Partilhar via


Configurar chaves geridas pelo cliente

O Azure Data Explorer encripta todos os dados numa conta de armazenamento inativa. Por predefinição, os dados são encriptados com chaves geridas pela Microsoft. Para obter controlo adicional sobre chaves de encriptação, pode fornecer chaves geridas pelo cliente para utilizar para encriptação de dados.

As chaves geridas pelo cliente têm de ser armazenadas num Key Vault do Azure. Pode criar as suas próprias chaves e armazená-las num cofre de chaves ou pode utilizar uma API do Azure Key Vault para gerar chaves. O cluster do Azure Data Explorer e o cofre de chaves têm de estar na mesma região, mas podem estar em subscrições diferentes. Para obter uma explicação detalhada sobre as chaves geridas pelo cliente, veja Chaves geridas pelo cliente com o Azure Key Vault.

Este artigo mostra-lhe como configurar chaves geridas pelo cliente.

Configurar o Azure Key Vault

Para configurar chaves geridas pelo cliente com o Azure Data Explorer, tem de definir duas propriedades no cofre de chaves: Eliminação Recuperável e Não Remover. Estas propriedades não estão ativadas por predefinição. Para ativar estas propriedades, execute Ativar a eliminação recuperável e Ativar a Proteção contra Remoção no PowerShell ou na CLI do Azure num cofre de chaves novo ou existente. Apenas são suportadas chaves RSA do tamanho 2048. Para obter mais informações sobre chaves, consulte chaves de Key Vault.

Nota

A encriptação de dados com chaves geridas pelo cliente não é suportada em clusters de coordenadores e seguidores.

Atribuir uma identidade gerida ao cluster

Para ativar as chaves geridas pelo cliente para o cluster, atribua primeiro uma identidade gerida atribuída pelo sistema ou atribuída pelo utilizador ao cluster. Irá utilizar esta identidade gerida para conceder permissões de cluster para aceder ao cofre de chaves. Para configurar identidades geridas, veja identidades geridas.

Ativar a encriptação com chaves geridas pelo cliente

Estes passos seguintes explicam como ativar a encriptação de chaves geridas pelo cliente com o portal do Azure. Por predefinição, a encriptação de Data Explorer do Azure utiliza chaves geridas pela Microsoft. Configure o cluster do Azure Data Explorer para utilizar chaves geridas pelo cliente e especifique a chave a associar ao cluster.

  1. No portal do Azure, aceda ao recurso de cluster do Azure Data Explorer.

  2. Selecione Definições>Encriptação no painel esquerdo do portal.

  3. No painel Encriptação , selecione Ativado para a definição Chave gerida pelo cliente .

  4. Clique em Selecionar Chave.

    Configurar chaves geridas pelo cliente.

  5. Na janela Selecionar chave do Azure Key Vault, selecione um Cofre de chaves existente na lista pendente. Se selecionar Criar novo para criar um novo Key Vault, será encaminhado para o ecrã Criar Key Vault.

  6. Selecione Chave.

  7. Versão:

    • Para garantir que esta chave utiliza sempre a versão mais recente da chave, selecione a caixa de verificação Utilizar sempre a versão atual da chave .
    • Caso contrário, selecione Versão.
  8. Clique em Selecionar.

    Selecione a chave no Azure Key Vault.

  9. Em Tipo de identidade, selecione Atribuído pelo Sistema ou Utilizador Atribuído.

  10. Se selecionar Utilizador Atribuído, escolha uma identidade atribuída pelo utilizador na lista pendente.

    Selecione o tipo de identidade gerida.

  11. No painel Encriptação que agora contém a sua chave, selecione Guardar. Quando a criação da CMK for bem-sucedida, verá uma mensagem de êxito em Notificações.

    Guarde a chave gerida pelo cliente.

Se selecionar a identidade atribuída pelo sistema ao ativar as chaves geridas pelo cliente para o cluster do Azure Data Explorer, irá criar uma identidade atribuída pelo sistema para o cluster, caso não exista uma. Além disso, irá fornecer as permissões get, wrapKey e unwrapKey necessárias para o cluster do Azure Data Explorer no Key Vault selecionado e obter as propriedades Key Vault.

Nota

Selecione Desativar para remover a chave gerida pelo cliente depois de ter sido criada.

Atualizar a versão da chave

Quando cria uma nova versão de uma chave, terá de atualizar o cluster para utilizar a nova versão. Primeiro, ligue Get-AzKeyVaultKey para obter a versão mais recente da chave. Em seguida, atualize as propriedades do cofre de chaves do cluster para utilizar a nova versão da chave, conforme mostrado em Ativar a encriptação com chaves geridas pelo cliente.

Passos seguintes