Usar chaves gerenciadas pelo cliente no Azure Key Vault para serviço de Importação/Exportação
O Azure Import/Export protege as chaves BitLocker usadas para bloquear as unidades por meio de uma chave de criptografia. Por padrão, as chaves do BitLocker são criptografadas com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre chaves de criptografia, você também pode fornecer chaves gerenciadas pelo cliente.
As chaves gerenciadas pelo cliente devem ser criadas e armazenadas em um Cofre de Chaves do Azure. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?
Este artigo mostra como usar chaves gerenciadas pelo cliente com o serviço de Importação/Exportação no portal do Azure.
Pré-requisitos
Antes de começar, confirme que:
Você criou um trabalho de importação ou exportação de acordo com as instruções em:
Você tem um Cofre de Chaves do Azure existente com uma chave que pode ser usada para proteger sua chave BitLocker. Para saber como criar um cofre de chaves usando o portal do Azure, consulte Guia de início rápido: criar um cofre de chaves do Azure usando o portal do Azure.
A exclusão suave e a opção Não limpar são definidas no Cofre da Chave existente. Essas propriedades não estão habilitadas por padrão. Para habilitar essas propriedades, consulte as seções intituladas Habilitando a exclusão suave e Habilitando a proteção contra limpeza em um dos seguintes artigos:
O cofre de chaves existente deve ter uma chave RSA de tamanho 2048 ou mais. Para obter mais informações sobre chaves, consulte Sobre chaves.
O cofre de chaves deve estar na mesma região da conta de armazenamento dos seus dados.
Se você não tiver um Cofre de Chaves do Azure existente, também poderá criá-lo embutido, conforme descrito na seção a seguir.
Ativar teclas
A configuração da chave gerenciada pelo cliente para o serviço de Importação/Exportação é opcional. Por predefinição, o serviço de Importação/Exportação utiliza uma chave gerida pela Microsoft para proteger a sua chave BitLocker. Para habilitar chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:
Vá para a folha Visão geral do seu trabalho de importação.
No painel direito, selecione Escolher como suas chaves do BitLocker são criptografadas.
Na folha Criptografia, você pode exibir e copiar a chave BitLocker do dispositivo. Em Tipo de encriptação, pode escolher como pretende proteger a sua chave BitLocker. Por padrão, uma chave gerenciada pela Microsoft é usada.
Você tem a opção de especificar uma chave gerenciada pelo cliente. Depois de selecionar a chave gerenciada pelo cliente, selecione o cofre de chaves e uma chave.
Na folha Selecionar chave do Cofre de Chaves do Azure, a assinatura é preenchida automaticamente. Para Cofre de chaves, você pode selecionar um cofre de chaves existente na lista suspensa.
Você também pode selecionar Criar novo para criar um novo cofre de chaves. Na folha Criar cofre de chaves, insira o grupo de recursos e o nome do cofre de chaves. Aceite todos os outros padrões. Selecione Rever + Criar.
Reveja as informações associadas ao seu cofre de chaves e selecione Criar. Aguarde alguns minutos até que a criação do cofre de chaves seja concluída.
Em Selecionar chave do Cofre de Chaves do Azure, você pode selecionar uma chave no cofre de chaves existente.
Se você criou um novo cofre de chaves, selecione Criar novo para criar uma chave. O tamanho da chave RSA pode ser 2048 ou superior.
Se a proteção de exclusão suave e limpeza não estiver habilitada quando você criar o cofre de chaves, o cofre de chaves será atualizado para ter a proteção de exclusão suave e limpeza habilitada.
Forneça o nome da chave, aceite os outros padrões e selecione Criar.
Selecione a versão e, em seguida, escolha Selecionar. Você será notificado de que uma chave foi criada no cofre de chaves.
Na folha Criptografia, você pode ver o cofre de chaves e a chave selecionada para a chave gerenciada pelo cliente.
Importante
Você só pode desabilitar chaves gerenciadas da Microsoft e mover para chaves gerenciadas pelo cliente em qualquer estágio do trabalho de importação/exportação. No entanto, não é possível desativar a chave gerenciada pelo cliente depois de criá-la.
Solucionar erros de chave gerenciada pelo cliente
Se você receber erros relacionados à chave gerenciada pelo cliente, use a tabela a seguir para solucionar problemas:
Código de erro | Detalhes | Recuperável? |
---|---|---|
CmkErrorAccessRevoked | O acesso à chave gerenciada pelo cliente é revogado. | Sim, verifique se:
|
CmkErrorKeyDisabled | A chave gerenciada pelo cliente está desativada. | Sim, ativando a versão chave |
CmkErrorKeyNotFound | Não é possível encontrar a chave gerenciada pelo cliente. | Sim, se a chave tiver sido excluída, mas ainda estiver dentro da duração de limpeza, usando a remoção da chave do cofre Desfazer chave. Caso contrário,
|
CmkErrorVaultNotFound | Não é possível encontrar o cofre de chaves da chave gerenciada pelo cliente. | Se o cofre da chave tiver sido excluído:
Caso contrário, se o cofre de chaves foi migrado para um locatário diferente, sim, ele pode ser recuperado usando uma das etapas abaixo:
|