-AzKeyVaultKey para obter a versão mais recente da chave. Depois, chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão da chave, conforme mostrado no exemplo anterior.

CLI do Azure

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave, forneça explicitamente a versão de chave ao configurar a criptografia enquanto cria a conta de armazenamento. Chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento, conforme mostrado no exemplo a seguir. Inclua o parâmetro --encryption-key-source e defina-o como Microsoft.Keyvault para habilitar chaves gerenciadas pelo cliente para a conta.

Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Ao atualizar manualmente a versão de chave, você precisará atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão. Primeiro, consulte o URI do cofre de chaves chamando az keyvault show e para a versão de chave chamando az keyvault key list-versions. Depois, chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão da chave, conforme mostrado no exemplo anterior.

Alterar a chave

Você pode alterar a chave que está usando para a criptografia de Armazenamento do Azure a qualquer momento.

Observação

Quando você atualiza a chave ou sua versão, a proteção da chave de criptografia raiz é alterada, mas os dados em sua conta do Armazenamento do Azure permanecem criptografados o tempo todo. Não há mais nenhuma ação necessária da sua parte para garantir que seus dados estejam protegidos. Alterar a chave ou girar a versão da chave não afeta o desempenho. Não há tempo de inatividade associado à alteração ou rotação da versão da chave.

Portal do Azure

Para alterar a chave com o portal do Azure, siga estas etapas:

1. Navegue até a conta de armazenamento e exiba as configurações de Criptografia.
2. Selecione o cofre de chaves e escolha uma nova chave.
3. Salve suas alterações.

PowerShell

Para alterar a chave com o PowerShell, chame Set-AzStorageAccount e forneça o nome e a versão da nova chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.

CLI do Azure

Para alterar a chave com a CLI do Azure, chame az storage account update e forneça o nome e a versão da nova chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.

Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você escolher a atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.

Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente

Para revogar temporariamente o acesso a uma conta de armazenamento que está usando chaves gerenciadas pelo cliente, desabilite a chave que está sendo usada atualmente no cofre de chaves. Não há nenhum impacto no desempenho ou tempo de inatividade associado à desabilitação e reabilitação da chave.

Depois que a chave é desativada, os clientes não podem chamar operações que leem ou gravam em um blob ou em seus metadados. Para obter informações sobre quais operações falharão, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Cuidado

Quando você desabilitar a chave no cofre de chaves, os dados em sua conta do Armazenamento do Azure permanecerão criptografados, mas ficarão inacessíveis até que você reabilite a chave.

Portal do Azure

Para desabilitar uma chave gerenciada pelo cliente com o portal do Azure, siga estas etapas:

1. Navegue até o cofre de chaves que contém a chave.

2. Em Objetos, selecione Chaves.

3. Clique com o botão direito do mouse na chave e selecione Desabilitar.

   

PowerShell

Para revogar uma chave gerenciada pelo cliente com o PowerShell, chame o comando Update-AzKeyVaultKey, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

CLI do Azure

Para revogar uma chave gerenciada pelo cliente com a CLI do Azure, chame o comando az keyvault key set-attributes, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Desabilitar a chave fará com que as tentativas de acessar os dados na conta de armazenamento falhem com o código de erro 403 (Forbidden). Para obter uma lista de operações de conta de armazenamento que serão afetadas pela desabilitação da chave, confira Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Voltar para as chaves gerenciadas pela Microsoft

Você pode sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft a qualquer momento, usando o portal do Azure, o PowerShell ou a CLI do Azure.

Portal do Azure

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft no portal do Azure, siga estas etapas:

1. Navegue para sua conta de armazenamento.

2. Em Segurança + rede, selecione Criptografia.

3. Altere o Tipo de criptografia para Chaves gerenciadas pela Microsoft.

   

PowerShell

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas ela Microsoft com o PowerShell, chame Set-AzStorageAccount com a opção -StorageEncryption, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

CLI do Azure

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft com a CLI do Azure, chame az storage account update e defina --encryption-key-source parameter como Microsoft.Storage, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Próximas etapas

• Criptografia do Armazenamento do Azure para dados em repouso
• Chaves gerenciadas pelo cliente para a criptografia do Armazenamento do Azure
• Configurar chaves gerenciadas pelo cliente em um Azure Key Vault para uma conta de armazenamento existente
• Configure a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado pelo Azure Key Vault