Configurar chaves gerenciadas pelo cliente para criptografia de volume dos Arquivos NetApp do Azure

As chaves gerenciadas pelo cliente para a criptografia de volume dos Arquivos NetApp do Azure permitem que você use suas próprias chaves em vez de uma chave gerenciada pela plataforma ao criar um novo volume. Com chaves gerenciadas pelo cliente, você pode gerenciar totalmente a relação entre o ciclo de vida de uma chave, as permissões de uso da chave e as operações de auditoria em chaves.

O diagrama a seguir demonstra como as chaves gerenciadas pelo cliente funcionam com os Arquivos NetApp do Azure:

1. Os Arquivos NetApp do Azure concedem permissões para chaves de criptografia para uma identidade gerenciada. A identidade gerenciada é uma identidade gerenciada atribuída pelo usuário que você cria e gerencia ou uma identidade gerenciada atribuída pelo sistema associada à conta NetApp.

2. Você configura a criptografia com uma chave gerenciada pelo cliente para a conta NetApp.

3. Você usa a identidade gerenciada à qual o administrador do Cofre da Chave do Azure concedeu permissões na etapa 1 para autenticar o acesso ao Cofre da Chave do Azure por meio da ID do Microsoft Entra.

4. Os Arquivos NetApp do Azure encapsulam a chave de criptografia da conta com a chave gerenciada pelo cliente no Cofre de Chaves do Azure.

   As chaves gerenciadas pelo cliente não têm impacto no desempenho dos Arquivos NetApp do Azure. Sua única diferença em relação às chaves gerenciadas pela plataforma é como a chave é gerenciada.

5. Para operações de leitura/gravação, os Arquivos NetApp do Azure enviam solicitações ao Cofre de Chaves do Azure para desempacotar a chave de criptografia da conta para executar operações de criptografia e descriptografia.

Considerações

• As chaves gerenciadas pelo cliente só podem ser configuradas em novos volumes. Não é possível migrar volumes existentes para criptografia de chave gerenciada pelo cliente.
• Para criar um volume usando chaves gerenciadas pelo cliente, você deve selecionar os recursos de rede padrão . Não é possível usar volumes de chave gerenciados pelo cliente com volume configurado usando recursos básicos de rede. Siga as instruções para definir a opção Recursos de rede na página de criação de volume.
• Para maior segurança, pode selecionar a opção Desativar acesso público nas definições de rede do cofre de chaves. Ao selecionar essa opção, você também deve selecionar Permitir que serviços confiáveis da Microsoft ignorem esse firewall para permitir que o serviço Arquivos NetApp do Azure acesse sua chave de criptografia.
• As chaves gerenciadas pelo cliente suportam a renovação automática do certificado MSI (Managed System Identity). Se o certificado for válido, não será necessário atualizá-lo manualmente.
• A aplicação de grupos de segurança de rede do Azure na sub-rede de link privado ao Cofre de Chaves do Azure não é suportada para chaves gerenciadas pelo cliente do Azure NetApp Files. Os grupos de segurança de rede não afetam a conectividade com o Private Link a menos que Private endpoint network policy esteja habilitado na sub-rede. É necessário manter esta opção desativada.
• Se os Arquivos NetApp do Azure não conseguirem criar um volume de chave gerenciado pelo cliente, as mensagens de erro serão exibidas. Consulte a seção Mensagens de erro e solução de problemas para obter mais informações.
• Não faça alterações no Cofre da Chave do Azure subjacente ou no Ponto de Extremidade Privado do Azure depois de criar um volume de chaves gerenciado pelo cliente. Fazer alterações pode tornar os volumes inacessíveis.
• Se o Azure Key Vault ficar inacessível, o Azure NetApp Files perderá o seu acesso às chaves de encriptação e a capacidade de ler ou gravar dados em volumes com chaves geridas pelo cliente ativadas. Nesta situação, crie um pedido de suporte para ter o acesso aos volumes afetados restaurado manualmente.
• Os Arquivos NetApp do Azure dão suporte a chaves gerenciadas pelo cliente em volumes de replicação de origem e de dados com replicação entre regiões ou relações de replicação entre zonas.

Regiões suportadas

As chaves gerenciadas pelo cliente do Azure NetApp Files são suportadas para as seguintes regiões:

• Austrália Central

• Austrália Central 2

• Leste da Austrália

• Austrália Sudeste

• Sul do Brasil

• Brasil Sudeste

• Canadá Central

• Leste do Canadá

• Índia Central

• E.U.A. Central

• Ásia Leste

• E.U.A. Leste

• E.U.A. Leste 2

• França Central

• Norte da Alemanha

• Alemanha Centro-Oeste

• Israel Central

• Norte da Itália

• Leste do Japão

• Oeste do Japão

• Coreia do Sul Central

• Sul da Coreia do Sul

• E.U.A. Centro-Norte

• Europa do Norte

• Leste da Noruega

• Oeste da Noruega

• Catar Central

• Norte da África do Sul

• E.U.A. Centro-Sul

• Sul da Índia

• Sudeste Asiático

• Suécia Central

• Norte da Suíça

• Oeste da Suíça

• E.A.U. Central

• Norte dos E.A.U.

• Sul do Reino Unido

• Oeste do Reino Unido

• Europa Ocidental

• E.U.A. Oeste

• E.U.A. Oeste 2

• EUA Oeste 3

Requisitos

Antes de criar seu primeiro volume de chaves gerenciado pelo cliente, você deve configurar:

• Um Cofre da Chave do Azure, contendo pelo menos uma chave.
  • O cofre de chaves deve ter a proteção de exclusão e limpeza suave habilitada.
  • A chave deve ser do tipo RSA.
• O cofre de chaves deve ter um Ponto de Extremidade Privado do Azure.
  • O ponto de extremidade privado deve residir em uma sub-rede diferente da delegada aos Arquivos NetApp do Azure. A sub-rede deve estar na mesma VNet delegada ao Azure NetApp.

Para obter mais informações sobre o Azure Key Vault e o Azure Private Endpoint, consulte:

• Guia de início rápido: criar um cofre de chaves
• Criar ou importar uma chave para o cofre
• Criar um ponto final privado
• Mais informações sobre chaves e tipos de chaves suportados
• Grupos de segurança de rede
• Gerenciar políticas de rede para pontos de extremidade privados

Configurar uma conta NetApp para usar chaves gerenciadas pelo cliente

Portal

1. No portal do Azure e em Arquivos NetApp do Azure, selecione Criptografia.

   A página Criptografia permite que você gerencie as configurações de criptografia para sua conta NetApp. Ele inclui uma opção para permitir que você defina sua conta NetApp para usar sua própria chave de criptografia, que é armazenada no Cofre da Chave do Azure. Essa configuração fornece uma identidade atribuída pelo sistema à conta NetApp e adiciona uma política de acesso para a identidade com as permissões de chave necessárias.

   

2. Ao definir sua conta NetApp para usar a chave gerenciada pelo cliente, você tem duas maneiras de especificar o URI da chave:

   • A opção Selecionar a partir do cofre de chaves permite-lhe selecionar um cofre de chaves e uma chave.

   • A opção Enter key URI permite que você insira manualmente o URI da chave.

3. Selecione o tipo de identidade que você deseja usar para autenticação no Cofre da Chave do Azure. Se o Azure Key Vault estiver configurado para usar a política de acesso do Vault como seu modelo de permissão, ambas as opções estarão disponíveis. Caso contrário, apenas a opção atribuída pelo usuário estará disponível.

   • Se você escolher Sistema atribuído, selecione o botão Salvar . O portal do Azure configura a conta NetApp automaticamente com o seguinte processo: Uma identidade atribuída ao sistema é adicionada à sua conta NetApp. Uma política de acesso deve ser criada em seu Cofre de Chaves do Azure com permissões de chave Get, Encrypt, Decrypt.

   

   • Se você escolher Atribuído pelo usuário, deverá selecionar uma identidade. Escolha Selecionar uma identidade para abrir um painel de contexto onde você seleciona uma identidade gerenciada atribuída pelo usuário.

   

   Se você configurou seu Cofre da Chave do Azure para usar a política de acesso do Vault, o portal do Azure configura a conta NetApp automaticamente com o seguinte processo: A identidade atribuída pelo usuário selecionada é adicionada à sua conta NetApp. Uma política de acesso é criada no Cofre da Chave do Azure com as permissões de chave Get, Encrypt, Decrypt.

   Se você configurou seu Cofre de Chaves do Azure para usar o controle de acesso baseado em função do Azure, precisará certificar-se de que a identidade atribuída pelo usuário selecionada tenha uma atribuição de função no cofre de chaves com permissões para ações:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action A identidade atribuída pelo usuário selecionada é adicionada à sua conta NetApp. Devido à natureza personalizável do RBAC (controle de acesso baseado em função), o portal do Azure não configura o acesso ao cofre de chaves. Consulte Fornecer acesso a chaves, certificados e segredos do Cofre de Chaves com um controle de acesso baseado em função do Azure para obter detalhes sobre como configurar o Cofre de Chaves do Azure.

4. Selecione Salvar e observe a notificação comunicando o status da operação. Se a operação não tiver sido bem-sucedida, será exibida uma mensagem de erro. Consulte as mensagens de erro e a solução de problemas para obter ajuda na resolução do erro.

CLI do Azure

Como você configura uma conta NetApp com chaves gerenciadas pelo cliente com a CLI do Azure depende se você está usando uma identidade atribuída pelo sistema ou uma identidade atribuída pelo usuário.

Usar uma identidade atribuída ao sistema

1. Atualize sua conta NetApp para usar uma identidade atribuída ao sistema.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Para usar uma política de acesso, crie uma variável que inclua o ID principal da identidade da conta e, em seguida, execute az keyvault set-policy e atribua permissões de "Get", "Encrypt" e "Decrypt".

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Atualize a conta NetApp com o cofre de chaves.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Usar uma nova identidade atribuída pelo usuário

1. Crie uma nova identidade atribuída pelo usuário.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Defina uma política de acesso para o cofre de chaves.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Nota

   Como alternativa, você pode usar o controle de acesso baseado em função para conceder acesso ao cofre de chaves.

3. Atribua a identidade atribuída pelo usuário à conta NetApp e atualize a criptografia do cofre de chaves.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

O processo para configurar uma conta NetApp com chaves gerenciadas pelo cliente na CLI do Azure depende se você está usando uma identidade atribuída pelo sistema ou uma identidade atribuída pelo usuário.

Habilitar o acesso para identidade atribuída ao sistema

1. Atualize sua conta NetApp para usar a identidade atribuída ao sistema.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Para usar uma política de acesso, execute Set-AzKeyVaultAccessPolicy com o nome do cofre de chaves, o ID principal da identidade da conta e as permissões "Get", "Encrypt" e "Decrypt".

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Atualize sua conta NetApp com as informações do cofre de chaves.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Habilitar o acesso para identidade atribuída pelo usuário

1. Crie uma nova identidade atribuída pelo usuário.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Atribua a política de acesso ao cofre de chaves.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Nota

   Como alternativa, você pode usar o controle de acesso baseado em função para conceder acesso ao cofre de chaves.

3. Atribua a identidade atribuída pelo usuário à conta NetApp e atualize a criptografia do cofre de chaves.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

utilizar o controlo de acesso baseado em funções

Você pode usar um Cofre da Chave do Azure configurado para usar o controle de acesso baseado em função do Azure. Para configurar chaves gerenciadas pelo cliente por meio do portal do Azure, você precisa fornecer uma identidade atribuída pelo usuário.

1. Na sua conta do Azure, navegue até Cofres de chaves e, em seguida, Políticas de acesso.

2. Para criar uma política de acesso, em Modelo de permissão, selecione Controle de acesso baseado em função do Azure.

3. Ao criar a função atribuída pelo usuário, há três permissões necessárias para chaves gerenciadas pelo cliente:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Embora existam funções predefinidas que incluem essas permissões, essas funções concedem mais privilégios do que os necessários. É recomendável que você crie uma função personalizada com apenas as permissões mínimas necessárias. Para obter mais informações, consulte Funções personalizadas do Azure.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Depois que a função personalizada for criada e estiver disponível para uso com o cofre de chaves, você a aplicará à identidade atribuída pelo usuário.

Criar um volume de Arquivos NetApp do Azure usando chaves gerenciadas pelo cliente

1. Em Arquivos NetApp do Azure, selecione Volumes e, em seguida, + Adicionar volume.

2. Siga as instruções em Configurar recursos de rede para um volume de Arquivos NetApp do Azure:

   • Defina a opção Recursos de rede na página de criação de volume.
   • O grupo de segurança de rede para a sub-rede delegada do volume deve permitir o tráfego de entrada da VM de armazenamento da NetApp.

3. Para uma conta NetApp configurada para usar uma chave gerenciada pelo cliente, a página Criar Volume inclui uma opção Fonte da Chave de Criptografia.

   Para criptografar o volume com sua chave, selecione Chave gerenciada pelo cliente no menu suspenso Origem da chave de criptografia.

   Ao criar um volume usando uma chave gerenciada pelo cliente, você também deve selecionar Padrão para a opção Recursos de rede. Recursos básicos de rede não são suportados.

   Você também deve selecionar um ponto de extremidade privado do cofre de chaves. O menu suspenso exibe pontos de extremidade privados na rede virtual selecionada. Se não houver nenhum ponto de extremidade privado para seu cofre de chaves na rede virtual selecionada, a lista suspensa estará vazia e você não poderá continuar. Em caso afirmativo, consulte Ponto de extremidade privado do Azure.

   

4. Continue a concluir o processo de criação de volume. Consulte:

   • Criar um volume NFS
   • Criar um volume SMB
   • Criar um volume de protocolo duplo

Rechaveie todos os volumes em uma conta NetApp

Se você já configurou sua conta NetApp para chaves gerenciadas pelo cliente e tem um ou mais volumes criptografados com chaves gerenciadas pelo cliente, você pode alterar a chave usada para criptografar todos os volumes na conta NetApp. Você pode selecionar qualquer chave que esteja no mesmo cofre de chaves. Não há suporte para alterar cofres de chaves.

1. Em sua conta NetApp, navegue até o menu Criptografia . No campo Entrada de chave atual, selecione o link Rechavear.

2. No menu Rekey, selecione uma das teclas disponíveis no menu suspenso. A chave escolhida deve ser diferente da chave atual.

3. Selecione OK para guardar. A operação de rechave pode levar vários minutos.

Mudar de identidade atribuída pelo sistema para identidade atribuída pelo utilizador

Para alternar de identidade atribuída pelo sistema para identidade atribuída pelo usuário, você deve conceder à identidade de destino acesso ao cofre de chaves que está sendo usado com permissões de leitura/obtenção, criptografia e descriptografia.

1. Atualize a conta NetApp enviando uma solicitação PATCH usando o az rest comando:

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   A carga útil deve utilizar a seguinte estrutura:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Confirme a operação concluída com êxito com o az netappfiles account show comando. A saída inclui os seguintes campos:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Certifique-se de que:

   • encryption.identity.principalId corresponde ao valor em identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity corresponde ao valor em identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Mensagens de erro e solução de problemas

Esta seção lista mensagens de erro e possíveis resoluções quando os Arquivos NetApp do Azure não conseguem configurar a criptografia de chave gerenciada pelo cliente ou criar um volume usando uma chave gerenciada pelo cliente.

Erros ao configurar a criptografia de chave gerenciada pelo cliente em uma conta NetApp

Condição de erro	Resolução
The operation failed because the specified key vault key was not found	Ao inserir o URI da chave manualmente, verifique se o URI está correto.
Azure Key Vault key is not a valid RSA key	Certifique-se de que a chave selecionada é do tipo RSA.
Azure Key Vault key is not enabled	Verifique se a chave selecionada está ativada.
Azure Key Vault key is expired	Verifique se a chave selecionada não expirou.
Azure Key Vault key has not been activated	Verifique se a chave selecionada está ativa.
Key Vault URI is invalid	Ao inserir o URI da chave manualmente, verifique se o URI está correto.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Atualize o nível de recuperação do cofre de chaves para: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Verifique se o cofre de chaves está na mesma região da conta NetApp.

Erros ao criar um volume criptografado com chaves gerenciadas pelo cliente

Condição de erro	Resolução
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	A sua conta do NetApp não tem a encriptação de chaves geridas pelos clientes ativada. Configure a conta NetApp para usar a chave gerenciada pelo cliente.
EncryptionKeySource cannot be changed	Nenhuma resolução. Não é possível alterar a propriedade EncryptionKeySource de um volume.
Unable to use the configured encryption key, please check if key is active	Verifique se: -Todas as políticas de acesso estão corretas no cofre de chaves: Get, Encrypt, Decrypt? -Existe um ponto de extremidade privado para o cofre de chaves? -Existe um NAT de Rede Virtual na VNet, com a sub-rede delegada Azure NetApp Files habilitada?
Could not connect to the KeyVault	Certifique-se de que o ponto de extremidade privado está configurado corretamente e que os firewalls não estão bloqueando a conexão da sua Rede Virtual com o KeyVault.

Próximos passos

• Azure NetApp Files API