Criptografar o Azure Data Factory com chaves gerenciadas pelo cliente

  • Artigo

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Gorjeta

Experimente o Data Factory no Microsoft Fabric, uma solução de análise tudo-em-um para empresas. O Microsoft Fabric abrange tudo, desde a movimentação de dados até ciência de dados, análises em tempo real, business intelligence e relatórios. Saiba como iniciar uma nova avaliação gratuitamente!

O Azure Data Factory encripta dados inativos, incluindo definições de entidades e quaisquer dados em cache enquanto as execuções estão em curso. Por predefinição, os dados são encriptados com uma chave gerida pela Microsoft criada aleatoriamente e atribuída exclusivamente à sua fábrica de dados. Para obter garantias de segurança adicionais, agora você pode habilitar o recurso Bring Your Own Key (BYOK) com chaves gerenciadas pelo cliente no Azure Data Factory. Quando você especifica uma chave gerenciada pelo cliente, o Data Factory usa a chave do sistema de fábrica e a CMK para criptografar os dados do cliente. Se algum dos dois estiver em falta, tal resultaria numa Recusa de Acesso aos dados e à fábrica.

O Azure Key Vault é necessário para armazenar chaves geridas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Cofre de Chaves do Azure para gerar chaves. O cofre de chaves e o Data Factory devem estar no mesmo locatário do Microsoft Entra e na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?

Sobre chaves gerenciadas pelo cliente

O diagrama a seguir mostra como o Data Factory usa o Microsoft Entra ID e o Azure Key Vault para fazer solicitações usando a chave gerenciada pelo cliente:

Diagram showing how customer-managed keys work in Azure Data Factory.

A lista a seguir explica as etapas numeradas no diagrama:

  1. Um administrador do Cofre de Chaves do Azure concede permissões para chaves de criptografia para a identidade gerenciada associada ao Data Factory
  2. Um administrador do Data Factory habilita o recurso-chave gerenciado pelo cliente na fábrica
  3. O Data Factory usa a identidade gerenciada associada à fábrica para autenticar o acesso ao Azure Key Vault por meio da ID do Microsoft Entra
  4. O Data Factory encapsula a chave de criptografia de fábrica com a chave do cliente no Cofre de Chaves do Azure
  5. Para operações de leitura/gravação, o Data Factory envia solicitações ao Cofre de Chaves do Azure para desempacotar a chave de criptografia de conta para executar operações de criptografia e descriptografia

Há duas maneiras de adicionar a criptografia de Chave Gerenciada pelo Cliente às fábricas de dados. Um é durante o tempo de criação de fábrica no portal do Azure e o outro é a criação pós-fábrica, na interface do usuário do Data Factory.

Pré-requisitos - configurar o Azure Key Vault e gerar chaves

Habilitar exclusão suave e não limpar no Cofre da Chave do Azure

O uso de chaves gerenciadas pelo cliente com o Data Factory requer que duas propriedades sejam definidas no Cofre de Chaves, Exclusão Suave e Não Limpar. Essas propriedades podem ser habilitadas usando o PowerShell ou a CLI do Azure em um cofre de chaves novo ou existente. Para saber como habilitar essas propriedades em um cofre de chaves existente, consulte Gerenciamento de recuperação do Cofre de Chaves do Azure com proteção de exclusão e limpeza suave

Se você estiver criando um novo Cofre da Chave do Azure por meio do portal do Azure, o Soft Delete e o Do Not Purge poderão ser habilitados da seguinte maneira:

Screenshot showing how to enable Soft Delete and Purge Protection upon creation of Key Vault.

Conceder acesso do Data Factory ao Azure Key Vault

Verifique se o Azure Key Vault e o Azure Data Factory estão no mesmo locatário do Microsoft Entra e na mesma região. No controle de acesso do Cofre de Chaves do Azure, conceda as seguintes permissões ao data factory: Get, Unwrap Key e Wrap Key. Essas permissões são necessárias para habilitar chaves gerenciadas pelo cliente no Data Factory.

Gerar ou carregar chave gerenciada pelo cliente no Azure Key Vault

Você pode criar suas próprias chaves e armazená-las em um cofre de chaves. Ou você pode usar as APIs do Azure Key Vault para gerar chaves. Apenas as chaves RSA são suportadas com encriptação Data Factory. O RSA-HSM também é suportado. Para obter mais informações, consulte Sobre chaves, segredos e certificados.

Screenshot showing how to generate Customer-Managed Key.

Ativar as chaves geridas pelo cliente

Criação pós-fábrica na interface do usuário do Data Factory

Esta seção percorre o processo para adicionar criptografia de chave gerenciada pelo cliente na interface do usuário do Data Factory, após a criação da fábrica.

Nota

Uma chave gerenciada pelo cliente só pode ser configurada em um Data Factory vazio. O data factory não pode conter recursos, como serviços vinculados, pipelines e fluxos de dados. Recomenda-se habilitar a chave gerenciada pelo cliente logo após a criação da fábrica.

Importante

Essa abordagem não funciona com fábricas habilitadas para rede virtual gerenciada. Por favor, considere a rota alternativa, se você quiser criptografar essas fábricas.

  1. Certifique-se de que a Identidade de Serviço Gerenciado (MSI) do data factory tenha as permissões Get, Unwrap Key e Wrap Key para o Cofre de Chaves.

  2. Verifique se o Data Factory está vazio. O data factory não pode conter recursos, como serviços vinculados, pipelines e fluxos de dados. Por enquanto, implantar a chave gerenciada pelo cliente em uma fábrica não vazia resultará em um erro.

  3. Para localizar o URI da chave no portal do Azure, navegue até o Cofre da Chave do Azure e selecione a configuração Chaves. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações

  4. Copie o valor do campo Identificador de Chave, que fornece o URI Screenshot of getting key URI from Key Vault.

  5. Inicie o portal do Azure Data Factory e, usando a barra de navegação à esquerda, vá para o Portal de Gerenciamento do Data Factory

  6. Clique no ícone de chave gerenciada pelo clienteScreenshot how to enable Customer-managed Key in Data Factory UI.

  7. Insira o URI da chave gerenciada pelo cliente que você copiou antes

  8. Clique em Salvar e a criptografia de chave gerenciada pelo cliente está habilitada para o Data Factory

Durante a criação de fábrica no portal do Azure

Esta seção apresenta etapas para adicionar criptografia de chave gerenciada pelo cliente no portal do Azure, durante a implantação de fábrica.

Para criptografar a fábrica, o Data Factory precisa primeiro recuperar a chave gerenciada pelo cliente do Cofre de Chaves. Como a implantação de fábrica ainda está em andamento, a Identidade de Serviço Gerenciado (MSI) ainda não está disponível para autenticação com o Cofre da Chave. Como tal, para usar essa abordagem, o cliente precisa atribuir uma identidade gerenciada atribuída pelo usuário (UA-MI) ao data factory. Assumiremos as funções definidas no UA-MI e autenticaremos com o Key Vault.

Para saber mais sobre a identidade gerenciada atribuída pelo usuário, consulte Tipos de identidade gerenciada e Atribuição de função para identidade gerenciada atribuída ao usuário.

  1. Certifique-se de que a Identidade Gerenciada Atribuída pelo Usuário (UA-MI) tenha as permissões Get, Unwrap Key e Wrap Key para o Cofre da Chave

  2. Na guia Avançado , marque a caixa Habilitar criptografia usando uma chave gerenciada pelo clienteScreenshot of Advanced tab for data factory creation experience in Azure portal.

  3. Forneça o url para a chave gerenciada pelo cliente armazenada no Cofre da Chave

  4. Selecione uma identidade gerenciada atribuída ao usuário apropriada para autenticar com o Cofre da Chave

  5. Continuar com a implantação de fábrica

Atualizar versão da chave

Quando você cria uma nova versão de uma chave, atualize o data factory para usar a nova versão. Siga etapas semelhantes, conforme descrito na seção Interface do usuário do Data Factory, incluindo:

  1. Localize o URI da nova versão de chave através do Portal do Cofre de Chaves do Azure

  2. Navegue até Configuração de chave gerenciada pelo cliente

  3. Substitua e cole no URI da nova chave

  4. Clique em Salvar e o Data Factory será criptografado com a nova versão de chave

Usar uma chave diferente

Para alterar a chave usada para criptografia do Data Factory, você precisa atualizar manualmente as configurações no Data Factory. Siga etapas semelhantes, conforme descrito na seção Interface do usuário do Data Factory, incluindo:

  1. Localize o URI da nova chave através do Portal do Cofre de Chaves do Azure

  2. Navegue até Configuração de chave gerenciada pelo cliente

  3. Substitua e cole no URI da nova chave

  4. Clique em Salvar e o Data Factory será criptografado com a nova chave

Desativar chaves gerenciadas pelo cliente

Por design, depois que o recurso de chave gerenciada pelo cliente estiver habilitado, você não poderá remover a etapa de segurança extra. Sempre esperamos que uma chave fornecida pelo cliente criptografe a fábrica e os dados.

Chave gerenciada pelo cliente e integração contínua e implantação contínua

Por padrão, a configuração CMK não está incluída no modelo ARM (Azure Resource Manager) de fábrica. Para incluir as configurações de criptografia de chave gerenciada pelo cliente no modelo ARM para integração contínua (CI/CD):

  1. Verifique se a fábrica está no modo Git
  2. Navegue até o portal de gerenciamento - seção de chaves gerenciadas pelo cliente
  3. Marque a opção Incluir no modelo ARM

Screenshot of including customer managed key setting in ARM template.

As seguintes configurações serão adicionadas no modelo ARM. Essas propriedades podem ser parametrizadas em pipelines de Integração Contínua e Entrega editando a configuração de parâmetros do Azure Resource Manager

Screenshot of including customer managed key setting in Azure Resource Manager template.

Nota

Adicionar a configuração de criptografia aos modelos ARM adiciona uma configuração de nível de fábrica que substituirá outras configurações de nível de fábrica, como configurações git, em outros ambientes. Se você tiver essas configurações ativadas em um ambiente elevado, como UAT ou PROD, consulte Parâmetros globais em CI/CD.

Conteúdos relacionados

Leia os tutoriais para saber como utilizar o Data Factory em mais cenários.