Usar chaves gerenciadas pelo cliente no Azure Key Vault para Azure Data Box

  • Artigo

Azure Data Box protege a chave de desbloqueio do dispositivo (também conhecida como a senha do dispositivo), que é usada para bloquear um dispositivo, por meio de uma chave de criptografia. Por padrão, essa chave de criptografia é uma chave gerenciada da Microsoft. Para ter mais controle, use uma chave gerenciada pelo cliente.

Uma chave gerenciada pelo cliente não afeta como os dados no dispositivo são criptografados. Ele afeta apenas como a chave de desbloqueio do dispositivo é criptografada.

Para manter esse nível de controle ao longo do processo de pedido, use uma chave gerenciada pelo cliente ao criar seu pedido. Para mais informações, confira Tutorial: Solicitar o Azure Data Box.

Este artigo mostra como habilitar uma chave gerenciada pelo cliente para sua ordem de Data Box existente no portal do Azure. Você descobrirá como alterar o cofre de chaves, a chave, a versão ou a identidade de sua chave atual gerenciada pelo cliente ou voltar a usar uma chave gerenciada da Microsoft.

Este artigo se aplica aos dispositivos Azure Data Box e Azure Data Box Heavy.

Requisitos

A chave gerenciada pelo cliente para uma ordem de Data Box deve atender aos seguintes requisitos:

  • A chave deve ser criada e armazenada em um Azure Key Vault que tenha exclusão reversível e não a limpeza seja habilitada. Para obter mais informações, veja O que é o Cofre da Chave do Azure?. Você pode criar um cofre de chaves e uma chave ao criar ou atualizar seu pedido.
  • A chave deve ser uma chave RSA de tamanho de 2048 ou maior.
  • Habilite as permissões Get, UnwrapKey e WrapKey da chave no Azure Key Vault. As permissões devem permanecer ativas durante o tempo de vida do pedido. Caso contrário, não será possível acessar a chave gerenciada pelo cliente no início da fase de Cópia de Dados.

Habilitar chave

Para habilitar uma chave gerenciada pelo cliente para seu pedido de Data Box existente no portal do Azure, siga esses passos:

  1. Vá para a tela de Visão geral do seu pedido de Data Box.

    Tela de visão geral de um pedido Data Box -1

  2. Vá para Configurações > Criptografia, e selecione Chave gerenciada pelo Cliente. Em seguida, selecione Selecionar um cofre de chaves e uma chave.

    Selecione a opção de criptografia de chave gerenciada pelo cliente

    Na tela Selecionar chave do Azure Key Vault, a assinatura é preenchida automaticamente.

  3. Para o cofre de chaves, você pode selecionar um cofre de chaves existente na lista suspensa ou selecionar criar novo e criar um novo cofre de chaves.

    Opções do Key Vault ao selecionar uma chave gerenciada pelo cliente

    Para criar um novo cofre de chaves, insira a assinatura, o grupo de recursos, o nome do cofre de chaves e outras informações na tela criar novo cofre de chaves. Nas Opções de Recuperação Verifique se as opções Exclusão temporária e Proteção contra limpeza estão habilitadas. Em seguida, selecione Examinar + Criar.

    Revisar e criar Azure Key Vault

    Examine as informações do seu cofre de chaves e selecione Criar. Aguarde alguns minutos até que a criação do cofre de chaves seja concluída.

    Criar Azure Key Vault com suas configurações

  4. Na tela selecionar chave de Azure Key Vault, você pode selecionar uma chave existente no cofre de chaves ou criar uma nova.

    Tela Selecionar chave do Azure Key Vault

    Se você desejar criar uma chave, selecione Criar. Você precisa usar uma chave RSA. O tamanho pode ser 2048 ou maior.

    Criar uma nova chave no Azure Key Vault

    Insira um nome para a nova chave, aceite os outros padrões e selecione Criar. Você será notificado quando a chave tiver sido criada no cofre de chaves.

    Nomeie a nova chave

  5. Para Versão, você pode selecionar uma versão de chaves existente na lista suspensa.

    Selecionar versão para nova chave

    Se você deseja gerar uma nova versão da chave, selecione Criar novo.

    Abrir uma caixa de diálogo para criar uma versão de chave

    Escolha configurações para a nova versão de chave e selecione Criar.

    Criar uma versão da chave

  6. Quando você tiver selecionado um cofre de chaves, uma chave e uma versão de chave, escolha Selecionar.

    Criar uma chave em Cofre de chaves do Azure

    As configurações de Tipo de Criptografia mostram o cofre de chaves e a chave que você escolheu.

    Chave e cofre de chaves para uma chave gerenciada pelo cliente

  7. Selecione o tipo de identidade a ser usado para gerenciar a chave gerenciada pelo cliente para este recurso. Você pode usar a identidade atribuída pelo sistema que foi gerada durante a criação do pedido ou escolher uma identidade atribuída pelo usuário.

    Uma identidade atribuída pelo usuário é um recurso independente que você pode usar para gerenciar o acesso aos recursos. Para obter mais informações, confira Tipos de identidade gerenciada.

    Selecione o tipo de identidade

    Para atribuir uma identidade de usuário, selecione usuário atribuído. Em seguida, selecione selecionar uma identidade de usuárioe selecione a identidade gerenciada que você deseja usar.

    Selecione uma identidade para utilizar

    Você não pode criar uma nova identidade de usuário aqui. Para descobrir como criar um, consulte Criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o Portal do Azure.

    A Identidade de usuário selecionada mostrada nas configurações Tipo de criptografia.

    Uma identidade de usuário selecionada mostrada nas configurações Tipo de criptografia

  8. Selecione salvar para salvar as configurações de tipo de criptografia atualizadas.

    Salve sua chave gerenciada pelo cliente

    A URL da chave é exibida em Tipo de criptografia.

    URI da Chave Gerenciada pelo Cliente

Importante

Habilite as permissões Get, UnwrapKey e WrapKey na chave. Para definir as permissões na CLI do Azure, confira az keyvault set-policy.

Alterar a chave

Para alterar o cofre de chaves, a chave e/ou a versão de chave para a chave gerenciada pelo cliente que você está usando no momento, siga estas etapas:

  1. Na tela de Visão Geral de seu Pedido de Data Box, acesse Configurações > Criptografiae clique em Alterar chave.

    Tela de visão geral de um pedido de Data Box com a chave gerenciada pelo cliente-1

  2. Escolha Selecionar um cofre de chaves e uma chave diferentes.

    Tela de visão geral de um pedido de Data Box, selecione uma chave diferente e a opção Key Vault

  3. A tela selecionar chave da chave do cofre de chaves mostra a assinatura, mas nenhum cofre de chaves, chave ou versão de chave. Você pode fazer algumas das seguintes alterações:

    • Selecione uma chave diferente do mesmo cofre de chaves. Você precisará selecionar o cofre de chaves antes de selecionar a chave e a versão.

    • Selecione um cofre de chaves diferente e atribua uma nova chave.

    • Altere a versão da chave atual.

    Ao concluir as alterações, escolha Selecionar.

    Escolher as opções de criptografia - 2

  4. Selecione Salvar.

    Salvar configurações de criptografia atualizadas-1

Importante

Habilite as permissões Get, UnwrapKey e WrapKey na chave. Para definir as permissões na CLI do Azure, confira az keyvault set-policy.

Alterar a identidade

Se você quiser alterar a identidade usada para gerenciar o acesso à chave gerenciada pelo cliente para esse pedido, siga estas etapas:

  1. Na tela de Visão Geral de seu Pedido de Data Box, acesse Configurações > Criptografia.

  2. Faça algumas das seguintes alterações:

    • Para alterar para uma identidade de usuário diferente, clique em Selecionar uma identidade de usuário diferente. Em seguida, selecione uma identidade diferente no painel no lado direito da tela e escolha Selecionar.

      Opção para alterar a identidade atribuída pelo usuário para uma chave gerenciada pelo cliente

    • Para alternar para a identidade atribuída pelo sistema gerada durante a criação do pedido, selecione sistema atribuído por Selecionar tipo de identidade.

      Opção para alterar para um atribuído pelo sistema para uma chave gerenciada pelo cliente

  3. Selecione Salvar.

    Salvar configurações de criptografia atualizadas-2

Usar as chaves gerenciadas pela Microsoft

Para alterar o uso de uma chave gerenciada pelo cliente para a chave gerenciada da Microsoft para seu pedido, siga estas etapas:

  1. Na tela de Visão Geral de seu Pedido de Data Box, acesse Configurações > Criptografia.

  2. Em Selecionar tipo, selecione chave gerenciada da Microsoft.

    Tela de visão geral de um pedido Data Box -5

  3. Selecione Salvar.

    Salvar configurações de criptografia atualizadas para uma chave gerenciada da Microsoft

Solucionar problemas de erros

Se você receber erros relacionados à chave gerenciada pelo cliente, use a tabela a seguir para solucionar problemas.

Código do erro Detalhes do erro Recuperáveis?
SsemUserErrorEncryptionKeyDisabled Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente está desativada. Sim, habilitando a versão da chave.
SsemUserErrorEncryptionKeyExpired Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente expirou. Sim, habilitando a versão da chave.
SsemUserErrorKeyDetailsNotFound Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente não foi encontrada. Se você excluiu o cofre de chaves, não é possível recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte alterar uma ID de locatário do cofre de chaves após a movimentação de uma assinatura. Se você excluiu o cofre de chaves:
  1. Sim, se estiver na duração da proteção de limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção de limpeza.

Caso contrário, se o cofre de chaves sofreu uma migração de locatário, sim, ele poderá ser recuperado usando uma das etapas a seguir:
  1. Reverter o cofre de chaves de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite as permissões Get, WrapKey e UnwrapKey para a nova identidade na política de Acesso do Key Vault.
SsemUserErrorKeyVaultBadRequestException Foi aplicada uma chave gerenciada pelo cliente, mas o acesso à chave não foi permitido, foi revogado ou não foi possível acessar o cofre de chaves porque o firewall está habilitado. Adicione a identidade selecionada ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Se o firewall do cofre de chaves estiver habilitado, mude para uma identidade atribuída pelo sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKeyVaultDetailsNotFound Não foi possível buscar a chave de acesso porque o cofre de chaves associado à chave gerenciada pelo cliente não foi encontrado. Se você excluiu o cofre de chaves, não é possível recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte alterar uma ID de locatário do cofre de chaves após a movimentação de uma assinatura. Se você excluiu o cofre de chaves:
  1. Sim, se estiver na duração da proteção de limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção de limpeza.

Caso contrário, se o cofre de chaves sofreu uma migração de locatário, sim, ele poderá ser recuperado usando uma das etapas a seguir:
  1. Reverter o cofre de chaves de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite as permissões Get, WrapKey e UnwrapKey para a nova identidade na política de Acesso do Key Vault.
SsemUserErrorSystemAssignedIdentityAbsent Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente não foi encontrada. Sim, verifique se:
  1. O cofre de chaves ainda tem o MSI na política de acesso.
  2. A identidade é do tipo atribuído pelo Sistema.
  3. Habilite as permissões Get, WrapKey e UnwrapKey para a identidade na política de acesso do cofre de chaves. Essas permissões devem permanecer ativas durante o tempo de vida do pedido. Elas são usadas durante a criação do pedido e no início da fase de cópia de dados.
SsemUserErrorUserAssignedLimitReached Falha ao adicionar uma Identidade Atribuída ao Usuário porque você atingiu o número limite total de identidades atribuídas ao usuário que podem ser adicionadas. Antes de tentar novamente, repita a operação com menos identidades de usuário ou remova algumas identidades atribuídas pelo usuário do recurso.
SsemUserErrorCrossTenantIdentityAccessForbidden Falha na operação de acesso de identidade gerenciada.
Observação: esse erro pode ocorrer quando uma assinatura é movida para um locatário diferente. O cliente precisa mover a identidade manualmente para o novo locatário.		 Tente adicionar outra identidade atribuída ao usuário ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Ou mova a identidade para o novo locatário no qual a assinatura está presente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKekUserIdentityNotFound Uma chave gerenciada pelo cliente foi aplicada, mas a identidade atribuída ao usuário que tem acesso à chave não foi encontrada no diretório ativo.
Observação: esse erro pode ocorrer quando uma identidade de usuário é excluída do Azure.		 Tente adicionar outra identidade atribuída ao usuário ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorUserAssignedIdentityAbsent Não foi possível buscar a chave de acesso porque a chave gerenciada pelo cliente não foi encontrada. Não foi possível acessar a chave gerenciada pelo cliente. A identidade atribuída pelo usuário (UAI) associada à chave foi excluída ou o tipo UAI foi alterado.
SsemUserErrorKeyVaultBadRequestException Aplicou uma chave gerenciada pelo cliente, mas o acesso à chave não foi concedido, foi revogado ou não foi possível acessar o cofre de chaves porque um firewall está habilitado. Adicione a identidade selecionada ao cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Se o firewall do cofre de chaves estiver habilitado, mude para uma identidade atribuída pelo sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorEncryptionKeyTypeNotSupported Essa operação não suporta esse tipo de chave de criptografia. Habilite um tipo de criptografia com suporte na chave, por exemplo, RSA ou RSA-HSM. Para obter mais informações, confira Tipos de chave, algoritmos e operações.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled A exclusão temporária ou a proteção contra limpeza não estão habilitadas no cofre de chaves. Habilite a exclusão temporária e a proteção contra limpeza no cofre de chaves.
SsemUserErrorInvalidKeyVaultUrl
(Somente linha de comando)		 Um URI inválido do cofre de chaves foi usado. Obter o URI correto do cofre de chaves. Para obter o URI do cofre de chaves, use Get-AzKeyVault no PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Apenas o HTTPS tem suporte para transmitir o URI do cofre de chaves. Transmita o URI do cofre de chaves por HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost O host de URI do cofre de chaves não é permitido na região geográfica. Na nuvem pública, o URI do cofre de chaves deve terminar com vault.azure.net. Na nuvem do Azure Governamental, o URI do cofre de chaves deve terminar com vault.usgovcloudapi.net.
Erro genérico Não foi possível buscar a chave de acesso. Esse erro é genérico. Entre em contato com Suporte da Microsoft para solucionar o erro e determinar as próximas etapas.

Próximas etapas