Configurar chaves geridas pelo cliente no mesmo inquilino de uma conta de armazenamento existente

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para ter mais controlo sobre as chaves de encriptação, pode gerir as suas próprias chaves. As chaves gerenciadas pelo cliente devem ser armazenadas no Azure Key Vault ou no Key Vault Managed Hardware Security Model (HSM).

Este artigo mostra como configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente quando a conta de armazenamento e o cofre de chaves estão no mesmo locatário. As chaves gerenciadas pelo cliente são armazenadas em um cofre de chaves.

Para saber como configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento, consulte Configurar chaves gerenciadas pelo cliente em um cofre de chaves do Azure para uma nova conta de armazenamento.

Para saber como configurar a criptografia com chaves gerenciadas pelo cliente armazenadas em um HSM gerenciado, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado do Cofre de Chaves do Azure.

Nota

O Azure Key Vault e o Azure Key Vault Managed HSM suportam as mesmas APIs e interfaces de gestão para a configuração de chaves geridas pelo cliente. Qualquer ação com suporte para o Azure Key Vault também é suportada para o Azure Key Vault Managed HSM.

Configurar o cofre de chaves

Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário. Para saber mais sobre o Azure Key Vault, consulte Visão geral do Azure Key Vault e O que é o Azure Key Vault?.

O uso de chaves gerenciadas pelo cliente com a criptografia do Armazenamento do Azure exige que a proteção contra exclusão flexível e limpeza seja habilitada para o cofre de chaves. A exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou depois que ele for criado.

O Azure Key Vault dá suporte à autorização com o Azure RBAC por meio de um modelo de permissão do Azure RBAC. A Microsoft recomenda o uso do modelo de permissão RBAC do Azure sobre as políticas de acesso ao cofre de chaves. Para obter mais informações, consulte Conceder permissão a aplicativos para acessar um cofre de chaves do Azure usando o Azure RBAC.

Para saber como criar um cofre de chaves com o portal do Azure, consulte Guia de início rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Ativar proteção contra limpeza, conforme mostrado na imagem a seguir.

Captura de ecrã a mostrar como ativar a proteção contra limpeza ao criar um cofre de chaves.

Para ativar a proteção contra limpeza num cofre de chaves existente, siga estes passos:

  1. Navegue até o cofre da chave no portal do Azure.
  2. Em Configurações, escolha Propriedades.
  3. Na seção Proteção contra purga, escolha Ativar proteção contra purga.

Adicionar uma chave

Em seguida, adicione uma chave ao cofre de chaves. Antes de adicionar a chave, certifique-se de que atribuiu a si mesmo a função Key Vault Crypto Officer .

A encriptação do Armazenamento do Azure suporta chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave suportados, consulte Sobre chaves.

Para saber como adicionar uma chave com o portal do Azure, consulte Guia de início rápido: definir e recuperar uma chave do Cofre da Chave do Azure usando o portal do Azure.

Escolha uma identidade gerenciada para autorizar o acesso ao cofre de chaves

Ao habilitar chaves gerenciadas pelo cliente para uma conta de armazenamento existente, você deve especificar uma identidade gerenciada a ser usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada deve ter permissões para acessar a chave no cofre de chaves.

A identidade gerenciada que autoriza o acesso ao cofre de chaves pode ser uma identidade gerenciada atribuída pelo usuário ou pelo sistema. Para saber mais sobre identidades gerenciadas atribuídas pelo sistema versus identidades gerenciadas atribuídas pelo usuário, consulte Tipos de identidade gerenciada.

Usar uma identidade gerenciada atribuída pelo usuário para autorizar o acesso

Ao habilitar chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você deve especificar uma identidade gerenciada atribuída pelo usuário. Uma conta de armazenamento existente oferece suporte ao uso de uma identidade gerenciada atribuída pelo usuário ou de uma identidade gerenciada atribuída pelo sistema para configurar chaves gerenciadas pelo cliente.

Quando você configura chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, a identidade gerenciada atribuída pelo usuário é usada para autorizar o acesso ao cofre de chaves que contém a chave. Você deve criar a identidade atribuída pelo usuário antes de configurar chaves gerenciadas pelo cliente.

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Para saber mais sobre identidades gerenciadas atribuídas pelo usuário, consulte Tipos de identidade gerenciada. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

A identidade gerenciada atribuída pelo usuário deve ter permissões para acessar a chave no cofre de chaves. Atribua a função Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves à identidade gerenciada atribuída pelo usuário com escopo do cofre de chaves para conceder essas permissões.

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, você deve atribuir a função Usuário de Criptografia do Serviço de Criptografia do Cofre da Chave à identidade gerenciada atribuída pelo usuário, com escopo para o cofre de chaves. Essa função concede ao usuário permissões de identidade gerenciada atribuídas pelo usuário para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Ao configurar chaves gerenciadas pelo cliente com o portal do Azure, você pode selecionar uma identidade atribuída pelo usuário existente por meio da interface do usuário do portal.

Usar uma identidade gerenciada atribuída pelo sistema para autorizar o acesso

Uma identidade gerenciada atribuída pelo sistema está associada a uma instância de um serviço do Azure, neste caso, uma conta de Armazenamento do Azure. Você deve atribuir explicitamente uma identidade gerenciada atribuída pelo sistema a uma conta de armazenamento antes de poder usar a identidade gerenciada atribuída pelo sistema para autorizar o acesso ao cofre de chaves que contém sua chave gerenciada pelo cliente.

Somente contas de armazenamento existentes podem usar uma identidade atribuída pelo sistema para autorizar o acesso ao cofre de chaves. As novas contas de armazenamento devem usar uma identidade atribuída pelo usuário, se as chaves gerenciadas pelo cliente estiverem configuradas na criação da conta.

A identidade gerenciada atribuída pelo sistema deve ter permissões para acessar a chave no cofre de chaves. Atribua a função Usuário de Criptografia do Serviço de Criptografia do Cofre da Chave à identidade gerenciada atribuída pelo sistema com o escopo do cofre de chaves para conceder essas permissões.

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo sistema, você deve atribuir a função Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves à identidade gerenciada atribuída ao sistema, com escopo para o cofre de chaves. Essa função concede à identidade gerenciada atribuída pelo sistema permissões de acesso à chave no cofre de chaves. Para obter mais informações sobre como atribuir funções RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Quando você configura chaves gerenciadas pelo cliente com o portal do Azure com uma identidade gerenciada atribuída ao sistema, a identidade gerenciada atribuída ao sistema é atribuída à conta de armazenamento para você sob as cobertas.

Configurar chaves gerenciadas pelo cliente para uma conta existente

Ao configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente, você pode optar por atualizar automaticamente a versão da chave usada para a criptografia do Armazenamento do Azure sempre que uma nova versão estiver disponível no cofre de chaves associado. Como alternativa, você pode especificar explicitamente uma versão de chave a ser usada para criptografia até que a versão da chave seja atualizada manualmente.

Quando a versão da chave é alterada, seja automática ou manualmente, a proteção da chave de criptografia raiz muda, mas os dados em sua conta de Armazenamento do Azure permanecem criptografados o tempo todo. Não é necessária nenhuma ação adicional da sua parte para garantir que os seus dados estão protegidos. A rotação da versão da chave não afeta o desempenho. Não há tempo de inatividade associado à rotação da versão da chave.

Você pode usar uma identidade gerenciada atribuída pelo sistema ou pelo usuário para autorizar o acesso ao cofre de chaves ao configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente.

Nota

Para girar uma chave, crie uma nova versão da chave no Cofre da Chave do Azure. O Armazenamento do Azure não lida com a rotação de chaves, portanto, você precisará gerenciar a rotação da chave no cofre de chaves. Você pode configurar a rotação automática de chaves no Cofre de Chaves do Azure ou girar sua chave manualmente.

Configurar criptografia para atualização automática de versões de chave

O Armazenamento do Azure pode atualizar automaticamente a chave gerenciada pelo cliente usada para criptografia para usar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica o cofre da chave diariamente em busca de uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a usar a versão mais recente da chave para criptografia.

Importante

O Armazenamento do Azure verifica o cofre de chaves em busca de uma nova versão de chave apenas uma vez por dia. Quando rodar uma chave, certifique-se de que aguarda 24 horas antes de desativar a versão mais antiga.

Para configurar chaves gerenciadas pelo cliente para uma conta existente com atualização automática da versão da chave no portal do Azure, siga as etapas abaixo:

  1. Navegue para a sua conta de armazenamento.

  2. Em Segurança + rede, selecione Encriptação. Por padrão, o gerenciamento de chaves é definido como Chaves Gerenciadas pela Microsoft, conforme mostrado na imagem abaixo:

    Captura de ecrã a mostrar opções de encriptação no portal do Azure.

  3. Selecione a opção Chaves gerenciadas pelo cliente. Se a conta tiver sido configurada anteriormente para Chaves Gerenciadas pelo Cliente com atualização manual da versão da chave, selecione Alterar chave na parte inferior da página.

  4. Escolha a opção Selecionar do Cofre da Chave .

  5. Selecione Selecione um cofre de chaves e uma chave.

  6. Selecione o cofre de chaves que contém a chave que você deseja usar. Você também pode criar um novo cofre de chaves.

  7. Selecione a chave no cofre de chaves. Você também pode criar uma nova chave.

    Captura de ecrã a mostrar como selecionar o cofre da chave e a chave no portal do Azure.

  8. Selecione o tipo de identidade a ser usado para autenticar o acesso ao cofre de chaves. As opções incluem System-assigned (o padrão) ou User-assigned. Para saber mais sobre cada tipo de identidade gerenciada, consulte Tipos de identidade gerenciada.

    1. Se você selecionar Atribuído ao sistema, a identidade gerenciada atribuída ao sistema para a conta de armazenamento será criada sob as capas, se ainda não existir.
    2. Se você selecionar Atribuído pelo usuário, deverá selecionar uma identidade atribuída pelo usuário existente que tenha permissões para acessar o cofre de chaves. Para saber como criar uma identidade atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

    Captura de tela mostrando como selecionar uma identidade gerenciada atribuída pelo usuário para autenticação do cofre de chaves.

  9. Guardar as suas alterações.

Depois de especificar a chave, o portal do Azure indica que a atualização automática da versão da chave está habilitada e exibe a versão da chave atualmente em uso para criptografia. O portal também exibe o tipo de identidade gerenciada usada para autorizar o acesso ao cofre de chaves e o ID principal da identidade gerenciada.

Captura de ecrã a mostrar a atualização automática da versão chave ativada.

Configurar a criptografia para atualização manual de versões de chave

Se preferir atualizar manualmente a versão da chave, especifique explicitamente a versão no momento em que configurar a criptografia com chaves gerenciadas pelo cliente. Nesse caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando uma nova versão for criada no cofre da chave. Para usar uma nova versão de chave, você deve atualizar manualmente a versão usada para a criptografia do Armazenamento do Azure.

Para configurar chaves gerenciadas pelo cliente com atualização manual da versão da chave no portal do Azure, especifique o URI da chave, incluindo a versão. Para especificar uma chave como um URI, siga estes passos:

  1. Para localizar o URI da chave no portal do Azure, navegue até o cofre da chave e selecione a configuração Chaves . Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações dessa versão.

  2. Copie o valor do campo Identificador de Chave , que fornece o URI.

    Captura de ecrã a mostrar o URI da chave do cofre de chaves no portal do Azure.

  3. Nas configurações de chave de criptografia para sua conta de armazenamento, escolha a opção Inserir URI de chave.

  4. Cole o URI copiado no campo URI de chave. Omita a versão da chave do URI para habilitar a atualização automática da versão da chave.

    Captura de ecrã a mostrar como introduzir o URI da chave no portal do Azure.

  5. Especifique a assinatura que contém o cofre de chaves.

  6. Especifique uma identidade gerenciada atribuída pelo sistema ou pelo usuário.

  7. Guardar as suas alterações.

Alterar a chave

Você pode alterar a chave que está usando para a criptografia do Armazenamento do Azure a qualquer momento.

Nota

Quando você altera a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados em sua conta de Armazenamento do Azure permanecem sempre criptografados. Não é necessária qualquer ação adicional da sua parte para assegurar que os dados estão protegidos. Alterar a chave ou girar a versão da chave não afeta o desempenho. Não há tempo de inatividade associado à alteração da chave ou à rotação da versão da chave.

Para alterar a chave com o portal do Azure, siga estas etapas:

  1. Navegue até sua conta de armazenamento e exiba as configurações de criptografia .
  2. Selecione o cofre de chaves e escolha uma nova chave.
  3. Guardar as suas alterações.

Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você optar pela atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.

Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente

Para revogar temporariamente o acesso a uma conta de armazenamento que esteja usando chaves gerenciadas pelo cliente, desative a chave que está sendo usada atualmente no cofre de chaves. Não há impacto no desempenho ou tempo de inatividade associado à desativação e reativação da chave.

Depois que a chave for desabilitada, os clientes não poderão chamar operações que leiam ou gravem em um blob ou em seus metadados. Para obter informações sobre quais operações falharão, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Atenção

Quando você desabilita a chave no cofre de chaves, os dados em sua conta de Armazenamento do Azure permanecem criptografados, mas ficam inacessíveis até que você reative a chave.

Para desabilitar uma chave gerenciada pelo cliente com o portal do Azure, siga estas etapas:

  1. Navegue até o cofre de chaves que contém a chave.

  2. Em Objetos, selecione Chaves.

  3. Clique com o botão direito do rato na tecla e selecione Desativar.

    Captura de ecrã a mostrar como desativar uma chave gerida pelo cliente no cofre de chaves.

Voltar para chaves gerenciadas pela Microsoft

Você pode alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft a qualquer momento, usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft no portal do Azure, siga estas etapas:

  1. Navegue para a sua conta de armazenamento.

  2. Em Segurança + rede, selecione Encriptação.

  3. Altere o tipo de criptografia para chaves gerenciadas pela Microsoft.

    Captura de ecrã a mostrar como mudar para chaves geridas pela Microsoft para uma conta de armazenamento.

Próximos passos