Chaves gerenciadas pelo cliente entre locatários com criptografia de dados transparente

Aplica-se a: Banco de Dados SQL do Azure Azure Synapse Analytics (somente pools de SQL dedicados)

O SQL do Azure agora oferece suporte para CMK (chaves gerenciadas pelo cliente) entre locatários com TDE (Transparent Data Encryption). A CMK entre locatários se expande no cenário Bring Your Own Key (BYOK) para utilizar a TDE sem a necessidade de que o servidor lógico no Azure esteja no mesmo locatário do Microsoft Entra que o Azure Key Vault que armazena a chave gerenciada pelo cliente usada para proteger o servidor.

Você pode configurar a TDE com a CMK para o banco de dados SQL do Azure para chaves armazenadas em cofres de chaves configuradas em diferentes locatários do Microsoft Entra. O Microsoft Entra ID (antigo Azure Active Directory) introduz um recurso chamado federação de identidades de carga de trabalho e permite que os recursos do Azure de um locatário do Microsoft Entra acessem recursos em outro locatário do Microsoft Entra.

Para obter a documentação sobre a criptografia de dados transparente para pools de SQL dedicados nos workspaces do Azure Synapse, confira Criptografia do Azure Synapse Analytics.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Cenário de uso comum

Os recursos de CMK entre locatários permitem que provedores de serviços ou ISV (fornecedores independentes de software) criem serviços com base no SQL do Azure para estender a TDE do SQL do Azure com funcionalidades de CMK para seus respectivos clientes. Com o suporte da CMK entre locatários habilitado, os clientes ISV podem ter o cofre de chaves e as chaves de criptografia em sua própria assinatura e locatário do Microsoft Entra. O cliente tem controle total sobre as operações de gerenciamento de chaves, ao mesmo tempo em que acessa recursos SQL do Azure no locatário do ISV.

Interações entre locatários

A interação entre locatários entre o SQL do Azure e um cofre de chaves em outro locatário do Microsoft Entra está habilitada com o recurso do Microsoft Entra, a federação de identidades de carga de trabalho.

Os ISVs que implantam serviços SQL do Azure podem criar uma aplicação multilocatário no Microsoft Entra ID e configurar uma credencial de identidade federada para essa aplicação usando uma identidade gerenciada atribuída pelo usuário. Com o nome do aplicativo e a ID do aplicativo apropriados, um cliente ou cliente ISV pode instalar o aplicativo criado pelo ISV em seu locatário. Em seguida, o cliente concede à entidade de serviço associada às permissões de aplicativo (necessárias para o SQL do Azure) ao cofre de chaves em seu locatário e compartilha o local da chave com o ISV. Depois que o ISV atribuir a identidade gerenciada e a identidade federada de cliente ao recurso SQL do Azure, o recurso SQL do Azure no locatário do ISV poderá acessar o cofre de chaves do cliente.

Para obter mais informações, consulte:

• Configurar chaves gerenciadas pelo cliente entre locatários para uma nova conta de armazenamento
• Configurar chaves gerenciadas pelo cliente entre locatários em uma conta de armazenamento existente

Configuração de CMK entre locatários

O diagrama a seguir representa as etapas para um cenário que utiliza um servidor lógico SQL do Azure que usa TDE para criptografar os dados inativos usando um CMK entre locatários com uma identidade gerenciada atribuída pelo usuário.

Visão geral da configuração

No locatário ISV

1. Crie uma identidade gerenciada atribuída ao usuário

2. Crie um aplicativo multilocatário

   1. Configure a identidade gerenciada atribuída pelo usuário como uma credencial federada no aplicativo

No locatário do cliente

3. Instale o aplicativo multilocatário

4. Crie ou use o cofre de chaves existente e conceda permissões de chave ao aplicativo multilocatário

   1. Crie uma nova chave ou use uma chave existente

   2. Recupere a chave do Key Vault e registre o Identificador de chave

No locatário ISV

5. Atribua a identidade gerenciada atribuída pelo usuário criada como a Identidade primária no menu Identidade do recurso SQL do Azure no portal do Azure

6. Atribua a Identidade federada de cliente no mesmo menu Identidade e use o nome do aplicativo

7. No menu Transparent Data Encryption do recurso SQL do Azure, atribua um Identificador de chave usando o Identificador de chave do cliente obtido do locatário do cliente.

Comentários

• O CMK entre locatários com o recurso TDE só tem suporte para identidades gerenciadas atribuídas pelo usuário. Você não pode usar uma identidade gerenciada atribuída pelo sistema para CMK entre locatários com TDE.
• Há suporte para a configuração de CMK entre locatários com TDE no nível do servidor e no nível do banco de dados do Banco de Dados SQL do Azure. Para obter mais informações, confira TDE (Transparent Data Encryption) com chaves gerenciadas pelo cliente no nível do banco de dados.

Próximas etapas

Criar servidor configurado com a identidade gerenciada atribuída pelo usuário e CMK entre locatários para TDE

Confira também

• Criar um banco de dados SQL do Azure configurado com a identidade gerenciada atribuída pelo usuário e a TDE gerenciada pelo cliente
• Configurar chaves gerenciadas pelo cliente entre locatários para uma nova conta de armazenamento
• Configurar chaves gerenciadas pelo cliente entre locatários em uma conta de armazenamento existente
• TDE (Transparent Data Encryption) com chaves gerenciadas pelo cliente no nível do banco de dados
• Configurar a replicação geográfica e a restauração de backup para Transparent Data Encryption com chaves gerenciadas pelo cliente no nível do banco de dados
• Gerenciamento de identidades e chaves para TDE com chaves gerenciadas pelo cliente no nível do banco de dados