Gerenciar segredos do Azure Stack Edge usando o Azure Key Vault

  • Artigo

APLICA-SE A:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro R Azure Stack Edge Mini RYes for Mini R SKU

O Azure Key Vault é integrado ao recurso Azure Stack Edge para gerenciamento de segredos. Este artigo fornece detalhes sobre como um Cofre de Chaves do Azure é criado para o recurso Azure Stack Edge durante a ativação do dispositivo e, em seguida, é usado para gerenciamento de segredos.

Sobre o cofre de chaves e o Azure Stack Edge

O serviço de nuvem Azure Key Vault é usado para armazenar e controlar com segurança o acesso a tokens, senhas, certificados, chaves de API e outros segredos. O Cofre de Chaves também facilita a criação e o controle das chaves de criptografia usadas para criptografar seus dados.

Para o serviço Azure Stack Edge, a integração com o cofre de chaves fornece os seguintes benefícios:

  • Armazena segredos de clientes. Um dos segredos usados para o serviço Azure Stack Edge é a Chave de Integridade do Canal (CIK). Essa chave permite que você criptografe seus segredos e é armazenada com segurança no cofre de chaves. Os segredos do dispositivo, como a chave de recuperação BitLocker e a senha de usuário do Baseboard Management Controller (BMC), também são armazenados no cofre de chaves.

    Para obter mais informações, consulte Armazenar segredos e chaves com segurança.

  • Passa segredos de clientes criptografados para o dispositivo.

  • Exibe os segredos do dispositivo para facilitar o acesso se o dispositivo estiver inativo.

Gerar chave de ativação e criar cofre de chaves

Um cofre de chaves é criado para o recurso Azure Stack Edge durante o processo de geração de chaves de ativação. O cofre de chaves é criado no mesmo grupo de recursos em que o recurso Azure Stack Edge está presente. A permissão de colaborador é necessária no cofre de chaves.

Pré-requisitos para o cofre de chaves

Antes da criação do cofre de chaves durante a ativação, os seguintes pré-requisitos devem ser atendidos:

  • Registre o provedor de recursos Microsoft.KeyVault antes de criar o recurso Azure Stack Edge. O provedor de recursos será registrado automaticamente se você tiver acesso de proprietário ou colaborador à assinatura. O cofre de chaves é criado na mesma assinatura e no mesmo grupo de recursos que o recurso Azure Stack Edge.

  • Quando você cria um recurso do Azure Stack Edge, também é criada uma identidade gerenciada atribuída ao sistema que persiste durante o tempo de vida do recurso e se comunica com o provedor de recursos na nuvem.

    Quando a identidade gerenciada é habilitada, o Azure cria uma identidade confiável para o recurso Azure Stack Edge.

Criação do cofre de chaves

Depois de criar o recurso, você precisa ativá-lo com o dispositivo. Para fazer isso, você gerará uma chave de ativação do portal do Azure.

Quando você gera uma chave de ativação, os seguintes eventos ocorrem:

Activation key generation flow

  • Você solicita uma chave de ativação no portal do Azure. A solicitação é então enviada ao provedor de recursos do cofre de chaves.
  • Um cofre de chave de camada padrão com política de acesso é criado e bloqueado por padrão.

    • Esse cofre de chaves usa o nome padrão ou um nome personalizado de 3 a 24 caracteres que você especificou. Não é possível usar um cofre de chaves que já esteja em uso.

    • Os detalhes do cofre de chaves são armazenados no serviço. Esse cofre de chaves é usado para gerenciamento de segredos e persiste enquanto o recurso Azure Stack Edge existir.

      Key Vault created during activation key generation

  • Um bloqueio de recursos está ativado no cofre de chaves para evitar a exclusão acidental. Uma exclusão suave também está habilitada no cofre de chaves que permite que o cofre de chaves seja restaurado dentro de 90 dias se houver uma exclusão acidental. Para obter mais informações, consulte Visão geral de exclusão suave do Azure Key Vault.
  • Uma identidade gerenciada atribuída ao sistema que foi criada quando você criou o recurso Azure Stack Edge agora está habilitada.
  • Uma chave de integridade de canal (CIK) é gerada e colocada no cofre de chaves. Os detalhes CIK são exibidos no serviço.
  • Uma conta de armazenamento redundante de zona (ZRS) também é criada no mesmo escopo que o recurso Azure Stack Edge e um bloqueio é colocado na conta.
    • Essa conta é usada para armazenar os logs de auditoria.
    • A criação da conta de armazenamento é um processo de longa execução e leva alguns minutos.
    • A conta de armazenamento é marcada com o nome do cofre de chaves.
  • Uma configuração de diagnóstico é adicionada ao cofre de chaves e o registro em log é habilitado.
  • A identidade gerenciada é adicionada à política de acesso ao cofre de chaves para permitir o acesso ao cofre de chaves, pois o dispositivo usa o cofre de chaves para armazenar e recuperar segredos.
  • O cofre de chaves autentica a solicitação com identidade gerenciada para gerar a chave de ativação. A chave de ativação é devolvida ao portal do Azure. Em seguida, você pode copiar essa chave e usá-la na interface do usuário local para ativar seu dispositivo.

Nota

  • Se você tinha um recurso existente do Azure Stack Edge antes do Azure Key Vault ser integrado ao recurso Azure Stack Edge, você não será afetado. Você pode continuar a usar seu recurso existente do Azure Stack Edge.
  • A criação do cofre de chaves e da conta de armazenamento aumenta o custo geral dos recursos. Para obter mais informações sobre transações permitidas e encargos correspondentes, consulte Preços para o Cofre de Chaves do Azure e Preços para a conta de armazenamento.

Se você tiver algum problema relacionado ao cofre de chaves e à ativação do dispositivo, consulte Solucionar problemas de ativação do dispositivo.

Ver propriedades do cofre de chaves

Depois que a chave de ativação for gerada e o cofre de chaves for criado, convém acessar o cofre de chaves para exibir os segredos, políticas de acesso, diagnósticos e insights. O procedimento a seguir descreve cada uma dessas operações.

Ver segredos

Depois que a chave de ativação for gerada e o cofre de chaves for criado, você poderá querer acessar o cofre de chaves.

Para aceder ao cofre das chaves e visualizar os segredos, siga estes passos:

  1. No portal do Azure para seu recurso Azure Stack Edge, vá para Segurança.

  2. No painel direito, em Segurança, pode ver os Segredos.

  3. Você também pode navegar até o cofre de chaves associado ao seu recurso Azure Stack Edge. Selecione Nome do cofre da chave.

    Go to device key vault

  4. Para ver os segredos armazenados no cofre das chaves, aceda a Segredos. A chave de integridade do canal, a chave de recuperação BitLocker e as senhas de usuário do controlador de gerenciamento da placa base (BMC) são armazenadas no cofre de chaves. Se o dispositivo ficar inativo, o portal fornece acesso fácil à chave de recuperação do BitLocker e à senha de usuário da BMC.

    View device secrets in key vault

Exibir políticas de acesso de identidade gerenciada

Para aceder às políticas de acesso para o cofre de chaves e a identidade gerida, siga estes passos:

  1. No portal do Azure para seu recurso Azure Stack Edge, vá para Segurança.

  2. Selecione o link correspondente ao nome do cofre da chave para navegar até o cofre da chave associado ao seu recurso do Azure Stack Edge.

    Go to device key vault

  3. Para ver as políticas de acesso associadas ao seu cofre de chaves, aceda a Políticas de acesso. Você pode ver que a identidade gerenciada recebeu acesso. Selecione Permissões secretas. Você pode ver que o acesso à identidade gerenciada é restrito apenas a Obter e Definir do segredo.

    View access policies for key vault

Ver registos de auditoria

Para acessar o cofre de chaves e exibir as configurações de diagnóstico e os logs de auditoria, siga estas etapas:

  1. No portal do Azure para seu recurso Azure Stack Edge, vá para Segurança.

  2. Selecione o link correspondente ao nome do cofre da chave para navegar até o cofre da chave associado ao seu recurso do Azure Stack Edge.

    Go to device key vault

  3. Para ver as definições de diagnóstico associadas ao cofre de chaves, aceda a Definições de diagnóstico. Essa configuração permite monitorar como e quando seus cofres de chaves são acessados e por quem. Você pode ver que uma configuração de diagnóstico foi criada. Os logs estão fluindo para a conta de armazenamento que também foi criada. Os eventos de auditoria também são criados no cofre de chaves.

    View diagnostics settings for key vault

Se você configurou um destino de armazenamento diferente para logs no cofre de chaves, poderá visualizá-los diretamente nessa conta de armazenamento.

Ver informações

Para acessar as informações do cofre de chaves, incluindo as operações executadas no cofre de chaves, siga estas etapas:

  1. No portal do Azure para seu recurso Azure Stack Edge, vá para Segurança.

  2. Selecione o link correspondente ao diagnóstico do cofre de chaves.

    Go to device key vault

  3. A folha Insights fornece uma visão geral das operações executadas no cofre de chaves.

    View insights for your key vault

Exibir status de identidade gerenciada

Para exibir o status da identidade gerenciada atribuída ao sistema associada ao seu recurso Azure Stack Edge, siga estas etapas:

  1. No portal do Azure para seu recurso Azure Stack Edge, vá para Segurança.

  2. No painel direito, vá para identidade gerenciada atribuída ao sistema para ver se a identidade gerenciada atribuída ao sistema está habilitada ou desabilitada.

    Go to device key vault

Ver fechaduras do cofre da chave

Para aceder ao cofre das chaves e visualizar os bloqueios, siga estes passos:

  1. No portal do Azure para seu recurso Azure Stack Edge, vá para Segurança.

  2. Selecione o link correspondente ao nome do cofre da chave para navegar até o cofre da chave associado ao seu recurso do Azure Stack Edge.

    Go to device key vault

  3. Para ver os cadeados no cofre das chaves, aceda a Fechaduras. Para evitar a exclusão acidental, um bloqueio de recurso é ativado no cofre de chaves.

    View locks on your key vault

Regenerar chave de ativação

Em certos casos, pode ser necessário regenerar a chave de ativação. Quando você regenera uma chave de ativação, os seguintes eventos ocorrem:

  1. Você solicita a regeneração de uma chave de ativação no portal do Azure.
  2. A chave de ativação é devolvida ao portal do Azure. Em seguida, você pode copiar essa chave e usá-la.

O cofre de chaves não é acessado quando você regenera a chave de ativação.

Recuperar segredos do dispositivo

Se o CIK for excluído acidentalmente ou se segredos (por exemplo, senha de usuário da BMC) se tornarem obsoletos no cofre de chaves, você precisará enviar segredos do dispositivo para atualizar os segredos do cofre de chaves.

Siga estas etapas para sincronizar segredos do dispositivo:

  1. No portal do Azure, vá para o recurso Azure Stack Edge e, em seguida, vá para Segurança.

  2. No painel direito, na barra de comandos superior, selecione Sincronizar segredos do dispositivo.

  3. Os segredos do dispositivo são enviados por push para o cofre de chaves para restaurar ou atualizar os segredos no cofre de chaves. Você verá uma notificação quando a sincronização for concluída.

    Sync device secrets on your key vault

Excluir cofre de chaves

Há duas maneiras de excluir o cofre de chaves associado ao recurso Azure Stack Edge:

  • Exclua o recurso Azure Stack Edge e escolha excluir o cofre de chaves associado ao mesmo tempo.
  • Acidentalmente excluído o cofre de chaves diretamente.

Quando seu recurso do Azure Stack Edge é excluído, o cofre da chave também é excluído com o recurso. É-lhe solicitada uma confirmação. Se estiver a armazenar outras chaves neste cofre de chaves e não pretender eliminá-lo, pode optar por não dar o seu consentimento. Somente o recurso Azure Stack Edge é excluído, deixando o cofre de chaves intacto.

Siga estas etapas para excluir o recurso Azure Stack Edge e o cofre de chaves associado:

  1. No portal do Azure, vá para o recurso Azure Stack Edge e vá para Visão geral.

  2. No painel direito, selecione Excluir. Esta ação excluirá o recurso Azure Stack Edge.

    Delete Azure Stack Edge resource and associated key vault

  3. Você verá uma folha de confirmação. Digite o nome do recurso do Azure Stack Edge. Para confirmar a exclusão do cofre de chaves associado, digite Sim.

    Confirm deletion of Azure Stack Edge resource and associated key vault

  4. Selecione Eliminar.

O recurso Azure Stack Edge e o cofre de chaves são excluídos.

O cofre de chaves pode ser excluído acidentalmente quando o recurso Azure Stack Edge está em uso. Se isso acontecer, um alerta crítico será gerado na página Segurança do seu recurso Azure Stack Edge. Pode navegar até esta página para recuperar o cofre das chaves.

Recuperar cofre de chaves

Você pode recuperar o cofre de chaves associado ao seu recurso Azure Stack Edge se ele for excluído acidentalmente ou limpo. Se este cofre de chaves foi usado para armazenar outras chaves, então você precisará recuperar essas chaves restaurando o cofre de chaves.

  • Dentro de 90 dias após a exclusão, você pode restaurar o cofre de chaves que foi excluído.
  • Se o período de proteção contra limpeza de 90 dias já tiver decorrido, não será possível restaurar o cofre de chaves. Em vez disso, você precisará criar um novo cofre de chaves.

Dentro de 90 dias após a exclusão, siga estas etapas para recuperar seu cofre de chaves:

  • No portal do Azure, vá para a página Segurança do seu recurso Azure Stack Edge. Você verá uma notificação informando que o cofre de chaves associado ao seu recurso foi excluído. Você pode selecionar a notificação ou selecionar Reconfigurar em relação ao nome do cofre de chaves em Preferências de segurança para recuperar seu cofre de chaves.

    Go to Security page

  • Na folha Recuperar cofre de chaves, selecione Configurar. As seguintes operações são realizadas como parte da recuperação:

    Recovery steps

    • Um cofre de chaves é recuperado com o mesmo nome e um cadeado é colocado no recurso de cofre de chaves.

      Nota

      Se o cofre de chaves for excluído e o período de proteção contra limpeza de 90 dias não tiver decorrido, nesse período, o nome do cofre de chaves não poderá ser usado para criar um novo cofre de chaves.

    • Uma conta de armazenamento é criada para armazenar os logs de auditoria.

    • A identidade gerenciada atribuída ao sistema recebe acesso ao cofre de chaves.

    • Os segredos do dispositivo são enviados para o cofre de chaves.

    Selecione Configurar.

    Recover key vault blade

    O cofre de chaves é recuperado e, quando a recuperação é concluída, uma notificação é mostrada para esse efeito.

Se o cofre de chaves for excluído e o período de proteção contra limpeza de 90 dias tiver decorrido, você terá a opção de criar um novo cofre de chaves por meio do procedimento Recuperar chave descrito acima. Nesse caso, você fornecerá um novo nome para o cofre de chaves. Uma nova conta de armazenamento é criada, a identidade gerenciada recebe acesso a esse cofre de chaves e os segredos do dispositivo são enviados por push para esse cofre de chaves.

Recupere o acesso gerenciado à identidade

Se a política de acesso de identidade gerenciada atribuída pelo sistema for excluída, um alerta será gerado quando o dispositivo não conseguir ressincronizar os segredos do cofre de chaves. Se a identidade gerenciada não tiver acesso ao cofre de chaves, novamente um alerta de dispositivo será gerado. Selecione o alerta em cada caso para abrir a folha Recuperar cofre de chaves e reconfigurar. Esse processo deve restaurar o acesso de identidade gerenciado.

Granting managed identity access to key vault flow

Próximos passos

  • Saiba mais sobre como gerar chave de ativação.
  • Solucione erros do cofre de chaves em seu dispositivo Azure Stack Edge.