Girar e revogar uma chave gerenciada pelo cliente

Este artigo é a parte três de uma série de tutoriais de quatro partes. A parte um, fornece uma visão geral das chaves gerenciadas pelo cliente, seus recursos e considerações antes de habilitar uma em seu Registro. Na parte dois, você aprenderá como habilitar uma chave gerenciada pelo cliente usando a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager. Este artigo orienta você na rotação, atualização e revogação de uma chave gerenciada pelo cliente.

Girar uma chave gerenciada pelo cliente

Para girar uma chave, no Azure Key Vault, atualize a versão da chave ou crie uma nova. Ao girar a chave, você pode especificar a mesma identidade usada para criar o Registro.

Como opção, é possível:

  • Configure uma nova identidade atribuída pelo usuário para acessar a chave.
  • Habilite e especifique a identidade atribuída pelo sistema do Registro.

Observação

Para habilitar a identidade atribuída ao sistema do registro no portal, selecione Configurações>Identidade e defina o status da identidade atribuída ao sistema como Ativado.

Verifique se o acesso ao cofre de chaves obrigatório está definido para a identidade que você configurou para o acesso à chave.

Criar ou atualizar a versão da chave usando a CLI do Azure

Para criar uma versão de chave, execute o comando az keyvault key create:

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Se o Registro estiver configurado para detectar atualizações de versão de chave, a chave gerenciada pelo cliente será atualizada automaticamente em até uma hora.

Se o Registro estiver configurado para atualização manual para uma nova versão de chave, execute o comando az-acr-encryption-rotate-key. Passe a nova ID de chave e a identidade que você deseja configurar.

Dica

Ao executar o az-acr-encryption-rotate-key, você pode transmitir uma ID de chave com controle de versão ou uma ID de chave sem controle de versão. Se você usar uma ID de chave sem controle de versão, o Registro será configurado para detectar automaticamente as atualizações da versão de chave mais tarde.

Para atualizar uma versão de chave gerenciada pelo cliente manualmente, você tem três opções:

  • Gire a chave e use uma ID do cliente de uma identidade gerenciada.

Se você estiver usando a chave de um cofre de chaves diferente, verifique se identity tem as permissões get, wrap e unwrap nesse cofre de chaves.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <client ID of a managed identity>
  • Girar a chave e usar a identidade atribuída pelo usuário.

Antes de usar a identidade atribuída pelo usuário, verifique se as permissões get, wrap e unwrap estão atribuídas a ela.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <id of user assigned identity>
  • Girar a chave e usar a identidade atribuída pelo sistema.

Antes de usar a identidade atribuída pelo sistema, verifique se as permissões get, wrap e unwrap estão atribuídas a ela.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Criar ou atualizar a versão da chave usando o portal do Azure

Use as configurações de Criptografia do Registro para atualizar o cofre de chaves, a chave ou as configurações de identidade usadas para a chave gerenciada pelo cliente.

Por exemplo, para configurar uma nova chave:

  1. No portal, vá para o Registro.

  2. Em Configurações, selecione Criptografia>Alterar chave.

    Captura de tela das opções de chave de criptografia no portal do Azure.

  3. Em Criptografia, escolha uma das seguintes opções:

    • Escolha Selecionar do Key Vault e selecione um cofre de chaves e chave existentes ou Criar outro. A chave selecionada não tem controle de versão e habilita a rotação de chaves automática.
    • Selecione Inserir URI de chave e forneça um identificador de chave diretamente. Você pode fornecer um URI de chave com controle de versão (para uma chave que deve ser girada manualmente) ou um URI de chave sem controle de versão (que habilita a rotação de chaves automática).
  4. Conclua a seleção de chave e escolha Salvar.

Revogar chaves gerenciadas pelo cliente

É possível revogar a chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.

Para alterar a política de acesso da identidade gerenciada usada pelo seu Registro, execute o comando az-keyvault-delete-policy:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Para excluir as versões individuais de uma chave, execute o comando az-keyvault-key-delete. Essa operação requer a permissão de exclusão/chaves.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \                     

Observação

A revogação de uma chave gerenciada pelo cliente bloqueará o acesso a todos os dados do registro. Se você habilitar o acesso à chave ou restaurar uma chave excluída, o Registro escolherá a chave e você poderá recuperar o controle sobre o acesso aos dados criptografados do Registro.

Próximas etapas

Avance para o próximo artigo para solucionar problemas mais comuns, como erros ao remover uma identidade gerenciada, erros 403 e restaurar exclusões acidentais de chave.