Usar chaves gerenciadas pelo cliente no Azure Key Vault para o serviço de Importação/Exportação

  • Artigo

A Importação/Exportação do Azure protege as chaves do BitLocker usadas para bloquear as unidades por meio de uma chave de criptografia. Por padrão, as chaves do BitLocker são criptografadas com chaves gerenciadas pela Microsoft. Para obter mais controle sobre as chaves de criptografia, você também pode fornecer chaves gerenciadas pelo cliente.

As chaves gerenciadas pelo cliente devem ser criadas e armazenadas em um Azure Key Vault. Para obter mais informações sobre o Cofre da Chave do Azure, consulte O que é o Cofre da Chave do Azure?

Este artigo mostra como usar chaves gerenciadas pelo cliente com o serviço de Importação/Exportação no portal do Azure.

Pré-requisitos

Antes de começar, verifique se:

  1. Você criou um trabalho de importação ou de exportação de acordo com as instruções em:

  2. Você tem um Azure Key Vault existente com uma chave que pode ser usada para proteger sua chave do BitLocker. Para saber como criar um cofre de chaves usando o portal do Azure, confira Início Rápido: Criar um Azure Key Vault usando o portal do Azure.

    • Exclusão temporária e Não limpar estão definidos no seu Key Vault. Por padrão, essas propriedades não são habilitadas. Para habilitar essas propriedades, confira as seções Como habilitar a exclusão temporária e Como habilitar a proteção contra a limpeza em um dos seguintes artigos:

    • O cofre de chaves existente deve ter uma chave RSA de tamanho 2048 ou maior. Para obter mais informações sobre chaves, confira Sobre chaves.

    • O cofre de chaves deve estar na mesma região da conta de armazenamento dos seus dados.

    • Caso não tenha um Azure Key Vault, você pode criá-lo embutido, conforme descrito na seção a seguir.

Habilitar chaves

A configuração da chave gerenciada pelo cliente para o serviço de Importação/Exportação é opcional. Por padrão, o serviço de Importação/Exportação usa uma chave gerenciada pela Microsoft para proteger a sua chave do BitLocker. Para habilitar chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:

  1. Vá para a folha Visão geral do seu trabalho de Importação.

  2. No painel direito, selecione Escolher como as chaves do BitLocker são criptografadas.

    Captura de tela da folha de Visão geral para o trabalho de Importação/Exportação do Azure. O item de menu de Visão geral e o link que abre as opções de chave do BitLocker estão realçados.

  3. Na folha Criptografia, é possível exibir e copiar a chave do BitLocker do dispositivo. Em Tipo de criptografia,você pode escolher como deseja proteger sua chave do BitLocker. Por padrão, é usada uma chave gerenciada pela Microsoft.

    Captura de tela da folha Criptografia de um pedido de Importação/Exportação do Azure. O item de menu de Criptografia está realçado.

  4. Você tem a opção de especificar uma chave gerenciada pelo cliente. Depois de selecionar a chave gerenciada pelo cliente, Selecione o cofre de chaves e uma chave.

    Captura de tela da folha Criptografia para o trabalho de Importação/Exportação do Azure. A opção

  5. Na folha Selecionar chave do Azure Key Vault, a assinatura é preenchida automaticamente. Para Cofre de chaves, você pode selecionar um cofre de chaves existente na lista suspensa.

    Captura da tela

  6. Você também pode selecionar Criar para criar um cofre de chaves. Na folha Criar cofre de chaves, insira o grupo de recursos e um nome para o cofre de chaves. Aceite todos os outros valores padrão. Selecione Examinar + criar.

    Captura da tela

  7. Examine as informações associadas ao seu cofre de chaves e selecione Criar. Aguarde alguns minutos até que a criação do cofre de chaves esteja concluída.

    Captura da tela Revisar + Criar de um novo cofre de chaves do Azure. O botão Criar está realçado.

  8. Em Selecionar chave do Azure Key Vault, você pode selecionar uma chave existente no cofre de chaves.

  9. Se você criou um novo cofre de chaves, selecione Criar nova para criar uma chave. O tamanho da chave RSA pode ser 2048 ou maior.

    Captura da tela

    Se, ao criar o cofre de chaves, a exclusão temporária e a proteção de limpeza não estiverem habilitadas, o cofre de chaves será atualizado para ter ambas habilitadas.

  10. Insira um nome para a nova chave, aceite os outros valores padrão e selecione Criar.

    Captura da tela

  11. Selecione a Versão e, em seguida, escolha Selecionar. Você será notificado de que uma chave foi criada no seu cofre de chaves.

    Captura da tela

Na folha Criptografia, é possível ver o cofre de chaves e a chave selecionada como chave gerenciada pelo cliente.

Importante

Você só pode desabilitar chaves gerenciadas da Microsoft, mas pode mudar para chaves gerenciadas pelo cliente em qualquer estágio do trabalho de importação/exportação. No entanto, você não pode desabilitar a chave gerenciada pelo cliente depois de criá-la.

Solucionar erros de chave gerenciada pelo cliente

Se você receber erros relacionados à chave gerenciada pelo cliente, use a tabela a seguir para solucionar problemas:

Código do erro Detalhes Recuperáveis?
CmkErrorAccessRevoked O acesso à chave gerenciada pelo cliente foi revogado. Sim, verifique se:
  1. O cofre de chaves ainda tem o MSI na política de acesso.
  2. A política de acesso tem as permissões de Obter, Encapsular e Desencapsular habilitadas.
  3. Se o cofre de chaves estiver em uma VNet por trás do firewall, verifique se Permitir os serviços confiáveis da Microsoft está habilitado.
  4. Verifique se o MSI do recurso de trabalho foi redefinido para None usando APIs.
    Se sim, defina o valor de volta para Identity = SystemAssigned. Isso recria a identidade para o recurso de trabalho.
    Depois que a nova identidade tiver sido criada, habilite as permissões Get, Wrap e Unwrap para a nova identidade na política de acesso do cofre de chaves
CmkErrorKeyDisabled A chave gerenciada pelo cliente está desabilitada. Sim, habilitando a versão da chave
CmkErrorKeyNotFound Não é possível localizar a chave gerenciada pelo cliente. Sim, se a chave tiver sido excluída, mas ainda estiver dentro do período de limpeza, usando Desfazer remoção de chave do Key Vault.
Else,
  1. Sim, se o cliente tiver a chave em backup e a restaurar.
  2. No, otherwise.
CmkErrorVaultNotFound Não é possível encontrar o cofre de chaves da chave gerenciada pelo cliente. Se o cofre de chaves tiver sido excluído:
  1. Sim, se estiver na duração da proteção de limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção de limpeza.

Else se o cofre de chaves tiver sido migrado para um locatário diferente, sim, ele poderá ser recuperado usando uma das etapas a seguir:
  1. Reverter o cofre de chaves de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite as permissões Get, Wrap e Unwrap para a nova identidade na política de Acesso do Key Vault.

Próximas etapas