Visão geral das chaves gerenciadas pelo cliente
O Registro de Contêiner do Azure criptografa automaticamente imagens e outros artefatos que você armazena. Por padrão, o Azure criptografa automaticamente o conteúdo do Registro em repouso usando chaves gerenciadas pelo serviço. Usando uma chave gerenciada pelo cliente, você pode complementar a criptografia padrão com uma camada de criptografia adicional.
Este artigo é a primeira parte de uma série de tutoriais de quatro partes. O tutorial abrange:
- Visão geral das chaves gerenciadas pelo cliente
- Habilitar uma chave gerenciada pelo cliente
- Girar e revogar uma chave gerenciada pelo cliente
- Solucionar problemas de uma chave gerenciada pelo cliente
Sobre chaves gerenciadas pelo cliente
Uma chave gerenciada pelo cliente lhe dá a propriedade de trazer sua própria chave no Cofre de Chaves do Azure. Ao habilitar uma chave gerenciada pelo cliente, você pode gerenciar suas rotações, controlar o acesso e as permissões para usá-la e auditar seu uso.
As principais funcionalidades incluem:
Conformidade regulamentar: o Azure encripta automaticamente o conteúdo do registo em repouso com chaves geridas pelo serviço, mas a encriptação de chaves gerida pelo cliente ajuda-o a cumprir as diretrizes de conformidade regulamentar.
Integração com o Azure Key Vault: as chaves geridas pelo cliente suportam a encriptação do lado do servidor através da integração com o Azure Key Vault. Com chaves gerenciadas pelo cliente, você pode criar suas próprias chaves de criptografia e armazená-las em um cofre de chaves. Ou você pode usar as APIs do Azure Key Vault para gerar chaves.
Gerenciamento do ciclo de vida das chaves: a integração de chaves gerenciadas pelo cliente com o Azure Key Vault oferece controle e responsabilidade totais pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
Antes de ativar uma chave gerenciada pelo cliente
Antes de configurar o Registro de Contêiner do Azure com uma chave gerenciada pelo cliente, considere as seguintes informações:
- Esse recurso está disponível na camada de serviço Premium para um registro de contêiner. Para obter mais informações, veja Escalões de serviço do Azure Container Registry (ACR).
- Atualmente, você pode habilitar uma chave gerenciada pelo cliente somente durante a criação de um registro.
- Não é possível desativar a criptografia depois de habilitar uma chave gerenciada pelo cliente em um registro.
- Você precisa configurar uma identidade gerenciada atribuída pelo usuário para acessar o cofre de chaves. Mais tarde, se necessário, você pode habilitar a identidade gerenciada atribuída pelo sistema do Registro para acesso ao cofre de chaves.
- O Registo de Contentores do Azure suporta apenas chaves RSA ou RSA-HSM. As teclas de curva elíptica não são suportadas no momento.
- Em um Registro criptografado com uma chave gerenciada pelo cliente, você pode reter logs para tarefas do Registro de Contêiner do Azure por apenas 24 horas. Para reter logs por um período mais longo, consulte Exibir e gerenciar logs de execução de tarefas.
- Atualmente, não há suporte para confiança de conteúdo em um registro criptografado com uma chave gerenciada pelo cliente.
Atualizar a versão da chave gerenciada pelo cliente
O Registro de Contêiner do Azure dá suporte à rotação automática e manual de chaves de criptografia do Registro quando uma nova versão de chave está disponível no Cofre de Chaves do Azure.
Importante
É uma consideração de segurança importante para um registro com criptografia de chave gerenciada pelo cliente atualizar (girar) frequentemente as versões de chave. Siga as políticas de conformidade da sua organização para atualizar regularmente as versões de chaves enquanto armazena uma chave gerenciada pelo cliente no Cofre de Chaves do Azure.
Atualizar automaticamente a versão da chave: quando um Registro é criptografado com uma chave sem versão, o Registro de Contêiner do Azure verifica regularmente o cofre de chaves em busca de uma nova versão de chave e atualiza a chave gerenciada pelo cliente em uma hora. Sugerimos que omita a versão da chave quando ativar a encriptação de registo com uma chave gerida pelo cliente. O Registro de Contêiner do Azure usará e atualizará automaticamente a versão de chave mais recente.
Atualizar manualmente a versão da chave: quando um Registro é criptografado com uma versão de chave específica, o Registro de Contêiner do Azure usa essa versão para criptografia até que você gire manualmente a chave gerenciada pelo cliente. Sugerimos que especifique a versão da chave quando ativar a encriptação do registo com uma chave gerida pelo cliente. O Registro de Contêiner do Azure usará uma versão específica de uma chave para criptografia do Registro.
Para obter detalhes, consulte Rotação de chaves e Atualização da versão da chave.
Próximos passos
- Para habilitar seu registro de contêiner com uma chave gerenciada pelo cliente usando a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager, avance para o próximo artigo: Habilitar uma chave gerenciada pelo cliente.
- Saiba mais sobre a criptografia em repouso no Azure.
- Saiba mais sobre as políticas de acesso e como proteger o acesso a um cofre de chaves.