Criar uma conta que dê suporte a chaves gerenciadas pelo cliente para tabelas e filas
O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, o armazenamento de filas e de tabelas usa uma chave que tem como escopo o serviço e é gerenciado pela Microsoft. Você também pode optar por usar chaves gerenciadas pelo cliente para criptografar dados de fila ou de tabela. Para usar chaves gerenciadas pelo cliente com filas e tabelas, você deve primeiro criar uma conta de armazenamento que use uma chave de criptografia com escopo para a conta, e não para o serviço. Depois de criar uma conta que usa a chave de criptografia da conta para dados de fila e tabela, você pode configurar chaves gerenciadas pelo cliente para essa conta de armazenamento.
Este artigo descreve como criar uma conta de armazenamento que se baseia em uma chave que tem como escopo a conta. Quando a conta é criada pela primeira vez, a Microsoft usa a chave de conta para criptografar os dados na conta e a Microsoft gerencia a chave. Posteriormente, você poderá configurar chaves gerenciadas pelo cliente para a conta para aproveitar esses benefícios, incluindo a capacidade de fornecer suas chaves, atualizar a versão da chave, girar as chaves e revogar controles de acesso.
Criar uma conta que usa a chave de criptografia da conta
Você deve configurar uma nova conta de armazenamento para usar a chave de criptografia da conta para filas e tabelas ao criar a conta de armazenamento. O escopo da chave de criptografia não pode ser alterado depois que a conta é criada.
A conta de armazenamento deve ser do tipo uso geral v2. É possível criar a conta de armazenamento e configurá-la para contar com a chave de criptografia da conta usando o portal do Azure, o PowerShell, a CLI do Azure ou um modelo do Azure Resource Manager.
Para saber mais sobre como criar uma conta de armazenamento, consulte Cria uma conta de armazenamento.
Observação
Apenas o armazenamento de filas e de tabelas pode ser configurado opcionalmente para criptografar dados com a chave de criptografia da conta quando a conta de armazenamento é criada. O Armazenamento de Blobs e os Arquivos do Azure sempre usam a chave de criptografia da conta para criptografar dados.
Para criar uma conta de armazenamento que depende da chave de criptografia da conta com o portal do Azure, siga estas etapas:
No menu esquerdo do portal, selecione Contas de armazenamento para exibir uma lista das contas de armazenamento.
Na página Contas de armazenamento, selecione Nova.
Preencha os campos na guia Básico.
Na guia Avançado, localize a seção Tabelas e Filas e selecione Ativar suporte para chaves gerenciadas pelo cliente.
Após criar uma conta que depende da chave de criptografia da conta, você poderá configurar as chaves gerenciadas pelo cliente que são armazenadas no Azure Key Vault ou no HSM (Modelo de Segurança de Hardware) gerenciado pelo Key Vault . Para saber como armazenar as chaves gerenciadas pelo cliente em um cofre de chaves, confira Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Azure Key Vault. Para saber como armazenar as chaves gerenciadas pelo cliente em um HSM gerenciado, consulte Configurar a criptografia com chaves gerenciadas pelo cliente no HSM gerenciado pelo Azure Key Vault.
Verificar a chave de criptografia da conta
Após criar a conta, você poderá verificar se a conta de armazenamento está usando uma chave de criptografia com escopo para a conta usando o portal do Azure, o PowerShell ou a CLI do Azure.
Para verificar se um serviço em uma conta de armazenamento está usando uma chave de criptografia com escopo para a conta com o portal do Azure, siga estas etapas:
Navegue até sua nova conta de armazenamento no portal do Azure.
Na seção Segurança + Rede, selecione Criptografia.
Se a conta de armazenamento foi criada para depender da chave de criptografia da conta, você verá na guia Criptografia que as chaves gerenciadas pelo cliente poderão ser habilitadas para todos os quatro serviços de Armazenamento do Microsoft Azure: blobs, arquivos, tabelas e filas.
Após verificar se a conta de armazenamento está usando uma chave de criptografia com escopo para a conta, você poderá habilitar as chaves gerenciadas pelo cliente para a conta. Todos os quatro serviços de Armazenamento do Azure – blobs, arquivos, tabelas e filas – usarão a chave gerenciada pelo cliente para criptografia.
Preços e cobrança
Uma conta de armazenamento que é criada para usar uma chave de criptografia com escopo para a conta é cobrada pela capacidade de armazenamento de tabelas e pelas transações a uma taxa diferente de uma conta que usa a chave de escopo de serviço padrão. Para obter detalhes, confira Preços do Armazenamento de Tabelas do Azure.
Próximas etapas
- Criptografia do Armazenamento do Azure para dados em repouso
- Chaves gerenciadas pelo cliente para criptografia do Armazenamento do Azure
- Configurar a criptografia com as chaves gerenciadas pelo cliente armazenadas no Azure Key Vault
- Configure a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado pelo Azure Key Vault