Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma conta de armazenamento existente

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter mais controle sobre chaves de criptografia, você pode gerenciar suas próprias chaves. As chaves gerenciadas pelo cliente precisam ser armazenadas no Azure Key Vault ou no HSM (Modelo de Segurança de Hardware) Gerenciado do Key Vault.

Este artigo mostra como configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente quando a conta de armazenamento e o cofre de chaves estão no mesmo locatário. As chaves gerenciadas pelo cliente devem ser armazenadas em um cofre de chaves.

Para saber como configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento, confira Configurar chaves gerenciadas pelo cliente em um Azure Key Vault para uma nova conta de armazenamento.

Para saber como configurar a criptografia com chaves gerenciadas pelo cliente armazenadas em um HSM gerenciado, confira Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado pelo Azure Key Vault.

Observação

O Azure Key Vault e o HSM Gerenciado pelo Azure Key Vault oferecem suporte às mesmas APIs e interfaces de gerenciamento para configuração da chaves gerenciadas pelo cliente. Qualquer ação compatível com o Azure Key Vault também é compatível com o HSM Gerenciado do Azure Key Vault.

Configurar o cofre de chaves

Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário. Para saber mais sobre o Azure Key Vault, confira Visão geral do Azure Key Vault e O que é o Azure Key Vault?.

O uso de chaves gerenciadas pelo cliente com a criptografia do Armazenamento do Azure exige que a exclusão temporária e a proteção contra limpeza sejam habilitadas para o cofre de chaves. A exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou após sua criação.

O Azure Key Vault dá suporte à autorização com o RBAC do Azure por meio de um modelo de permissão de RBAC do Azure. A Microsoft recomenda usar o modelo de permissão de RBAC do Azure nas políticas de acesso do cofre de chaves. Para obter mais informações, confira Conceder permissão para aplicativos acessarem um cofre de chaves do Azure usando o RBAC do Azure.

Para saber como criar um cofre de chaves com o portal do Azure, confira Início Rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Habilitar proteção contra limpeza, conforme mostrado na imagem a seguir.

Captura de tela mostrando como habilitar a proteção contra limpeza ao criar um cofre de chaves.

Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:

  1. Navegue até o cofre de chaves no portal do Azure.
  2. Em Configurações, escolha Propriedades.
  3. Na seção Proteção contra limpeza, escolha Habilitar proteção contra limpeza.

Adicionar uma chave

Depois, adicione uma chave no cofre de chaves. Antes de adicionar a chave, verifique se você atribuiu a você mesmo a função de Key Vault Crypto Officer.

A criptografia do Armazenamento do Azure dá suporte às chaves RSA e RSA-HSM de tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave com suporte, confira Sobre chaves.

Para saber como adicionar uma chave com o portal do Azure, confira Início Rápido: definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.

Escolher uma identidade gerenciada para autorizar o acesso ao cofre de chaves

Ao habilitar as chaves gerenciadas pelo cliente em uma conta de armazenamento existente, você deve especificar uma identidade gerenciada a ser usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada precisa ter permissões para acessar a chave no cofre de chaves.

A identidade gerenciada que autoriza o acesso ao cofre de chaves pode ser uma identidade gerenciada atribuída pelo usuário ou atribuída pelo sistema. Para saber mais sobre as identidades gerenciadas atribuídas pelo sistema e as atribuídas pelo usuário, confira Tipos de identidade gerenciada.

Usar uma identidade gerenciada atribuída pelo usuário para autorizar o acesso

Ao habilitar as chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você precisa especificar uma identidade gerenciada atribuída pelo usuário. Uma conta de armazenamento existente dá suporte ao uso de uma identidade gerenciada atribuída pelo usuário ou de uma identidade gerenciada atribuída pelo sistema para configurar chaves gerenciada pelo cliente.

Ao configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, a identidade gerenciada atribuída pelo usuário é usada para autorizar o acesso ao cofre de chaves que contém a chave. Você precisa criar a identidade atribuída pelo usuário para configurar as chaves gerenciadas pelo cliente.

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Para saber mais sobre identidades gerenciadas atribuídas pelo usuário, confira Tipos de identidade gerenciada. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, confira Gerenciar identidades gerenciadas atribuídas pelo usuário.

A identidade gerenciada atribuída pelo usuário precisa ter as permissões para acessar a chave no cofre de chaves. Atribua a função de Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário no escopo do cofre de chaves para conceder essas permissões.

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, você deve atribuir a função Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo usuário, com escopo no cofre de chaves. Essa permissão concede à identidade gerenciada atribuída pelo usuário permissões para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções de RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Ao configurar as chaves gerenciadas pelo cliente com o portal do Azure, você pode selecionar uma identidade atribuída pelo usuário existente por meio da interface do usuário do portal.

Usar uma identidade gerenciada atribuída pelo sistema para autorizar o acesso

Uma identidade gerenciada atribuída pelo sistema está associada a uma instância de um serviço do Azure, nesse caso, uma conta do Armazenamento do Azure. Você precisa atribuir explicitamente uma identidade gerenciada atribuída pelo sistema a uma conta de armazenamento para usar a identidade gerenciada atribuída pelo sistema a fim de autorizar o acesso ao cofre de chaves que contém a chave gerenciada pelo cliente.

Somente as contas de armazenamento existentes podem usar uma identidade atribuída pelo sistema para autorizar o acesso ao cofre de chaves. As novas contas de armazenamento precisam usar uma identidade atribuída pelo usuário quando as chaves gerenciadas pelo cliente são configuradas na criação de conta.

A identidade gerenciada atribuída pelo sistema precisa ter as permissões para acessar a chave no cofre de chaves. Atribua a função de Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo sistema no escopo do cofre de chaves para conceder essas permissões.

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo sistema, você deve atribuir a função Usuário de Criptografia do Serviço Key Vault Crypto à identidade gerenciada atribuída pelo sistema, com escopo no cofre de chaves. Essa permissão concede à identidade gerenciada atribuída pelo sistema permissões para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções de RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Quando você configura chaves gerenciadas pelo cliente no portal do Azure com uma identidade gerenciada atribuída pelo sistema, essa identidade é atribuída à conta de armazenamento automaticamente.

Configurar chaves gerenciadas pelo cliente para uma conta existente

Ao configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente, você pode optar por atualizar automaticamente a versão da chave usada para a criptografia do Armazenamento do Azure sempre que uma nova versão estiver disponível no cofre de chaves associado. Como alternativa, você pode especificar explicitamente uma versão de chave a ser usada para criptografia até que a versão da chave seja atualizada manualmente.

Quando a versão da chave é alterada, seja automaticamente ou manualmente, a proteção da chave de criptografia raiz é alterada, mas os dados na sua conta de Armazenamento do Azure permanecem criptografados o tempo todo. Não há mais ações adicionais necessárias da sua parte para garantir que seus dados estejam protegidos. A rotação da versão chave não afeta o desempenho. Não há tempo de inatividade associado à rotação da versão da chave.

Você pode usar uma identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário para autorizar o acesso ao cofre de chaves ao configurar as chaves gerenciadas pelo cliente para uma conta de armazenamento existente.

Observação

Para girar uma chave, crie uma nova versão da chave no Azure Key Vault. O Armazenamento do Azure não lida com a rotação de chaves, portanto, você precisará gerenciar a rotação da chave no cofre de chaves. Você pode configurar a rotação automática de chaves no Azure Key Vault ou rotacionar a chave manualmente.

Configurar a criptografia para atualização automática das versões de chave

O Armazenamento do Azure pode atualizar automaticamente a chave gerenciada pelo cliente usada para criptografia para usar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica no cofre de chaves diariamente de há uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a usar a versão mais recente da chave para criptografia.

Importante

O Armazenamento do Azure verifica o cofre de chaves para detectar uma nova versão de chave apenas uma vez por dia. Ao rotacionar uma chave, aguarde 24 horas antes de desabilitar a versão mais antiga.

Para configurar as chaves gerenciadas pelo cliente de uma conta existente com a atualização automática de versão da chave no portal do Azure, siga as etapas abaixo:

  1. Navegue para sua conta de armazenamento.

  2. Em Segurança + rede, selecione Criptografia. Por padrão, o gerenciamento de chaves é definido como Chaves Gerenciadas pela Microsoft, conforme mostrado na imagem abaixo:

    Captura de tela mostrando as opções de criptografia no portal do Azure.

  3. Selecione a opção Chaves Gerenciadas pelo Cliente. Se a conta tiver sido configurada anteriormente para Chaves Gerenciadas pelo Cliente com a atualização manual de versão da chave, selecione Alterar chave na parte inferior da página.

  4. Escolha a opção Selecionar do Cofre de chaves.

  5. Selecione Selecionar um cofre de chaves e uma chave.

  6. Selecione o cofre de chaves que contém a chave que você deseja usar. Você também pode criar um novo cofre de chaves.

  7. Selecione a chave no cofre de chaves. Você também pode criar uma nova chave.

    Captura de tela mostrando como selecionar o cofre de chaves e a chave no portal do Azure.

  8. Selecione o tipo de identidade a ser usado para autenticar o acesso ao cofre de chaves. As opções incluem Atribuída pelo sistema (o padrão) ou Atribuída pelo usuário. Para saber mais sobre cada tipo de identidade gerenciada, consulte Tipos de identidade gerenciada.

    1. Se você selecionar Atribuída pelo sistema, a identidade gerenciada atribuída pelo sistema para a conta de armazenamento será criada nos bastidores, se ainda não existir.
    2. Se selecionar Atribuída pelo usuário, você deverá selecionar uma identidade atribuída pelo usuário existente que tenha permissões para acessar o cofre de chaves. Para saber como criar uma identidade atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

    Captura de tela mostrando como selecionar uma identidade gerenciada atribuída pelo usuário para autenticação do cofre de chaves.

  9. Salve suas alterações.

Depois de especificar a chave, o portal do Azure indica que a atualização automática da versão da chave está habilitada e exibe a versão da chave atualmente em uso para criptografia. O portal também exibe o tipo de identidade gerenciada usada para autorizar o acesso ao cofre de chaves e à ID da entidade de segurança da identidade gerenciada.

Captura de tela mostrando a atualização automática da versão de chave habilitada.

Configurar a criptografia para atualização manual das versões de chave

Se você preferir atualizar manualmente a versão da chave, especifique explicitamente a versão no momento em que configurar a criptografia com chaves gerenciadas pelo cliente. Nesse caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando uma nova versão for criada no cofre de chaves. Para usar uma nova versão de chave, você precisa atualizar manualmente a versão usada na criptografia do Armazenamento do Azure.

Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão de chave no portal do Azure, especifique o URI da chave, incluindo a versão. Para especificar uma chave como um URI, siga estas etapas:

  1. Para localizar o URI da chave no portal do Azure, navegue até o cofre de chaves e selecione a configuração Chaves. Selecione a chave desejada e depois clique na chave para visualizar as versões. Selecione uma versão da chave para ver as configurações dessa versão.

  2. Copie o valor do campo Identificador da Chave, que fornece o URI.

    Captura de tela mostrando o URI da chave do cofre de chaves no portal do Azure.

  3. Nas configurações de Chave de criptografia para a conta de armazenamento, escolha a opção Inserir URI da chave.

  4. Cole o URI que você copiou no campo URI da Chave. Omita a versão de chave do URI para habilitar a atualização automática da versão de chave.

    Captura de tela mostrando como inserir o URI da chave no portal do Azure.

  5. Especifique a assinatura que contém o cofre de chaves.

  6. Especifique uma identidade gerenciada atribuída pelo sistema ou pelo usuário.

  7. Salve suas alterações.

Alterar a chave

Você pode alterar a chave que está usando para a criptografia de Armazenamento do Azure a qualquer momento.

Observação

Quando você atualiza a chave ou sua versão, a proteção da chave de criptografia raiz é alterada, mas os dados em sua conta do Armazenamento do Azure permanecem criptografados o tempo todo. Não há mais nenhuma ação necessária da sua parte para garantir que seus dados estejam protegidos. Alterar a chave ou girar a versão da chave não afeta o desempenho. Não há tempo de inatividade associado à alteração ou rotação da versão da chave.

Para alterar a chave com o portal do Azure, siga estas etapas:

  1. Navegue até a conta de armazenamento e exiba as configurações de Criptografia.
  2. Selecione o cofre de chaves e escolha uma nova chave.
  3. Salve suas alterações.

Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você optar pela atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.

Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente

Para revogar temporariamente o acesso a uma conta de armazenamento que está usando chaves gerenciadas pelo cliente, desabilite a chave que está sendo usada atualmente no cofre de chaves. Não há nenhum impacto no desempenho ou tempo de inatividade associado à desabilitação e reabilitação da chave.

Depois que a chave é desativada, os clientes não podem chamar operações que leem ou gravam em um blob ou em seus metadados. Para obter informações sobre quais operações falharão, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Cuidado

Quando você desabilitar a chave no cofre de chaves, os dados em sua conta do Armazenamento do Azure permanecerão criptografados, mas ficarão inacessíveis até que você reabilite a chave.

Para desabilitar uma chave gerenciada pelo cliente com o portal do Azure, siga estas etapas:

  1. Navegue até o cofre de chaves que contém a chave.

  2. Em Objetos, selecione Chaves.

  3. Clique com o botão direito do mouse na chave e selecione Desabilitar.

    Captura de tela mostrando como desabilitar uma chave gerenciada pelo cliente no cofre de chaves.

Voltar para chaves gerenciadas pela Microsoft

Você pode sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft a qualquer momento, usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para sair das chaves gerenciadas pelo cliente e voltar para as chaves gerenciadas pela Microsoft no portal do Azure, siga estas etapas:

  1. Navegue para sua conta de armazenamento.

  2. Em Segurança + rede, selecione Criptografia.

  3. Altere o Tipo de criptografia para Chaves gerenciadas pela Microsoft.

    Captura de tela mostrando como alternar para chaves gerenciadas pela Microsoft para uma conta de armazenamento.

Próximas etapas