Configurar chaves geridas pelo cliente

O Azure Data Explorer encripta todos os dados numa conta de armazenamento inativo. Por predefinição, os dados são encriptados com chaves geridas pela Microsoft. Para um controlo adicional sobre chaves de encriptação, pode fornecer chaves geridas pelo cliente para utilizar para encriptação de dados.

As chaves geridas pelo cliente têm de ser armazenadas num Key Vault do Azure. Pode criar as suas próprias chaves e armazená-las num cofre de chaves ou utilizar uma API do Azure Key Vault para gerar chaves. O cluster do Azure Data Explorer e o cofre de chaves têm de estar na mesma região, mas podem estar em subscrições diferentes. Para obter uma explicação detalhada sobre as chaves geridas pelo cliente, veja Chaves geridas pelo cliente com o Azure Key Vault.

Este artigo mostra-lhe como configurar chaves geridas pelo cliente.

Para exemplos de código baseados em versões anteriores do SDK, veja o artigo arquivado.

Configurar o Azure Key Vault

Para configurar chaves geridas pelo cliente com o Azure Data Explorer, tem de definir duas propriedades no cofre de chaves: Eliminação Recuperável e Não Remover. Estas propriedades não estão ativadas por predefinição. Para ativar estas propriedades, execute Ativar a eliminação recuperável e Ativar a Proteção contra Remoção no PowerShell ou na CLI do Azure num cofre de chaves novo ou existente. Apenas são suportadas chaves RSA do tamanho 2048. Para obter mais informações sobre chaves, consulte Key Vault chaves.

Nota

Para obter informações sobre as limitações da utilização de chaves geridas pelo cliente em clusters de coordenadores e seguidores, veja Limitações.

Atribuir uma identidade gerida ao cluster

Para ativar as chaves geridas pelo cliente para o cluster, atribua primeiro uma identidade gerida atribuída pelo sistema ou atribuída pelo utilizador ao cluster. Irá utilizar esta identidade gerida para conceder ao cluster permissões para aceder ao cofre de chaves. Para configurar identidades geridas, veja identidades geridas.

Ativar a encriptação com chaves geridas pelo cliente

Os passos seguintes explicam como ativar a encriptação de chaves geridas pelo cliente com o portal do Azure. Por predefinição, a encriptação de Data Explorer do Azure utiliza chaves geridas pela Microsoft. Configure o cluster do Azure Data Explorer para utilizar chaves geridas pelo cliente e especifique a chave a associar ao cluster.

  1. No portal do Azure, aceda ao recurso de cluster do Azure Data Explorer.

  2. Selecione Definições>Encriptação no painel esquerdo do portal.

  3. No painel Encriptação , selecione Ativado para a definição Chave gerida pelo cliente .

  4. Selecione Selecionar Chave.

    Captura de ecrã a mostrar a configuração de chaves geridas pelo cliente.

  5. Na janela Selecionar chave do Azure Key Vault, selecione um cofre de chaves existente na lista pendente. Se selecionar Criar novo para criar um novo Key Vault, será encaminhado para o ecrã Criar Key Vault.

  6. Selecione Chave.

  7. Versão:

    • Para garantir que esta chave utiliza sempre a versão mais recente da chave, selecione a caixa de verificação Utilizar sempre a versão atual da chave .
    • Caso contrário, selecione Versão.
  8. Selecione Selecionar.

    Captura de ecrã a mostrar a tecla Select do Azure Key Vault.

  9. Em Tipo de identidade, selecione Atribuído pelo Sistema ou Atribuído pelo Utilizador.

  10. Se selecionar Utilizador Atribuído, selecione uma identidade atribuída pelo utilizador na lista pendente.

    Captura de ecrã a mostrar a opção para selecionar um tipo de identidade gerida.

  11. No painel Encriptação que agora contém a sua chave, selecione Guardar. Quando a criação da CMK for bem-sucedida, verá uma mensagem de êxito em Notificações.

    Captura de ecrã a mostrar a opção para guardar uma chave gerida pelo cliente.

Se selecionar a identidade atribuída pelo sistema ao ativar as chaves geridas pelo cliente para o cluster do Azure Data Explorer, irá criar uma identidade atribuída pelo sistema para o cluster se não existir. Além disso, irá fornecer as permissões get, wrapKey e unwrapKey necessárias para o cluster do Azure Data Explorer no Key Vault selecionado e obter as propriedades Key Vault.

Nota

Selecione Desativar para remover a chave gerida pelo cliente depois de ter sido criada.

Atualizar a versão da chave

Quando criar uma nova versão de uma chave, terá de atualizar o cluster para utilizar a nova versão. Primeiro, ligue Get-AzKeyVaultKey para obter a versão mais recente da chave. Em seguida, atualize as propriedades do cofre de chaves do cluster para utilizar a nova versão da chave, conforme mostrado em Ativar encriptação com chaves geridas pelo cliente.