Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure

Você pode usar sua própria chave de criptografia para proteger os dados em sua conta de armazenamento. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. As chaves geridas pelo cliente oferecem uma maior flexibilidade para gerir os controlos de acesso.

Você deve usar um dos seguintes armazenamentos de chaves do Azure para armazenar suas chaves gerenciadas pelo cliente:

Você pode criar suas próprias chaves e armazená-las no cofre de chaves ou no HSM gerenciado, ou pode usar as APIs do Cofre de Chaves do Azure para gerar chaves. A conta de armazenamento e o cofre de chaves ou HSM gerenciado podem estar em diferentes locatários, regiões e assinaturas do Microsoft Entra.

Nota

O Azure Key Vault e o Azure Key Vault Managed HSM suportam as mesmas APIs e interfaces de gestão para a configuração de chaves geridas pelo cliente. Qualquer ação com suporte para o Azure Key Vault também é suportada para o Azure Key Vault Managed HSM.

Sobre chaves gerenciadas pelo cliente

O diagrama a seguir mostra como o Armazenamento do Azure usa a ID do Microsoft Entra e um cofre de chaves ou HSM gerenciado para fazer solicitações usando a chave gerenciada pelo cliente:

Diagrama mostrando como as chaves gerenciadas pelo cliente funcionam no Armazenamento do Azure

A lista a seguir explica as etapas numeradas no diagrama:

  1. Um administrador do Cofre de Chaves do Azure concede permissões para chaves de criptografia para uma identidade gerenciada. A identidade gerenciada pode ser uma identidade gerenciada atribuída pelo usuário que você cria e gerencia ou uma identidade gerenciada atribuída pelo sistema associada à conta de armazenamento.
  2. Um administrador de Armazenamento do Azure configura a criptografia com uma chave gerenciada pelo cliente para a conta de armazenamento.
  3. O Armazenamento do Azure usa a identidade gerenciada à qual o administrador do Cofre da Chave do Azure concedeu permissões na etapa 1 para autenticar o acesso ao Cofre da Chave do Azure por meio da ID do Microsoft Entra.
  4. O Armazenamento do Azure encapsula a chave de criptografia de conta com a chave gerenciada pelo cliente no Cofre de Chaves do Azure.
  5. Para operações de leitura/gravação, o Armazenamento do Azure envia solicitações ao Cofre da Chave do Azure para desempacotar a chave de criptografia da conta para executar operações de criptografia e descriptografia.

A identidade gerenciada associada à conta de armazenamento deve ter, no mínimo, essas permissões para acessar uma chave gerenciada pelo cliente no Cofre de Chaves do Azure:

  • chave de invólucro
  • desembrulhar
  • Obter

Para obter mais informações sobre permissões de chave, consulte Tipos de chave, algoritmos e operações.

A Política do Azure fornece uma política interna para exigir que as contas de armazenamento usem chaves gerenciadas pelo cliente para cargas de trabalho de Armazenamento de Blob e Arquivos do Azure. Para obter mais informações, consulte a seção Armazenamento em Definições de política interna da Política do Azure.

Chaves gerenciadas pelo cliente para filas e tabelas

Os dados armazenados no armazenamento de fila e tabela não são protegidos automaticamente por uma chave gerenciada pelo cliente quando as chaves gerenciadas pelo cliente são habilitadas para a conta de armazenamento. Opcionalmente, você pode configurar esses serviços para serem incluídos nessa proteção no momento em que criar a conta de armazenamento.

Para obter mais informações sobre como criar uma conta de armazenamento que ofereça suporte a chaves gerenciadas pelo cliente para filas e tabelas, consulte Criar uma conta que ofereça suporte a chaves gerenciadas pelo cliente para tabelas e filas.

Os dados no armazenamento de Blob e nos Arquivos do Azure são sempre protegidos por chaves gerenciadas pelo cliente quando as chaves gerenciadas pelo cliente são configuradas para a conta de armazenamento.

Habilitar chaves gerenciadas pelo cliente para uma conta de armazenamento

Quando você configura chaves gerenciadas pelo cliente para uma conta de armazenamento, o Armazenamento do Azure encapsula a chave de criptografia de dados raiz da conta com a chave gerenciada pelo cliente no cofre de chaves associado ou no HSM gerenciado. A proteção da chave de criptografia raiz muda, mas os dados em sua conta de Armazenamento do Azure permanecem criptografados o tempo todo. Não é necessária nenhuma ação adicional da sua parte para garantir que os seus dados permanecem encriptados. A proteção por chaves gerenciadas pelo cliente entra em vigor imediatamente.

Você pode alternar entre chaves gerenciadas pelo cliente e chaves gerenciadas pela Microsoft a qualquer momento. Para obter mais informações sobre chaves gerenciadas pela Microsoft, consulte Sobre o gerenciamento de chaves de criptografia.

Requisitos do cofre de chaves

O cofre de chaves ou o HSM gerenciado que armazena a chave deve ter a proteção contra exclusão suave e limpeza habilitada. A criptografia de armazenamento do Azure dá suporte a chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para obter mais informações sobre chaves, consulte Sobre chaves.

O uso de um cofre de chaves ou HSM gerenciado tem custos associados. Para obter mais informações, consulte Preços do Key Vault.

Chaves gerenciadas pelo cliente com um cofre de chaves no mesmo locatário

Você pode configurar chaves gerenciadas pelo cliente com o cofre de chaves e a conta de armazenamento no mesmo locatário ou em diferentes locatários do Microsoft Entra. Para saber como configurar a criptografia do Armazenamento do Azure com chaves gerenciadas pelo cliente quando o cofre de chaves e a conta de armazenamento estiverem nos mesmos locatários, consulte um dos seguintes artigos:

Ao habilitar chaves gerenciadas pelo cliente com um cofre de chaves no mesmo locatário, você deve especificar uma identidade gerenciada que deve ser usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada pode ser uma identidade gerenciada atribuída pelo usuário ou pelo sistema:

  • Ao configurar chaves gerenciadas pelo cliente no momento em que cria uma conta de armazenamento, você deve usar uma identidade gerenciada atribuída pelo usuário.
  • Ao configurar chaves gerenciadas pelo cliente em uma conta de armazenamento existente, você pode usar uma identidade gerenciada atribuída pelo usuário ou uma identidade gerenciada atribuída pelo sistema.

Para saber mais sobre identidades gerenciadas atribuídas pelo sistema versus identidades gerenciadas atribuídas pelo usuário, consulte Identidades gerenciadas para recursos do Azure. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

Chaves gerenciadas pelo cliente com um cofre de chaves em um locatário diferente

Para saber como configurar a criptografia do Armazenamento do Azure com chaves gerenciadas pelo cliente quando o cofre de chaves e a conta de armazenamento estiverem em locatários diferentes do Microsoft Entra, consulte um dos seguintes artigos:

Chaves gerenciadas pelo cliente com um HSM gerenciado

Você pode configurar chaves gerenciadas pelo cliente com um HSM gerenciado do Azure Key Vault para uma conta nova ou existente. E você pode configurar chaves gerenciadas pelo cliente com um HSM gerenciado que esteja no mesmo locatário que a conta de armazenamento ou em um locatário diferente. O processo para configurar chaves gerenciadas pelo cliente em um HSM gerenciado é o mesmo que para configurar chaves gerenciadas pelo cliente em um cofre de chaves, mas as permissões são ligeiramente diferentes. Para obter mais informações, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado do Azure Key Vault.

Atualizar a versão principal

Seguir as práticas recomendadas de criptografia significa alternar a chave que está protegendo sua conta de armazenamento em um cronograma regular, normalmente pelo menos a cada dois anos. O Armazenamento do Azure nunca modifica a chave no cofre de chaves, mas você pode configurar uma política de rotação de chaves para girar a chave de acordo com seus requisitos de conformidade. Para obter mais informações, consulte Configurar a rotação automática de chaves criptográficas no Cofre de Chaves do Azure.

Depois que a chave é girada no cofre de chaves, a configuração de chaves gerenciadas pelo cliente para sua conta de armazenamento deve ser atualizada para usar a nova versão da chave. As chaves gerenciadas pelo cliente suportam a atualização automática e manual da versão da chave para a chave que está protegendo a conta. Você pode decidir qual abordagem deseja usar ao configurar chaves gerenciadas pelo cliente ou ao atualizar sua configuração.

Quando você modifica a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados em sua conta de Armazenamento do Azure permanecem sempre criptografados. Não é necessária qualquer ação adicional da sua parte para assegurar que os dados estão protegidos. A rotação da versão da chave não afeta o desempenho. Não existe nenhum tempo de inatividade associado à rotação da versão da chave.

Importante

Para girar uma chave, crie uma nova versão da chave no cofre de chaves ou no HSM gerenciado, de acordo com seus requisitos de conformidade. O Armazenamento do Azure não lida com a rotação de chaves, portanto, você precisará gerenciar a rotação da chave no cofre de chaves.

Quando você gira a chave usada para chaves gerenciadas pelo cliente, essa ação não é registrada atualmente nos logs do Azure Monitor para o Armazenamento do Azure.

Atualizar automaticamente a versão da chave

Para atualizar automaticamente uma chave gerenciada pelo cliente quando uma nova versão estiver disponível, omita a versão da chave ao habilitar a criptografia com chaves gerenciadas pelo cliente para a conta de armazenamento. Se a versão da chave for omitida, o Armazenamento do Azure verificará o cofre de chaves ou o HSM gerenciado diariamente em busca de uma nova versão de uma chave gerenciada pelo cliente. Se estiver disponível uma nova versão da chave, o Armazenamento do Microsoft Azure utilizará automaticamente a versão mais recente da chave.

O Armazenamento do Azure verifica o cofre de chaves em busca de uma nova versão de chave apenas uma vez por dia. Quando rodar uma chave, certifique-se de que aguarda 24 horas antes de desativar a versão mais antiga.

Se a conta de armazenamento foi configurada anteriormente para atualização manual da versão da chave e você deseja alterá-la para atualizar automaticamente, talvez seja necessário alterar explicitamente a versão da chave para uma cadeia de caracteres vazia. Para obter detalhes sobre como fazer isso, consulte Configurar a criptografia para atualização automática de versões de chave.

Atualizar manualmente a versão da chave

Para usar uma versão específica de uma chave para criptografia de Armazenamento do Azure, especifique essa versão de chave ao habilitar a criptografia com chaves gerenciadas pelo cliente para a conta de armazenamento. Se você especificar a versão da chave, o Armazenamento do Azure usará essa versão para criptografia até atualizar manualmente a versão da chave.

Quando a versão da chave é especificada explicitamente, você deve atualizar manualmente a conta de armazenamento para usar o URI da nova versão da chave quando uma nova versão for criada. Para saber como atualizar a conta de armazenamento para usar uma nova versão da chave, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure ou Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM Gerenciado do Cofre de Chaves do Azure.

Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente

Para revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente, desative a chave no cofre de chaves. Para saber como desativar a chave, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Depois que a chave for desabilitada, os clientes não poderão chamar operações que leem ou gravam em um recurso ou em seus metadados. As tentativas de chamar essas operações falharão com o código de erro 403 (Proibido) para todos os usuários.

Para chamar essas operações novamente, restaure o acesso à chave gerenciada pelo cliente.

Todas as operações de dados que não estão listadas nas seções a seguir podem continuar depois que as chaves gerenciadas pelo cliente forem revogadas ou depois que uma chave for desabilitada ou excluída.

Para revogar o acesso a chaves gerenciadas pelo cliente, use o PowerShell ou a CLI do Azure.

Operações de armazenamento de Blob que falham depois que uma chave é revogada

Operações do Azure Files que falham depois que uma chave é revogada

Chaves geridas pelo cliente para discos geridos do Azure

As chaves gerenciadas pelo cliente também estão disponíveis para gerenciar a criptografia de discos gerenciados do Azure. As chaves gerenciadas pelo cliente se comportam de forma diferente para discos gerenciados do que para recursos de Armazenamento do Azure. Para obter mais informações, consulte Criptografia do lado do servidor de discos gerenciados do Azure para Windows ou Criptografia do lado do servidor de discos gerenciados do Azure para Linux.

Próximos passos