Criar uma conta que suporte chaves geridas pelo cliente para tabelas e filas

Artigo
05/11/2023

O Armazenamento do Azure encripta todos os dados numa conta de armazenamento inativa. Por predefinição, o Armazenamento de filas e o armazenamento de Tabelas utilizam uma chave que está no âmbito do serviço e gerida pela Microsoft. Também pode optar por utilizar chaves geridas pelo cliente para encriptar dados de fila ou tabela. Para utilizar chaves geridas pelo cliente com filas e tabelas, primeiro tem de criar uma conta de armazenamento que utilize uma chave de encriptação que esteja no âmbito da conta e não no serviço. Depois de criar uma conta que utiliza a chave de encriptação de conta para dados de fila e tabela, pode configurar chaves geridas pelo cliente para essa conta de armazenamento.

Este artigo descreve como criar uma conta de armazenamento que depende de uma chave que está no âmbito da conta. Quando a conta é criada pela primeira vez, a Microsoft utiliza a chave de conta para encriptar os dados na conta e a Microsoft gere a chave. Posteriormente, pode configurar chaves geridas pelo cliente para que a conta tire partido desses benefícios, incluindo a capacidade de fornecer as suas próprias chaves, atualizar a versão da chave, rodar as chaves e revogar os controlos de acesso.

Criar uma conta que utiliza a chave de encriptação de conta

Tem de configurar uma nova conta de armazenamento para utilizar a chave de encriptação de conta para filas e tabelas no momento em que criar a conta de armazenamento. Não é possível alterar o âmbito da chave de encriptação após a criação da conta.

A conta de armazenamento tem de ser do tipo para fins gerais v2. Pode criar a conta de armazenamento e configurá-la para depender da chave de encriptação de conta com o modelo portal do Azure, PowerShell, CLI do Azure ou um modelo de Resource Manager do Azure.

Para saber mais sobre como criar uma conta de armazenamento, veja Criar uma conta de armazenamento.

Nota

Opcionalmente, apenas o armazenamento de Filas e Tabelas pode ser configurado para encriptar dados com a chave de encriptação da conta quando a conta de armazenamento é criada. O armazenamento de blobs e Ficheiros do Azure utilizar sempre a chave de encriptação de conta para encriptar dados.

Para criar uma conta de armazenamento que dependa da chave de encriptação da conta com o portal do Azure, siga estes passos:

No menu do portal esquerdo, selecione Contas de armazenamento para apresentar uma lista das suas contas de armazenamento.
Na página Contas de armazenamento , selecione Novo.
Preencha os campos no separador Noções Básicas .
No separador Avançadas, localize a secção Tabelas e Filas e selecione Ativar suporte para chaves geridas pelo cliente.

Para utilizar o PowerShell para criar uma conta de armazenamento que depende da chave de encriptação da conta, certifique-se de que instalou o módulo Azure PowerShell, versão 3.4.0 ou posterior. Para obter mais informações, veja Instalar o módulo Azure PowerShell.

Em seguida, crie uma conta de armazenamento para fins gerais v2 ao chamar o comando New-AzStorageAccount , com os parâmetros adequados:

Inclua a opção e defina o -EncryptionKeyTypeForQueue respetivo valor para Account utilizar a chave de encriptação de conta para encriptar dados no Armazenamento de filas.
Inclua a opção e defina o -EncryptionKeyTypeForTable respetivo valor para Account utilizar a chave de encriptação de conta para encriptar dados no Armazenamento de tabelas.

O exemplo seguinte mostra como criar uma conta de armazenamento para fins gerais v2 configurada para armazenamento georredundante de acesso de leitura (RA-GRS) e que utiliza a chave de encriptação de conta para encriptar dados para armazenamento de Filas e Tabelas. Lembre-se de substituir os valores do marcador de posição entre parênteses pelos seus próprios valores:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Para utilizar a CLI do Azure para criar uma conta de armazenamento que depende da chave de encriptação de conta, certifique-se de que instalou a versão 2.0.80 ou posterior da CLI do Azure. Para obter mais informações, veja Instalar a CLI do Azure.

Em seguida, crie uma conta de armazenamento para fins gerais v2 ao chamar o comando az storage account create , com os parâmetros adequados:

Inclua a opção e defina o --encryption-key-type-for-queue respetivo valor para Account utilizar a chave de encriptação de conta para encriptar dados no Armazenamento de filas.
Inclua a opção e defina o --encryption-key-type-for-table respetivo valor para Account utilizar a chave de encriptação de conta para encriptar dados no Armazenamento de tabelas.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

O exemplo JSON seguinte cria uma conta de armazenamento para fins gerais v2 configurada para armazenamento georredundante de acesso de leitura (RA-GRS) e que utiliza a chave de encriptação de conta para encriptar dados para armazenamento de Filas e Tabelas. Lembre-se de substituir os valores do marcador de posição em parênteses angulares pelos seus próprios valores:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Depois de criar uma conta que depende da chave de encriptação de conta, pode configurar chaves geridas pelo cliente armazenadas no Azure Key Vault ou no Key Vault Modelo de Segurança de Hardware Gerido (HSM). Para saber como armazenar chaves geridas pelo cliente num cofre de chaves, veja Configurar a encriptação com chaves geridas pelo cliente armazenadas no Azure Key Vault. Para saber como armazenar chaves geridas pelo cliente num HSM gerido, veja Configurar a encriptação com chaves geridas pelo cliente armazenadas no Azure Key Vault HSM Gerido.

Verificar a chave de encriptação da conta

Depois de criar a conta, pode verificar se a conta de armazenamento está a utilizar uma chave de encriptação que está no âmbito da conta com o portal do Azure, o PowerShell ou a CLI do Azure.

Para verificar se um serviço numa conta de armazenamento está a utilizar uma chave de encriptação que está no âmbito da conta com o portal do Azure, siga estes passos:

No portal do Azure, navegue para a sua nova conta de armazenamento.
Na secção Segurança + Rede , selecione Encriptação.
Se a conta de armazenamento tiver sido criada para depender da chave de encriptação da conta, verá no separador Encriptação que as chaves geridas pelo cliente podem ser ativadas para os quatro serviços de Armazenamento do Azure: blobs, ficheiros, tabelas e filas.

Para verificar se um serviço numa conta de armazenamento está a utilizar a chave de encriptação de conta com o PowerShell, chame o comando Get-AzStorageAccount . Este comando devolve um conjunto de propriedades da conta de armazenamento e os respetivos valores. Procure o KeyType campo para cada serviço na Encryption propriedade e verifique se está definido como Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Para verificar se um serviço numa conta de armazenamento está a utilizar a chave de encriptação de conta com a CLI do Azure, chame o comando az storage account show . Este comando devolve um conjunto de propriedades da conta de armazenamento e os respetivos valores. Procure o keyType campo para cada serviço na propriedade de encriptação e verifique se está definido como Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Depois de verificar que a conta de armazenamento está a utilizar uma chave de encriptação que está no âmbito da conta, pode ativar as chaves geridas pelo cliente para a conta. Todos os quatro serviços de Armazenamento do Azure ( blobs, ficheiros, tabelas e filas) utilizarão a chave gerida pelo cliente para encriptação.

Preços e faturação

Uma conta de armazenamento criada para utilizar uma chave de encriptação no âmbito da conta é faturada para a capacidade de armazenamento de tabelas e transações a uma taxa diferente de uma conta que utiliza a chave de âmbito de serviço predefinida. Para obter detalhes, veja Preços do Armazenamento de Tabelas do Azure.

Passos seguintes

Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
Chaves geridas pelo cliente para encriptação do Armazenamento do Azure
Configurar a encriptação com chaves geridas pelo cliente armazenadas no Azure Key Vault
Configurar a encriptação com chaves geridas pelo cliente armazenadas no Azure Key Vault HSM Gerido

Criar uma conta que suporte chaves geridas pelo cliente para tabelas e filas

Criar uma conta que utiliza a chave de encriptação de conta

Verificar a chave de encriptação da conta

Preços e faturação

Passos seguintes

Recursos adicionais