Criptografar o Azure Data Factory com chaves gerenciadas pelo cliente
APLICA-SE A: Azure Data Factory Azure Synapse Analytics
Gorjeta
Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!
O Azure Data Factory encripta dados inativos, incluindo definições de entidades e quaisquer dados em cache enquanto as execuções estão em curso. Por predefinição, os dados são encriptados com uma chave gerida pela Microsoft criada aleatoriamente e atribuída exclusivamente à sua fábrica de dados. Para obter garantias de segurança adicionais, agora você pode habilitar o recurso Bring Your Own Key (BYOK) com chaves gerenciadas pelo cliente no Azure Data Factory. Quando você especifica uma chave gerenciada pelo cliente, o Data Factory usa a chave do sistema de fábrica e a CMK para criptografar os dados do cliente. Se algum dos dois estiver em falta, tal resultaria numa Recusa de Acesso aos dados e à fábrica.
O Azure Key Vault é necessário para armazenar chaves geridas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Cofre de Chaves do Azure para gerar chaves. O cofre de chaves e o Data Factory devem estar no mesmo locatário do Microsoft Entra e na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?
Sobre chaves gerenciadas pelo cliente
O diagrama a seguir mostra como o Data Factory usa o Microsoft Entra ID e o Azure Key Vault para fazer solicitações usando a chave gerenciada pelo cliente:
A lista a seguir explica as etapas numeradas no diagrama:
- Um administrador do Cofre de Chaves do Azure concede permissões para chaves de criptografia para a identidade gerenciada associada ao Data Factory
- Um administrador do Data Factory habilita o recurso-chave gerenciado pelo cliente na fábrica
- O Data Factory usa a identidade gerenciada associada à fábrica para autenticar o acesso ao Azure Key Vault por meio da ID do Microsoft Entra
- O Data Factory encapsula a chave de criptografia de fábrica com a chave do cliente no Cofre de Chaves do Azure
- Para operações de leitura/gravação, o Data Factory envia solicitações ao Cofre de Chaves do Azure para desempacotar a chave de criptografia de conta para executar operações de criptografia e descriptografia
Há duas maneiras de adicionar a criptografia de Chave Gerenciada pelo Cliente às fábricas de dados. Um é durante o tempo de criação de fábrica no portal do Azure e o outro é a criação pós-fábrica, na interface do usuário do Data Factory.
Pré-requisitos - configurar o Azure Key Vault e gerar chaves
Habilitar exclusão suave e não limpar no Cofre de Chaves do Azure
O uso de chaves gerenciadas pelo cliente com o Data Factory requer que duas propriedades sejam definidas no Cofre de Chaves, Exclusão Suave e Não Limpar. Essas propriedades podem ser habilitadas usando o PowerShell ou a CLI do Azure em um cofre de chaves novo ou existente. Para saber como habilitar essas propriedades em um cofre de chaves existente, consulte Gerenciamento de recuperação do Cofre de Chaves do Azure com proteção de exclusão e limpeza suave
Se você estiver criando um novo Cofre da Chave do Azure por meio do portal do Azure, Excluir Suavemente e Não Limpar podem ser habilitados da seguinte maneira:
Conceder acesso do Data Factory ao Azure Key Vault
Verifique se o Azure Key Vault e o Azure Data Factory estão no mesmo locatário do Microsoft Entra e na mesma região. No controle de acesso do Cofre de Chaves do Azure, conceda as seguintes permissões ao data factory: Get, Unwrap Key e Wrap Key. Essas permissões são necessárias para habilitar chaves gerenciadas pelo cliente no Data Factory.
Se você quiser adicionar criptografia de chave gerenciada pelo cliente após a criação de fábrica na interface do usuário do Data Factory, verifique se a identidade de serviço gerenciado (MSI) do data factory tem as três permissões para o Cofre da Chave
Se você quiser adicionar criptografia de chave gerenciada pelo cliente durante o tempo de criação de fábrica no portal do Azure, verifique se a identidade gerenciada atribuída pelo usuário (UA-MI) tenha as três permissões para o Cofre da Chave
Gerar ou carregar chave gerenciada pelo cliente no Azure Key Vault
Você pode criar suas próprias chaves e armazená-las em um cofre de chaves. Ou você pode usar as APIs do Azure Key Vault para gerar chaves. Apenas as chaves RSA são suportadas com encriptação Data Factory. O RSA-HSM também é suportado. Para obter mais informações, consulte Sobre chaves, segredos e certificados.
Ativar as chaves geridas pelo cliente
Criação pós-fábrica na interface do usuário do Data Factory
Esta seção percorre o processo para adicionar criptografia de chave gerenciada pelo cliente na interface do usuário do Data Factory, após a criação da fábrica.
Nota
Uma chave gerenciada pelo cliente só pode ser configurada em um Data Factory vazio. O data factory não pode conter recursos, como serviços vinculados, pipelines e fluxos de dados. Recomenda-se habilitar a chave gerenciada pelo cliente logo após a criação da fábrica.
Importante
Essa abordagem não funciona com fábricas habilitadas para rede virtual gerenciada. Por favor, considere a rota alternativa, se você quiser criptografar essas fábricas.
Certifique-se de que a Identidade de Serviço Gerenciado (MSI) do data factory tenha as permissões Get, Unwrap Key e Wrap Key para o Cofre de Chaves.
Verifique se o Data Factory está vazio. O data factory não pode conter recursos, como serviços vinculados, pipelines e fluxos de dados. Por enquanto, a implantação da chave gerenciada pelo cliente em uma fábrica não vazia resultará em um erro.
Para localizar o URI da chave no portal do Azure, navegue até o Cofre da Chave do Azure e selecione a configuração Chaves. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações
Copie o valor do campo Identificador de Chave, que fornece o URI
Inicie o portal do Azure Data Factory e, usando a barra de navegação à esquerda, vá para o Portal de Gerenciamento do Data Factory
Clique no ícone de chave gerenciada pelo cliente
Insira o URI da chave gerenciada pelo cliente que você copiou antes
Clique em Salvar e a criptografia de chave gerenciada pelo cliente está habilitada para o Data Factory
Durante a criação de fábrica no portal do Azure
Esta seção apresenta etapas para adicionar criptografia de chave gerenciada pelo cliente no portal do Azure, durante a implantação de fábrica.
Para criptografar a fábrica, o Data Factory precisa primeiro recuperar a chave gerenciada pelo cliente do Cofre de Chaves. Como a implantação de fábrica ainda está em andamento, a Identidade de Serviço Gerenciado (MSI) ainda não está disponível para autenticação com o Cofre da Chave. Como tal, para usar essa abordagem, o cliente precisa atribuir uma identidade gerenciada atribuída pelo usuário (UA-MI) ao data factory. Assumiremos as funções definidas no UA-MI e autenticaremos com o Key Vault.
Para saber mais sobre a identidade gerenciada atribuída pelo usuário, consulte Tipos de identidade gerenciada e Atribuição de função para identidade gerenciada atribuída ao usuário.
Certifique-se de que a Identidade Gerenciada Atribuída pelo Usuário (UA-MI) tenha as permissões Get, Unwrap Key e Wrap Key para o Key Vault
Na guia Avançado , marque a caixa Habilitar criptografia usando uma chave gerenciada pelo cliente
Forneça o url para a chave gerenciada pelo cliente armazenada no Cofre da Chave
Selecione uma identidade gerenciada atribuída ao usuário apropriada para autenticar com o Cofre da Chave
Continuar com a implantação de fábrica
Atualizar versão da chave
Quando você cria uma nova versão de uma chave, atualize o data factory para usar a nova versão. Siga etapas semelhantes, conforme descrito na seção Interface do usuário do Data Factory, incluindo:
Localize o URI da nova versão de chave através do Portal do Cofre de Chaves do Azure
Navegue até Configuração de chave gerenciada pelo cliente
Substitua e cole no URI da nova chave
Clique em Salvar e o Data Factory agora será criptografado com a nova versão de chave
Usar uma chave diferente
Para alterar a chave usada para criptografia do Data Factory, você precisa atualizar manualmente as configurações no Data Factory. Siga etapas semelhantes, conforme descrito na seção Interface do usuário do Data Factory, incluindo:
Localize o URI da nova chave através do Portal do Cofre de Chaves do Azure
Navegue até Configuração de chave gerenciada pelo cliente
Substitua e cole no URI da nova chave
Clique em Salvar e o Data Factory será criptografado com a nova chave
Desativar chaves gerenciadas pelo cliente
Por design, depois que o recurso de chave gerenciada pelo cliente estiver habilitado, você não poderá remover a etapa de segurança extra. Sempre esperamos que uma chave fornecida pelo cliente criptografe a fábrica e os dados.
Chave gerenciada pelo cliente e integração contínua e implantação contínua
Por padrão, a configuração CMK não está incluída no modelo ARM (Azure Resource Manager) de fábrica. Para incluir as configurações de criptografia de chave gerenciada pelo cliente no modelo ARM para integração contínua (CI/CD):
- Verifique se a fábrica está no modo Git
- Navegue até o portal de gerenciamento - seção de chaves gerenciadas pelo cliente
- Marque a opção Incluir no modelo ARM
As seguintes configurações serão adicionadas no modelo ARM. Essas propriedades podem ser parametrizadas em pipelines de Integração Contínua e Entrega editando a configuração de parâmetros do Azure Resource Manager
Nota
Adicionar a configuração de criptografia aos modelos ARM adiciona uma configuração de nível de fábrica que substituirá outras configurações de nível de fábrica, como configurações git, em outros ambientes. Se você tiver essas configurações ativadas em um ambiente elevado, como UAT ou PROD, consulte Parâmetros globais em CI/CD.
Conteúdos relacionados
Leia os tutoriais para saber como utilizar o Data Factory em mais cenários.