Usar chaves gerenciadas pelo cliente no Azure Key Vault para serviço de Importação/Exportação

O Azure Import/Export protege as chaves BitLocker usadas para bloquear as unidades por meio de uma chave de criptografia. Por padrão, as chaves do BitLocker são criptografadas com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre chaves de criptografia, você também pode fornecer chaves gerenciadas pelo cliente.

As chaves gerenciadas pelo cliente devem ser criadas e armazenadas em um Cofre de Chaves do Azure. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?

Este artigo mostra como usar chaves gerenciadas pelo cliente com o serviço de Importação/Exportação no portal do Azure.

Pré-requisitos

Antes de começar, confirme que:

  1. Você criou um trabalho de importação ou exportação de acordo com as instruções em:

  2. Você tem um Cofre de Chaves do Azure existente com uma chave que pode ser usada para proteger sua chave BitLocker. Para saber como criar um cofre de chaves usando o portal do Azure, consulte Guia de início rápido: criar um cofre de chaves do Azure usando o portal do Azure.

    • A exclusão suave e a opção Não limpar são definidas no Cofre da Chave existente. Essas propriedades não estão habilitadas por padrão. Para habilitar essas propriedades, consulte as seções intituladas Habilitando a exclusão suave e Habilitando a proteção contra limpeza em um dos seguintes artigos:

    • O cofre de chaves existente deve ter uma chave RSA de tamanho 2048 ou mais. Para obter mais informações sobre chaves, consulte Sobre chaves.

    • O cofre de chaves deve estar na mesma região da conta de armazenamento dos seus dados.

    • Se você não tiver um Cofre de Chaves do Azure existente, também poderá criá-lo embutido, conforme descrito na seção a seguir.

Ativar teclas

A configuração da chave gerenciada pelo cliente para o serviço de Importação/Exportação é opcional. Por predefinição, o serviço de Importação/Exportação utiliza uma chave gerida pela Microsoft para proteger a sua chave BitLocker. Para habilitar chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:

  1. Vá para a folha Visão geral do seu trabalho de importação.

  2. No painel direito, selecione Escolher como suas chaves do BitLocker são criptografadas.

    Captura de ecrã da folha Visão geral do trabalho de Importação/Exportação do Azure. O item de menu Visão geral e o link que abre as opções de chave do BitLocker são realçados.

  3. Na folha Criptografia, você pode exibir e copiar a chave BitLocker do dispositivo. Em Tipo de encriptação, pode escolher como pretende proteger a sua chave BitLocker. Por padrão, uma chave gerenciada pela Microsoft é usada.

    Captura de ecrã da folha Encriptação para uma ordem de Importação/Exportação do Azure. O item de menu Criptografia é realçado.

  4. Você tem a opção de especificar uma chave gerenciada pelo cliente. Depois de selecionar a chave gerenciada pelo cliente, selecione o cofre de chaves e uma chave.

    Captura de ecrã da folha Encriptação para o trabalho de Importação/Exportação do Azure. A opção

  5. Na folha Selecionar chave do Cofre de Chaves do Azure, a assinatura é preenchida automaticamente. Para Cofre de chaves, você pode selecionar um cofre de chaves existente na lista suspensa.

    Captura de ecrã do ecrã

  6. Você também pode selecionar Criar novo para criar um novo cofre de chaves. Na folha Criar cofre de chaves, insira o grupo de recursos e o nome do cofre de chaves. Aceite todos os outros padrões. Selecione Rever + Criar.

    Captura de ecrã do ecrã

  7. Reveja as informações associadas ao seu cofre de chaves e selecione Criar. Aguarde alguns minutos até que a criação do cofre de chaves seja concluída.

    Captura de ecrã do ecrã Review Plus Create para um novo cofre de chaves do Azure. O botão Criar é realçado.

  8. Em Selecionar chave do Cofre de Chaves do Azure, você pode selecionar uma chave no cofre de chaves existente.

  9. Se você criou um novo cofre de chaves, selecione Criar novo para criar uma chave. O tamanho da chave RSA pode ser 2048 ou superior.

    Captura de ecrã do ecrã

    Se a proteção de exclusão suave e limpeza não estiver habilitada quando você criar o cofre de chaves, o cofre de chaves será atualizado para ter a proteção de exclusão suave e limpeza habilitada.

  10. Forneça o nome da chave, aceite os outros padrões e selecione Criar.

    Captura de ecrã do ecrã

  11. Selecione a versão e, em seguida, escolha Selecionar. Você será notificado de que uma chave foi criada no cofre de chaves.

    Captura de ecrã do ecrã

Na folha Criptografia, você pode ver o cofre de chaves e a chave selecionada para a chave gerenciada pelo cliente.

Importante

Você só pode desabilitar chaves gerenciadas da Microsoft e mover para chaves gerenciadas pelo cliente em qualquer estágio do trabalho de importação/exportação. No entanto, não é possível desativar a chave gerenciada pelo cliente depois de criá-la.

Solucionar erros de chave gerenciada pelo cliente

Se você receber erros relacionados à chave gerenciada pelo cliente, use a tabela a seguir para solucionar problemas:

Código de erro Detalhes Recuperável?
CmkErrorAccessRevoked O acesso à chave gerenciada pelo cliente é revogado. Sim, verifique se:
  1. O cofre de chaves ainda tem o MSI na política de acesso.
  2. A política de acesso tem as permissões Get, Wrap e Unwrap habilitadas.
  3. Se o cofre de chaves estiver em uma rede virtual atrás do firewall, verifique se Permitir Serviços Confiáveis da Microsoft está habilitado.
  4. Verifique se o MSI do recurso de trabalho foi redefinido para None usar APIs.
    Se sim, defina o valor de volta para Identity = SystemAssigned. Isso recria a identidade do recurso de trabalho.
    Depois que a nova identidade tiver sido criada, habilite GetWrape Unwrap permissões para a nova identidade na política de acesso do cofre de chaves
CmkErrorKeyDisabled A chave gerenciada pelo cliente está desativada. Sim, ativando a versão chave
CmkErrorKeyNotFound Não é possível encontrar a chave gerenciada pelo cliente. Sim, se a chave tiver sido excluída, mas ainda estiver dentro da duração de limpeza, usando a remoção da chave do cofre Desfazer chave.
Caso contrário,
  1. Sim, se o cliente tiver a chave em backup e restaurá-la.
  2. Não, caso contrário.
CmkErrorVaultNotFound Não é possível encontrar o cofre de chaves da chave gerenciada pelo cliente. Se o cofre da chave tiver sido excluído:
  1. Sim, se estiver na duração da proteção contra limpeza, usando as etapas em Recuperar um cofre de chaves.
  2. Não, se estiver além da duração da proteção contra purga.

Caso contrário, se o cofre de chaves foi migrado para um locatário diferente, sim, ele pode ser recuperado usando uma das etapas abaixo:
  1. Reverta o cofre da chave de volta para o locatário antigo.
  2. Defina Identity = None e defina o valor de volta para Identity = SystemAssigned. Isso exclui e recria a identidade depois que a nova identidade é criada. Habilite Get, Wrape Unwrap permissões para a nova identidade na política de acesso do cofre de chaves.

Próximos passos