Usar chaves gerenciadas pelo cliente no Azure Key Vault for Azure Data Box

O Azure Data Box protege a chave de desbloqueio do dispositivo (também conhecida como palavra-passe do dispositivo), utilizada para bloquear um dispositivo, através de uma chave de encriptação. Por predefinição, esta chave de encriptação é uma chave gerida pela Microsoft. Para maior controlo, pode utilizar uma chave gerida pelo cliente.

A utilização de uma chave gerida pelo cliente não afeta a forma como os dados do dispositivo são encriptados. Só afeta a forma como a chave de desbloqueio do dispositivo é encriptada.

Para manter este nível de controlo durante todo o processo de encomenda, utilize uma chave gerida pelo cliente quando criar a encomenda. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.

Este artigo mostra como habilitar uma chave gerenciada pelo cliente para seu pedido existente do Data Box no portal do Azure. Você descobrirá como alterar o cofre de chaves, a chave, a versão ou a identidade da sua chave gerenciada pelo cliente atual ou voltar a usar uma chave gerenciada pela Microsoft.

Este artigo aplica-se aos dispositivos Azure Data Box e Azure Data Box Heavy.

Requisitos

A chave gerenciada pelo cliente para um pedido Data Box deve atender aos seguintes requisitos:

  • A chave deve ser criada e armazenada em um Cofre de Chaves do Azure que tenha Exclusão flexível e Não limpar habilitado. Para obter mais informações, consulte O que é o Azure Key Vault?. Você pode criar um cofre de chaves e uma chave ao criar ou atualizar seu pedido.
  • A chave deve ser uma chave RSA de tamanho 2048 ou maior.
  • Você deve habilitar as Getpermissões , UnwrapKeye WrapKey para a chave no Cofre de Chaves do Azure. As permissões devem permanecer em vigor durante o tempo de vigência do pedido. Caso contrário, a chave gerenciada pelo cliente não poderá ser acessada no início da fase de Cópia de dados.

Ativar chave

Para habilitar uma chave gerenciada pelo cliente para seu pedido existente do Data Box no portal do Azure, siga estas etapas:

  1. Vá para a tela Visão geral do seu pedido Data Box.

    Tela de visão geral de um pedido do Data Box - 1

  2. Vá para Configurações > de criptografia e selecione Chave gerenciada pelo cliente. Em seguida, selecione Selecionar uma chave e cofre de chaves.

    Selecione a opção de criptografia de chave gerenciada pelo cliente

    Na tela Selecionar chave do Cofre da Chave do Azure, sua assinatura é preenchida automaticamente.

  3. Para Cofre de chaves, você pode selecionar um cofre de chaves existente na lista suspensa ou selecionar Criar novo e criar um novo cofre de chaves.

    Opções do cofre de chaves ao selecionar uma chave gerenciada pelo cliente

    Para criar um novo cofre de chaves, insira a assinatura, o grupo de recursos, o nome do cofre de chaves e outras informações na tela Criar novo cofre de chaves. Em Opções de recuperação, verifique se a proteção Exclusão suave e Limpeza está ativada. Em seguida, selecione Rever + Criar.

    Rever e criar o Azure Key Vault

    Reveja as informações do cofre de chaves e selecione Criar. Aguarde alguns minutos até que a criação do cofre de chaves seja concluída.

    Criar o Azure Key Vault com as suas definições

  4. Na tela Selecionar chave do Cofre de Chaves do Azure, você pode selecionar uma chave existente no cofre de chaves ou criar uma nova.

    Selecionar chave no Cofre da Chave do Azure

    Se quiser criar uma nova chave, selecione Criar nova. Tem de utilizar uma chave RSA. O tamanho pode ser 2048 ou superior.

    Criar nova chave no Cofre da Chave do Azure

    Insira um nome para sua nova chave, aceite os outros padrões e selecione Criar. Você será notificado de que uma chave foi criada no cofre de chaves.

    Nome da nova chave

  5. Para Versão, você pode selecionar uma versão de chave existente na lista suspensa.

    Selecione a versão para a nova chave

    Se quiser gerar uma nova versão de chave, selecione Criar nova.

    Abrir uma caixa de diálogo para criar uma nova versão de chave

    Escolha as configurações para a nova versão da chave e selecione Criar.

    Criar uma nova versão de chave

  6. Quando tiver selecionado um cofre de chaves, uma chave e uma versão de chave, escolha Selecionar.

    Uma chave em um Cofre de Chaves do Azure

    As configurações de Tipo de criptografia mostram o cofre de chaves e a chave que você escolheu.

    Chave e cofre de chaves para uma chave gerenciada pelo cliente

  7. Selecione o tipo de identidade a ser usado para gerenciar a chave gerenciada pelo cliente para este recurso. Você pode usar a identidade atribuída ao sistema que foi gerada durante a criação do pedido ou escolher uma identidade atribuída pelo usuário.

    Uma identidade atribuída ao usuário é um recurso independente que você pode usar para gerenciar o acesso aos recursos. Para obter mais informações, consulte Tipos de identidade gerenciados.

    Selecione o tipo de identidade

    Para atribuir uma identidade de usuário, selecione Usuário atribuído. Em seguida, selecione Selecionar uma identidade de usuário e selecione a identidade gerenciada que você deseja usar.

    Selecione uma identidade para usar

    Não é possível criar uma nova identidade de usuário aqui. Para saber como criar uma, consulte Criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure.

    A identidade de usuário selecionada é mostrada nas configurações de tipo de criptografia.

    Uma identidade de usuário selecionada mostrada em Configurações de tipo de criptografia

  8. Selecione Salvar para salvar as configurações atualizadas do tipo de criptografia.

    Salve sua chave gerenciada pelo cliente

    O URL da chave é exibido em Tipo de criptografia.

    URL da chave gerenciada pelo cliente

Importante

Você deve habilitar as Getpermissões , UnwrapKeye na WrapKey chave. Para definir as permissões na CLI do Azure, consulte az keyvault set-policy.

Alterar chave

Para alterar o cofre de chaves, a chave e/ou a versão da chave para a chave gerenciada pelo cliente que você está usando no momento, siga estas etapas:

  1. Na tela Visão geral do seu pedido Data Box, vá para Criptografia de configurações> e clique em Alterar chave.

    Tela de visão geral de um pedido do Data Box com chave gerenciada pelo cliente - 1

  2. Escolha Selecionar um cofre de chaves e uma chave diferentes.

    Tela de visão geral de uma ordem do Data Box, selecione uma chave diferente e a opção de cofre de chaves

  3. A tela Selecionar chave do cofre de chaves mostra a assinatura, mas nenhuma versão do cofre de chaves, chave ou chave. Você pode fazer qualquer uma das seguintes alterações:

    • Selecione uma chave diferente no mesmo cofre de chaves. Você precisará selecionar o cofre de chaves antes de selecionar a chave e a versão.

    • Selecione um cofre de chaves diferente e atribua uma nova chave.

    • Altere a versão da chave atual.

    Quando terminar as alterações, escolha Selecionar.

    Escolha a opção de encriptação - 2

  4. Selecione Guardar.

    Guardar definições de encriptação atualizadas - 1

Importante

Você deve habilitar as Getpermissões , UnwrapKeye na WrapKey chave. Para definir as permissões na CLI do Azure, consulte az keyvault set-policy.

Alterar identidade

Para alterar a identidade usada para gerenciar o acesso à chave gerenciada pelo cliente para esse pedido, siga estas etapas:

  1. Na tela Visão geral do seu pedido de Data Box concluído, vá para Criptografia de configurações>.

  2. Faça uma das seguintes alterações:

    • Para alterar para uma identidade de usuário diferente, clique em Selecionar uma identidade de usuário diferente. Em seguida, selecione uma identidade diferente no painel do lado direito da tela e escolha Selecionar.

      Opção para alterar a identidade atribuída pelo usuário para uma chave gerenciada pelo cliente

    • Para alternar para a identidade atribuída pelo sistema gerada durante a criação do pedido, selecione Sistema atribuído por Selecionar tipo de identidade.

      Opção para mudar para um sistema atribuído a uma chave gerenciada pelo cliente

  3. Selecione Guardar.

    Guardar definições de encriptação atualizadas - 2

Usar chave gerenciada da Microsoft

Para mudar de usar uma chave gerenciada pelo cliente para a chave gerenciada pela Microsoft para seu pedido, siga estas etapas:

  1. Na tela Visão geral do seu pedido de Data Box concluído, vá para Criptografia de configurações>.

  2. Por Selecionar tipo, selecione Chave gerenciada pela Microsoft.

    Tela de visão geral de um pedido do Data Box - 5

  3. Selecione Guardar.

    Salvar configurações de criptografia atualizadas para uma chave gerenciada pela Microsoft

Resolver erros

Se você receber erros relacionados à sua chave gerenciada pelo cliente, use a tabela a seguir para solucionar problemas.

Código de erro Detalhes do erro Recuperável?
SsemUserErrorEncryptionKeyDisabled Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente está desabilitada. Sim, ativando a versão chave.
SsemUserErrorEncryptionKeyExpired Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente expirou. Sim, ativando a versão chave.
SsemUserErrorKeyDetailsNotFound Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada. Se você excluiu o cofre de chaves, não poderá recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte Alterar um ID de locatário do cofre de chaves após uma mudança de assinatura. Se você excluiu o cofre de chaves:
  1. Sim, se estiver na duração da proteção contra limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção contra purga.

Caso contrário, se o cofre de chaves passou por uma migração de locatário, sim, ele pode ser recuperado usando uma das etapas abaixo:
  1. Reverta o cofre da chave de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite Get, WrapKeye UnwrapKey permissões para a nova identidade na política de acesso do cofre de chaves.
SsemUserErrorKeyVaultBadRequestException Aplicou uma chave gerenciada pelo cliente, mas o acesso à chave não foi concedido ou foi revogado, ou não foi possível acessar o cofre de chaves devido ao firewall estar habilitado. Adicione a identidade selecionada ao seu cofre de chaves para permitir o acesso à chave gerenciada pelo cliente. Se o cofre de chaves tiver o firewall habilitado, alterne para uma identidade atribuída ao sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKeyVaultDetailsNotFound Não foi possível buscar a chave de acesso, pois o cofre de chaves associado para a chave gerenciada pelo cliente não pôde ser encontrado. Se você excluiu o cofre de chaves, não poderá recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte Alterar um ID de locatário do cofre de chaves após uma mudança de assinatura. Se você excluiu o cofre de chaves:
  1. Sim, se estiver na duração da proteção contra limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção contra purga.

Caso contrário, se o cofre de chaves passou por uma migração de locatário, sim, ele pode ser recuperado usando uma das etapas abaixo:
  1. Reverta o cofre da chave de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite Get, WrapKeye UnwrapKey permissões para a nova identidade na política de acesso do cofre de chaves.
SsemUserErrorSystemAssignedIdentityAbsent Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada. Sim, verifique se:
  1. O cofre de chaves ainda tem o MSI na política de acesso.
  2. A identidade é do tipo Sistema atribuído.
  3. Habilite Get, WrapKeye UnwrapKey permissões para a identidade na política de acesso do cofre de chaves. Essas permissões devem permanecer durante o tempo de vida do pedido. Eles são usados durante a criação do pedido e no início da fase de cópia de dados.
SsemUserErrorUserAssignedLimitReached A adição de nova Identidade Atribuída ao Usuário falhou quando você atingiu o limite do número total de identidades atribuídas ao usuário que podem ser adicionadas. Tente novamente a operação com menos identidades de usuário ou remova algumas identidades atribuídas pelo usuário do recurso antes de tentar novamente.
SsemUserErrorCrossTenantIdentityAccessForbidden Falha na operação de acesso de identidade gerenciada.
Nota: Este erro pode ocorrer quando uma subscrição é movida para um inquilino diferente. O cliente tem de mover manualmente a identidade para o novo inquilino.
Tente adicionar uma identidade atribuída pelo usuário diferente ao seu cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Ou mova a identidade para o novo locatário sob o qual a assinatura está presente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKekUserIdentityNotFound Aplicou uma chave gerenciada pelo cliente, mas a identidade atribuída ao usuário que tem acesso à chave não foi encontrada no diretório ativo.
Observação: esse erro pode ocorrer quando uma identidade de usuário é excluída do Azure.
Tente adicionar uma identidade atribuída pelo usuário diferente ao seu cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorUserAssignedIdentityAbsent Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada. Não foi possível acessar a chave gerenciada pelo cliente. A Identidade Atribuída ao Usuário (UAI) associada à chave é excluída ou o tipo de UAI foi alterado.
SsemUserErrorKeyVaultBadRequestException Aplicou uma chave gerenciada pelo cliente, mas o acesso à chave não foi concedido ou foi revogado, ou o cofre de chaves não pôde ser acessado porque um firewall está habilitado. Adicione a identidade selecionada ao seu cofre de chaves para permitir o acesso à chave gerenciada pelo cliente. Se o cofre de chaves tiver um firewall habilitado, alterne para uma identidade atribuída ao sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorEncryptionKeyTypeNotSupported O tipo de chave de criptografia não é suportado para a operação. Habilite um tipo de criptografia suportado na chave - por exemplo, RSA ou RSA-HSM. Para obter mais informações, consulte Tipos de chave, algoritmos e operações.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled O cofre de chaves não tem a proteção de exclusão suave ou limpeza habilitada. Certifique-se de que a proteção contra exclusão suave e limpeza esteja ativada no cofre de chaves.
SsemUserErrorInvalidKeyVaultUrl
(Somente linha de comando)
Um URI de cofre de chave inválido foi usado. Obtenha o URI correto do cofre de chaves. Para obter o URI do cofre de chaves, use Get-AzKeyVault no PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Somente HTTPS é suportado para passar o URI do cofre de chaves. Passe o URI do cofre de chaves sobre HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost O host URI do cofre de chaves não é um host permitido na região geográfica. Na nuvem pública, o URI do cofre de chaves deve terminar com vault.azure.net. Na nuvem do Azure Government, o URI do cofre de chaves deve terminar com vault.usgovcloudapi.net.
Erro genérico Não foi possível buscar a chave de acesso. Este erro é um erro genérico. Entre em contato com o Suporte da Microsoft para solucionar o erro e determinar as próximas etapas.

Próximos passos