Configurar chaves gerenciadas pelo cliente entre locatários para criptografia de volume do Azure NetApp Files (visualização)

A criptografia de volume de chaves gerenciadas pelo cliente (CMK) entre locatários para Arquivos NetApp do Azure permite que os provedores de serviços baseados no Azure ofereçam criptografia de chave gerenciada pelo cliente. No cenário de locatário cruzado, a conta NetApp reside em um locatário gerenciado por um fornecedor de software independente, enquanto a chave usada para criptografia de volumes nessa conta NetApp reside em um cofre de chaves em um locatário que você gerencia.

As chaves geridas pelo cliente entre clientes estão disponíveis em todas as regiões suportadas pelo Azure NetApp Files.

Compreender as chaves gerenciadas pelo cliente entre locatários

O diagrama a seguir ilustra um exemplo de configuração de CMK entre locatários. No diagrama, há dois locatários do Azure: o locatário de um provedor de serviços (Locatário 1) e seu locatário (Locatário 2). O locatário 1 hospeda a conta NetApp (recurso do Azure de origem). O inquilino 2 hospeda seu cofre de chaves.

Um registro de aplicativo multilocatário é criado pelo provedor de serviços no Locatário 1. Uma credencial de identidade federada é criada nesta aplicação utilizando uma identidade gerida atribuída pelo utilizador, juntamente com um ponto de acesso privado ao cofre de chaves. Em seguida, o nome e a ID do aplicativo são compartilhados.

Seguindo estas etapas, você instala o aplicativo do provedor de serviços em seu locatário (locatário 2) e, em seguida, concede à entidade de serviço associada ao aplicativo instalado acesso ao cofre de chaves. Você também armazena a chave de criptografia (ou seja, a chave gerenciada pelo cliente) no cofre de chaves. Você também compartilha o local da chave (o URI da chave) com o provedor de serviços. Após a configuração, o provedor de serviços tem:

• Um ID de aplicação para uma aplicação multitenant instalada no locatário do cliente, à qual foi concedido acesso à chave gerida pelo cliente.
• Uma identidade gerida configurada como a credencial na aplicação de múltiplos inquilinos. A localização da chave no cofre de chaves.

Com esses três parâmetros, o provedor de serviços provisiona recursos do Azure no locatário 1 que podem ser criptografados com a chave gerenciada pelo cliente no locatário 2.

Registar a funcionalidade

Esta funcionalidade está atualmente em pré-visualização. É necessário registar a função antes de a usares pela primeira vez. Após o registro, o recurso é ativado e funciona em segundo plano. Nenhum controle de interface do usuário é necessário.

1. Registar a funcionalidade:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFCrossTenantCMK
   

2. Verifique o estado do registo da funcionalidade:

   Observação

   O RegistrationState pode permanecer no Registering estado por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registrado antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFCrossTenantCMK
   

Você também pode usar comandos da CLI do Azureaz feature register e az feature show para registrar o recurso e exibir o status do registro.

Configurar chaves gerenciadas pelo cliente entre locatários para Arquivos NetApp do Azure

O processo de configuração para chaves gerenciadas pelo cliente entre locatários tem partes que só podem ser concluídas usando a API REST e a CLI do Azure.

Configurar uma conta NetApp para usar uma chave de um cofre em outro locatário

1. Crie o registro do aplicativo.
   1. Aceda a Microsoft Entra ID no portal do Azure.
   2. Selecione Gerir > Registos de Aplicações no painel à esquerda.
   3. Selecione + Novo registo.
   4. Forneça o nome para o registro do aplicativo e selecione Conta em qualquer diretório organizacional.
   5. Selecione Register.
   6. Anote o ApplicationID/ClientID do aplicativo.
2. Crie uma identidade gerida atribuída pelo utilizador.
   1. Navegue para Identidades Geridas no portal do Azure
   2. Selecione + Criar.
   3. Forneça o grupo de recursos, a região e o nome para a identidade gerenciada.
   4. Selecione Verificar + criar.
   5. Após a implementação com êxito, anote o ResourceId do Azure da identidade gerida atribuída pelo utilizador, que está disponível sob Propriedades. Por exemplo: /subscriptions/aaaaaaaa-0000-aaaa-0000-aaaa0000aaaa/resourcegroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityTitle>
3. Configurar a identidade gerenciada atribuída pelo usuário como uma credencial federada no aplicativo
   1. Navegue até Microsoft Entra ID > Registros de aplicativos > do seu aplicativo.
   2. Selecione Certificados e segredos.
   3. Selecione Federated credentials.
   4. Selecione + Adicionar credencial.
   5. Em Cenário de credenciais federadas, selecione Chaves gerenciadas pelo cliente.
   6. Escolha Selecionar uma identidade gerenciada. No painel, selecione a assinatura. Sob Identidade gerida, selecione Identidade gerida atribuída ao utilizador. Na caixa Selecionar, procure a identidade gerenciada criada anteriormente e escolha Selecionar na parte inferior do painel.
   7. Em Detalhes da credencial, indique um nome e uma descrição opcional para a credencial. Selecione Adicionar.
4. Crie um ponto de extremidade privado para o seu cofre de chaves.
   1. Partilhe o ResourceId completo do Cofre de Chaves do Azure.
   2. Navegue até Pontos de extremidade privados.
   3. Selecione + Criar.
   4. Escolha a sua subscrição e grupo de recursos, introduza um nome para o Ponto de Extremidade Privado e, em seguida, selecione Próximo > Recurso.
   5. Na pasta Recurso, introduza o seguinte:
      • Em Método de Conexão, selecione Conectar a um recurso do Azure por ID de recurso ou alias.
      • Em ID do recurso ou alias, insira o ResourceID do cofre de chaves do cliente.
      • Em subrecurso de destino, introduza "vault". Em seguida, selecione Next > Virtual Network.
   6. No separador Rede Virtual, selecione uma rede virtual e uma sub-rede para o ponto final privado. O ponto final tem de estar na mesma rede virtual em que estão os volumes que pretende criar. A sub-rede tem de ser diferente da sub-rede delegada a Microsoft.NetApp/volumes.
   7. Selecione Seguinte nos próximos separadores. Por fim, selecione Criar na guia final.

Autorizar o acesso ao cofre de chaves

1. Instalar o aplicativo do provedor de serviços no locatário do cliente
   1. Obtenha o URL de Consentimento do Administrador para a sua aplicação entre inquilinos junto do fornecedor. No nosso exemplo, o URL teria a seguinte aparência: https://login.microsoftonline.com/<tenant1-tenantId>/adminconsent/client_id=<client/application-ID-for-the-cross-tenant-application>. O URL abre uma página de início de sessão a pedir-lhe para introduzir as suas credenciais. Depois de inserir suas credenciais, você pode ver um erro informando que não há URL de redirecionamento configurado; tudo bem.
2. Conceda acesso à aplicação do fornecedor de serviços ao cofre de chaves.
   1. Navegue até o cofre das chaves. Selecione Controle de acesso (IAM) no painel esquerdo.
   2. Em Conceder acesso a este recurso, selecione Adicionar atribuição de função.
   3. Procure e, em seguida, selecione Key Vault Crypto User.
   4. Em Membros, selecione Usuário, grupo ou entidade de serviço.
   5. Selecione Membros. Procure o nome da aplicação que instalou a partir do fornecedor de serviços.
   6. Selecione Analisar + Atribuir.
3. Aceite a ligação do ponto final privado de entrada ao cofre de chaves.
   1. Navegue até o cofre das chaves. Selecione Rede no painel esquerdo.
   2. Em Conexões de Ponto de Extremidade Privado, selecione o Ponto de Extremidade Privado de entrada da entidade do provedor e, em seguida, selecione Aprovar.
   3. Defina uma descrição opcional ou aceite a predefinição.

Configurar a conta NetApp para usar suas chaves

Observação

Usar o az rest comando é a única maneira suportada de configurar sua conta NetApp para usar CMK em um locatário diferente.

1. Com o az rest comando, configure a conta NetApp para usar CMK em um locatário diferente:

   az rest --method put --uri "/subscriptions/<subscription Id>/resourceGroups/<resourceGroupName>/providers/Microsoft.NetApp/netAppAccounts/<NetAppAccountName>?api-version=2024-01-01-preview" --body 
   '{  \"properties\":
       {    \"encryption\":
           {      \"keySource\": \"Microsoft.KeyVault\",   \"keyVaultProperties\":    
               {\"keyVaultUri\": \"<URI to the key vault>\",   \"keyVaultResourceId\": \"/<full resource ID of the key vault>\", \"keyName\": \"<customer’s key name>\"   },
               \"identity\":
                   { \"userAssignedIdentity\": \"<full resource ID of the user-assigned identity>",  \"federatedClientId\": \"<clientId of multi-tenant application>\"
                   }
               }
           },
       \"location\": \"southcentralus\",   \"identity\": 
           {\"type\": \"userAssigned\",   \"userAssignedIdentities\": 
               {  \"<full resource ID of the user-assigned identity>\": {
                   }
               }
           }
       }'
    --verbose 
   

   Depois de enviar o az rest comando, sua conta NetApp foi configurada com êxito com CMK entre locatários.

Criar um volume

Observação

Para criar um volume usando CMK entre locatários, você deve usar a CLI do Azure.

1. Crie o volume usando a CLI:

az netappfiles volume create -g <resource group name> --account-name <NetApp account name> --pool-name <pool name> --name <volume name> -l southcentralus --service-level premium --usage-threshold 100 --file-path "<file path>" --vnet <virtual network name> --subnet default --network-features Standard --encryption-key-source Microsoft.KeyVault --kv-private-endpoint-id <full resource ID to the private endpoint to the customer's vault> --debug 

Próximos passos

• Configurar chaves geridas pelo cliente
• Compreender a encriptação de dados nos ficheiros NetApp do Azure