Configurar chaves geridas pelo cliente no mesmo inquilino para uma nova conta de armazenamento

O Armazenamento do Azure encripta todos os dados numa conta de armazenamento inativa. Por predefinição, os dados são encriptados com chaves geridas pela Microsoft. Para obter controlo adicional sobre as chaves de encriptação, pode gerir as suas próprias chaves. As chaves geridas pelo cliente têm de ser armazenadas num Key Vault do Azure ou num Modelo de Segurança de Hardware Gerido (HSM) do Azure Key Vault.

Este artigo mostra como configurar a encriptação com chaves geridas pelo cliente no momento em que cria uma nova conta de armazenamento. As chaves geridas pelo cliente são armazenadas num cofre de chaves.

Para saber como configurar chaves geridas pelo cliente para uma conta de armazenamento existente, veja Configurar chaves geridas pelo cliente num cofre de chaves do Azure para uma conta de armazenamento existente.

Nota

O Azure Key Vault e o Azure Key Vault Managed HSM suportam as mesmas APIs e interfaces de gestão para configuração de chaves geridas pelo cliente. Qualquer ação suportada para o Azure Key Vault também é suportada para o Azure Key Vault HSM Gerido.

Configurar o cofre de chaves

Pode utilizar um cofre de chaves novo ou existente para armazenar chaves geridas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou subscrições diferentes no mesmo inquilino. Para saber mais sobre o Azure Key Vault, veja Descrição Geral do Azure Key Vault e O que é o Azure Key Vault?.

A utilização de chaves geridas pelo cliente com a encriptação do Armazenamento do Microsoft Azure requer que a eliminação recuperável e a proteção contra remoção sejam ativadas para o cofre de chaves. A eliminação recuperável está ativada por predefinição quando cria um novo cofre de chaves e não pode ser desativada. Pode ativar a proteção contra remoção quando cria o cofre de chaves ou depois de ser criado.

O Azure Key Vault suporta a autorização com o RBAC do Azure através de um modelo de permissão RBAC do Azure. A Microsoft recomenda a utilização do modelo de permissões RBAC do Azure através de políticas de acesso ao cofre de chaves. Para obter mais informações, veja Conceder permissão a aplicações para aceder a um cofre de chaves do Azure com o RBAC do Azure.

Portal do Azure

Para saber como criar um cofre de chaves com o portal do Azure, veja Início Rápido: Criar um cofre de chaves com o portal do Azure. Quando criar o cofre de chaves, selecione Ativar proteção contra remoção, conforme mostrado na imagem seguinte.

Para ativar a proteção contra remoção num cofre de chaves existente, siga estes passos:

1. Navegue para o cofre de chaves no portal do Azure.
2. Em Definições, selecione Propriedades.
3. Na secção Proteção contra remoção , selecione Ativar proteção contra remoção.

PowerShell

Para criar um novo cofre de chaves com o PowerShell, instale a versão 2.0.0 ou posterior do módulo Az.KeyVault do PowerShell. Em seguida, chame New-AzKeyVault para criar um novo cofre de chaves. Com a versão 2.0.0 e posterior do módulo Az.KeyVault, a eliminação recuperável é ativada por predefinição quando cria um novo cofre de chaves.

O exemplo seguinte cria um novo cofre de chaves com a eliminação recuperável e a proteção contra remoção ativada. O modelo de permissão do cofre de chaves está definido para utilizar o RBAC do Azure. Lembre-se de substituir os valores de marcador de posição entre parênteses retos pelos seus próprios valores.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Para saber como ativar a proteção contra remoção num cofre de chaves existente com o PowerShell, veja Descrição geral da recuperação do Azure Key Vault.

Depois de criar o cofre de chaves, terá de atribuir a função Key Vault Crypto Officer a si próprio. Esta função permite-lhe criar uma chave no cofre de chaves. O exemplo seguinte atribui esta função a um utilizador, no âmbito do cofre de chaves:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para obter mais informações sobre como atribuir uma função RBAC com o PowerShell, veja Atribuir funções do Azure com Azure PowerShell.

CLI do Azure

Para criar um novo cofre de chaves com a CLI do Azure, chame az keyvault create. O exemplo seguinte cria um novo cofre de chaves com a eliminação recuperável e a proteção contra remoção ativada. O modelo de permissão do cofre de chaves está definido para utilizar o RBAC do Azure. Lembre-se de substituir os valores de marcador de posição entre parênteses retos pelos seus próprios valores.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Para saber como ativar a proteção contra remoção num cofre de chaves existente com a CLI do Azure, veja Descrição geral da recuperação do Azure Key Vault.

Depois de criar o cofre de chaves, terá de atribuir a função Key Vault Crypto Officer a si próprio. Esta função permite-lhe criar uma chave no cofre de chaves. O exemplo seguinte atribui esta função a um utilizador, no âmbito do cofre de chaves:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Para obter mais informações sobre como atribuir uma função RBAC com a CLI do Azure, veja Atribuir funções do Azure com a CLI do Azure.

Adicionar uma chave

Em seguida, adicione uma chave ao cofre de chaves. Antes de adicionar a chave, certifique-se de que atribuiu a si próprio a função Key Vault Crypto Officer.

A encriptação do Armazenamento do Azure suporta chaves RSA e RSA-HSM de tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave suportados, veja Acerca das chaves.

Portal do Azure

Para saber como adicionar uma chave com a portal do Azure, veja Início Rápido: Definir e obter uma chave do Azure Key Vault com o portal do Azure.

PowerShell

Para adicionar uma chave com o PowerShell, chame Add-AzKeyVaultKey. Lembre-se de substituir os valores do marcador de posição entre parênteses retos pelos seus próprios valores e de utilizar as variáveis definidas nos exemplos anteriores.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

CLI do Azure

Para adicionar uma chave com a CLI do Azure, chame az keyvault key create. Lembre-se de substituir os valores de marcador de posição entre parênteses retos pelos seus próprios valores.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Utilizar uma identidade gerida atribuída pelo utilizador para autorizar o acesso ao cofre de chaves

Quando ativa chaves geridas pelo cliente para uma nova conta de armazenamento, tem de especificar uma identidade gerida atribuída pelo utilizador. Uma conta de armazenamento existente suporta a utilização de uma identidade gerida atribuída pelo utilizador ou de uma identidade gerida atribuída pelo sistema para configurar chaves geridas pelo cliente.

Quando configura chaves geridas pelo cliente com uma identidade gerida atribuída pelo utilizador, a identidade gerida atribuída pelo utilizador é utilizada para autorizar o acesso ao cofre de chaves que contém a chave. Tem de criar a identidade atribuída pelo utilizador antes de configurar as chaves geridas pelo cliente.

Uma identidade gerida atribuída pelo utilizador é um recurso autónomo do Azure. Para saber mais sobre as identidades geridas atribuídas pelo utilizador, veja Tipos de identidade gerida. Para saber como criar e gerir uma identidade gerida atribuída pelo utilizador, veja Gerir identidades geridas atribuídas pelo utilizador.

A identidade gerida atribuída pelo utilizador tem de ter permissões para aceder à chave no cofre de chaves. Atribua a função Key Vault Utilizador de Encriptação de Serviço Crypto à identidade gerida atribuída pelo utilizador com o âmbito do cofre de chaves para conceder estas permissões.

Portal do Azure

Antes de poder configurar chaves geridas pelo cliente com uma identidade gerida atribuída pelo utilizador, tem de atribuir a função de Utilizador de Encriptação de Serviço Crypto crypto Key Vault à identidade gerida atribuída pelo utilizador, no âmbito do cofre de chaves. Esta função concede permissões de identidade gerida atribuídas pelo utilizador para aceder à chave no cofre de chaves. Para obter mais informações sobre como atribuir funções RBAC do Azure com o portal do Azure, veja Atribuir funções do Azure com o portal do Azure.

Quando configura chaves geridas pelo cliente com o portal do Azure, pode selecionar uma identidade atribuída pelo utilizador existente através da interface de utilizador do portal.

PowerShell

O exemplo seguinte mostra como obter a identidade gerida atribuída pelo utilizador e atribuir-lhe a função RBAC necessária, no âmbito do cofre de chaves. Lembre-se de substituir os valores de marcador de posição entre parênteses retos pelos seus próprios valores e de utilizar as variáveis definidas nos exemplos anteriores:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

CLI do Azure

O exemplo seguinte mostra como obter a identidade gerida atribuída pelo utilizador e atribuir-lhe a função RBAC necessária, no âmbito do cofre de chaves. Lembre-se de substituir os valores de marcador de posição entre parênteses retos pelos seus próprios valores e de utilizar as variáveis definidas nos exemplos anteriores:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Configurar chaves geridas pelo cliente para uma nova conta de armazenamento

Quando configura a encriptação com chaves geridas pelo cliente para uma nova conta de armazenamento, pode optar por atualizar automaticamente a versão de chave utilizada para a encriptação do Armazenamento do Microsoft Azure sempre que estiver disponível uma nova versão no cofre de chaves associado. Em alternativa, pode especificar explicitamente uma versão de chave a ser utilizada para encriptação até que a versão da chave seja atualizada manualmente.

Tem de utilizar uma identidade gerida atribuída pelo utilizador existente para autorizar o acesso ao cofre de chaves quando configurar chaves geridas pelo cliente ao criar a conta de armazenamento. A identidade gerida atribuída pelo utilizador tem de ter as permissões adequadas para aceder ao cofre de chaves. Para obter mais informações, veja Authenticate to Azure Key Vault (Autenticar no Azure Key Vault).

Configurar a encriptação para a atualização automática de versões de chaves

O Armazenamento do Azure pode atualizar automaticamente a chave gerida pelo cliente que é utilizada para encriptação para utilizar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica diariamente o cofre de chaves para obter uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a utilizar a versão mais recente da chave para encriptação.

Importante

O Armazenamento do Azure verifica se o cofre de chaves tem uma nova versão de chave apenas uma vez por dia. Quando rodar uma chave, certifique-se de que aguarda 24 horas antes de desativar a versão mais antiga.

Portal do Azure

Para configurar chaves geridas pelo cliente para uma nova conta de armazenamento com a atualização automática da versão da chave, siga estes passos:

1. Na portal do Azure, navegue para a página Contas de armazenamento e selecione o botão Criar para criar uma nova conta.

2. Siga os passos descritos em Criar uma conta de armazenamento para preencher os campos nos separadores Noções Básicas, Avançadas, Redes e Proteção de Dados .

3. No separador Encriptação , indique para que serviços pretende ativar o suporte para chaves geridas pelo cliente no campo Ativar suporte para chaves geridas pelo cliente .

4. No campo Tipo de encriptação , selecione Chaves geridas pelo cliente (CMK).

5. No campo Chave de encriptação , selecione Selecionar um cofre de chaves e uma chave e especifique o cofre de chaves e a chave.

6. Para o campo Identidade atribuída pelo utilizador , selecione uma identidade gerida atribuída pelo utilizador existente.

   

7. Selecione o botão Rever para validar e criar a conta.

Também pode configurar chaves geridas pelo cliente com a atualização manual da versão da chave quando cria uma nova conta de armazenamento. Siga os passos descritos em Configurar encriptação para atualização manual de versões chave.

PowerShell

Para configurar chaves geridas pelo cliente para uma nova conta de armazenamento com a atualização automática da versão da chave, chame New-AzStorageAccount, conforme mostrado no exemplo seguinte. Utilize a variável que criou anteriormente para o ID de recurso para a identidade gerida atribuída pelo utilizador. Também precisará do URI do cofre de chaves e do nome da chave:

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

CLI do Azure

Para configurar chaves geridas pelo cliente para uma nova conta de armazenamento com a atualização automática da versão da chave, chame az storage account create, conforme mostrado no exemplo seguinte. Utilize a variável que criou anteriormente para o ID de recurso para a identidade gerida atribuída pelo utilizador. Também precisará do URI do cofre de chaves e do nome da chave:

accountName="<storage-account>"

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault <key-vault-uri> \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId

Configurar a encriptação para a atualização manual de versões principais

Se preferir atualizar manualmente a versão da chave, especifique explicitamente a versão quando configurar a encriptação com chaves geridas pelo cliente ao criar a conta de armazenamento. Neste caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando for criada uma nova versão no cofre de chaves. Para utilizar uma nova versão de chave, tem de atualizar manualmente a versão utilizada para a encriptação do Armazenamento do Azure.

Tem de utilizar uma identidade gerida atribuída pelo utilizador existente para autorizar o acesso ao cofre de chaves quando configurar chaves geridas pelo cliente ao criar a conta de armazenamento. A identidade gerida atribuída pelo utilizador tem de ter as permissões adequadas para aceder ao cofre de chaves. Para obter mais informações, veja Authenticate to Azure Key Vault (Autenticar no Azure Key Vault).

Portal do Azure

Para configurar chaves geridas pelo cliente com a atualização manual da versão da chave no portal do Azure, especifique o URI da chave, incluindo a versão, enquanto cria a conta de armazenamento. Para especificar uma chave como URI, siga estes passos:

1. Na portal do Azure, navegue para a página Contas de armazenamento e selecione o botão Criar para criar uma nova conta.

2. Siga os passos descritos em Criar uma conta de armazenamento para preencher os campos nos separadores Noções Básicas, Avançadas, Redes e Proteção de Dados .

3. No separador Encriptação , indique para que serviços pretende ativar o suporte para chaves geridas pelo cliente no campo Ativar suporte para chaves geridas pelo cliente .

4. No campo Tipo de encriptação , selecione Chaves geridas pelo cliente (CMK).

5. Para localizar o URI da chave no portal do Azure, navegue até ao cofre de chaves e selecione a definição Chaves. Selecione a chave pretendida e, em seguida, selecione a chave para ver as respetivas versões. Selecione uma versão de chave para ver as definições dessa versão.

6. Copie o valor do campo Identificador de Chave , que fornece o URI.

   

7. Nas definições da chave de Encriptação da sua conta de armazenamento, selecione a opção Enter key URI (Introduzir chave URI ).

8. Cole o URI que copiou para o campo URI de Chave . Inclua a versão chave no URI para configurar a atualização manual da versão da chave.

9. Especifique uma identidade gerida atribuída pelo utilizador ao selecionar a ligação Selecionar uma identidade .

   

10. Selecione o botão Rever para validar e criar a conta.

PowerShell

Para configurar chaves geridas pelo cliente com a atualização manual da versão da chave, forneça explicitamente a versão da chave quando configurar a encriptação ao criar a conta de armazenamento. Chame Set-AzStorageAccount para atualizar as definições de encriptação da conta de armazenamento, conforme mostrado no exemplo seguinte, e inclua a opção -KeyvaultEncryption para ativar chaves geridas pelo cliente para a conta de armazenamento.

Lembre-se de substituir os valores de marcador de posição entre parênteses pelos seus próprios valores e de utilizar as variáveis definidas nos exemplos anteriores.

$accountName = "<storage-account>"

New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Kind StorageV2 `
    -SkuName Standard_LRS `
    -Location $location `
    -AllowBlobPublicAccess $false `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

Quando atualizar manualmente a versão da chave, terá de atualizar as definições de encriptação da conta de armazenamento para utilizar a nova versão. Primeiro, chame Get-AzKeyVaultKey para obter a versão mais recente da chave. Em seguida, chame Set-AzStorageAccount para atualizar as definições de encriptação da conta de armazenamento para utilizar a nova versão da chave, conforme mostrado no exemplo anterior.

CLI do Azure

Para configurar chaves geridas pelo cliente com a atualização manual da versão da chave, forneça explicitamente a versão da chave quando configurar a encriptação ao criar a conta de armazenamento. Chame az storage account update para atualizar as definições de encriptação da conta de armazenamento, conforme mostrado no exemplo seguinte. Inclua o parâmetro e defina-o --encryption-key-source para Microsoft.Keyvault ativar chaves geridas pelo cliente para a conta.

Lembre-se de substituir os valores do marcador de posição entre parênteses pelos seus próprios valores.

accountName="<storage-account>"

key_vault_uri=$(az keyvault show \
    --name <key-vault> \
    --resource-group <resource_group> \
    --query properties.vaultUri \
    --output tsv)

key_version=$(az keyvault key list-versions \
    --name <key> \
    --vault-name <key-vault> \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

az storage account create \
    --name $accountName \
    --resource-group $rgName \
    --location $location \
    --sku Standard_LRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $keyVaultUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-version $keyVersion \
    --key-vault-user-identity-id $identityResourceId

Quando atualizar manualmente a versão da chave, terá de atualizar as definições de encriptação da conta de armazenamento para utilizar a nova versão. Primeiro, consulte o URI do cofre de chaves ao chamar az keyvault show e para a versão da chave ao chamar az keyvault key list-versions. Em seguida, chame az storage account update para atualizar as definições de encriptação da conta de armazenamento para utilizar a nova versão da chave, conforme mostrado no exemplo anterior.

Alterar a chave

Pode alterar a chave que está a utilizar para a encriptação do Armazenamento do Azure em qualquer altura.

Nota

Quando altera a chave ou a versão da chave, a proteção da chave de encriptação de raiz muda, mas os dados na sua conta de Armazenamento do Azure permanecem sempre encriptados. Não é necessária nenhuma ação adicional da sua parte para garantir que os seus dados estão protegidos. Alterar a chave ou rodar a versão da chave não afeta o desempenho. Não existe nenhum período de indisponibilidade associado à alteração da chave ou à rotação da versão da chave.

Portal do Azure

Para alterar a chave com a portal do Azure, siga estes passos:

1. Navegue para a sua conta de armazenamento e apresente as definições de Encriptação .
2. Selecione o cofre de chaves e escolha uma nova chave.
3. Guarde as alterações.

PowerShell

Para alterar a chave com o PowerShell, chame Set-AzStorageAccount e forneça o novo nome e versão da chave. Se a nova chave estiver num cofre de chaves diferente, também terá de atualizar o URI do cofre de chaves.

CLI do Azure

Para alterar a chave com a CLI do Azure, chame az storage account update e forneça o novo nome e versão da chave. Se a nova chave estiver num cofre de chaves diferente, também terá de atualizar o URI do cofre de chaves.

Se a nova chave estiver num cofre de chaves diferente, tem de conceder à identidade gerida acesso à chave no novo cofre. Se escolher a atualização manual da versão da chave, também terá de atualizar o URI do cofre de chaves.

Revogar o acesso a uma conta de armazenamento que utiliza chaves geridas pelo cliente

Para revogar temporariamente o acesso a uma conta de armazenamento que esteja a utilizar chaves geridas pelo cliente, desative a chave que está a ser utilizada no cofre de chaves. Não existe nenhum impacto no desempenho ou tempo de inatividade associado à desativação e reativação da chave.

Depois de a chave ter sido desativada, os clientes não podem chamar operações que leem ou escrevem num blob ou nos respetivos metadados. Para obter informações sobre as operações que irão falhar, veja Revogar o acesso a uma conta de armazenamento que utiliza chaves geridas pelo cliente.

Atenção

Quando desativa a chave no cofre de chaves, os dados na sua conta de Armazenamento do Azure permanecem encriptados, mas ficam inacessíveis até reativar a chave.

Portal do Azure

Para desativar uma chave gerida pelo cliente com o portal do Azure, siga estes passos:

1. Navegue para o cofre de chaves que contém a chave.

2. Em Objetos, selecione Chaves.

3. Clique com o botão direito do rato na tecla e selecione Desativar.

   

PowerShell

Para revogar uma chave gerida pelo cliente com o PowerShell, chame o comando Update-AzKeyVaultKey , conforme mostrado no exemplo seguinte. Lembre-se de substituir os valores de marcador de posição entre parênteses pelos seus próprios valores para definir as variáveis ou utilizar as variáveis definidas nos exemplos anteriores.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

CLI do Azure

Para revogar uma chave gerida pelo cliente com a CLI do Azure, chame o comando az keyvault key set-attributes , conforme mostrado no exemplo seguinte. Lembre-se de substituir os valores de marcador de posição entre parênteses pelos seus próprios valores para definir as variáveis ou utilizar as variáveis definidas nos exemplos anteriores.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Desativar a chave fará com que as tentativas de acesso aos dados na conta de armazenamento falhem com o código de erro 403 (Proibido). Para obter uma lista das operações da conta de armazenamento que serão afetadas pela desativação da chave, veja Revogar o acesso a uma conta de armazenamento que utiliza chaves geridas pelo cliente.

Voltar às chaves geridas pela Microsoft

Pode mudar de chaves geridas pelo cliente novamente para chaves geridas pela Microsoft em qualquer altura, utilizando o portal do Azure, o PowerShell ou a CLI do Azure.

Portal do Azure

Para mudar das chaves geridas pelo cliente para as chaves geridas pela Microsoft no portal do Azure, siga estes passos:

1. Navegue até à sua conta de armazenamento.

2. Em Segurança + rede, selecione Encriptação.

3. Altere o Tipo de encriptação para chaves geridas pela Microsoft.

   

PowerShell

Para mudar das chaves geridas pelo cliente para chaves geridas pela Microsoft com o PowerShell, chame Set-AzStorageAccount com a opção -StorageEncryption , conforme mostrado no exemplo seguinte. Lembre-se de substituir os valores do marcador de posição entre parênteses retos pelos seus próprios valores e de utilizar as variáveis definidas nos exemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

CLI do Azure

Para mudar das chaves geridas pelo cliente para as chaves geridas pela Microsoft com a CLI do Azure, chame az storage account update e defina como --encryption-key-source parameterMicrosoft.Storage, conforme mostrado no exemplo seguinte. Lembre-se de substituir os valores do marcador de posição entre parênteses retos pelos seus próprios valores e de utilizar as variáveis definidas nos exemplos anteriores.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Passos seguintes

• Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
• Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure
• Configurar chaves geridas pelo cliente num cofre de chaves do Azure para uma conta de armazenamento existente
• Configurar a encriptação com chaves geridas pelo cliente armazenadas no Azure Key Vault HSM Gerido