Visão geral das chaves gerenciadas pelo cliente
O Registro de Contêiner do Azure criptografa automaticamente as imagens e outros artefatos que você armazena. Por padrão, o Azure criptografa automaticamente o conteúdo do Registro em repouso usando chaves gerenciadas pelo serviço. Usando uma chave gerenciada pelo cliente, você pode complementar a criptografia padrão com uma camada de criptografia adiciona.
Este artigo é a primeira parte de uma série de tutoriais de quatro partes. O tutorial abrange:
- Visão geral das chaves gerenciadas pelo cliente
- Habilitar uma chave gerenciada pelo cliente
- Girar e revogar uma chave gerenciada pelo cliente
- Solucionar problemas de uma chave gerenciada pelo cliente
Sobre as chaves gerenciadas pelo cliente
Uma chave gerenciada pelo cliente fornece a propriedade de Bring Your Own Key no Azure Key Vault. Ao habilitar uma chave gerenciada pelo cliente, você pode gerenciar suas rotações, controlar o acesso e as permissões para usá-la e auditar seu uso.
Os principais recursos incluem:
Conformidade regulatória: o Azure criptografa automaticamente o conteúdo do Registro em repouso com chaves gerenciadas pelo serviço, mas a criptografia de chave gerenciada pelo cliente ajuda você a atender às diretrizes de conformidade regulatória.
Integração com o Azure Key Vault: as chaves gerenciadas pelo cliente dão suporte à criptografia do lado do servidor por meio da integração com o Azure Key Vault. Com chaves gerenciadas pelo cliente, você pode criar suas próprias chaves de criptografia e armazená-las em um cofre de chaves. Ou você pode usar as APIs do Azure Key Vault para gerar chaves.
Gerenciamento de ciclo de vida da chave: a integração de chaves gerenciadas pelo cliente com o Azure Key Vault fornecerá controle e responsabilidade totais pelo ciclo de vida de chave, incluindo rotação e gerenciamento.
Antes de habilitar uma chave gerenciada pelo cliente
Antes de configurar o Registro de Contêiner do Azure com uma chave gerenciada pelo cliente, considere as seguintes informações:
- Esse recurso está disponível na camada de serviço Premium do Registro de contêiner. Para obter mais informações, confira Níveis de serviço do Registro de Contêiner do Azure.
- Atualmente, você pode habilitar uma chave gerenciada pelo cliente somente quando cria um Registro.
- Não é possível desabilitar a criptografia depois de habilitar uma chave gerenciada pelo cliente em um Registro.
- Você deve configurar uma identidade gerenciada atribuída pelo usuário para acessar o cofre de chaves. Posteriormente, se necessário, você poderá habilitar a identidade gerenciada atribuída pelo sistema do Registro para o acesso do cofre de chaves.
- O Registro de Contêiner do Azure dá suporte apenas a chaves RSA ou RSA-HSM. Atualmente, não há suporte a chaves de curva elíptica.
- Em um Registro criptografado com uma chave gerenciada pelo cliente, é possível manter os logs das Tarefas do Registro de Contêiner do Azure apenas por 24 horas. Para manter os logs por um período mais longo, confira Exibir e gerenciar logs de execução de tarefas.
- Atualmente, não há suporte para a confiança no conteúdo em um Registro criptografado com uma chave gerenciada pelo cliente.
Atualização da versão da chave gerenciada pelo cliente
O Registro de Contêiner do Azure dá suporte à rotação automática e manual de chaves de criptografia do Registro quando uma nova versão de chave está disponível no Azure Key Vault.
Importante
Para um Registro com criptografia de chave gerenciada pelo cliente, é uma consideração de segurança importante atualizar (girar) com frequência as versões de chave. Siga as políticas de conformidade da sua organização para atualizar regularmente as versões de chave enquanto armazena uma chave gerenciada pelo cliente no Azure Key Vault.
Atualização automática da versão de chave: quando um Registro é criptografado com uma chave sem controle de versão, o Registro de Contêiner do Azure verifica regularmente o cofre de chaves em busca de uma nova versão de chave e atualiza a chave gerenciada pelo cliente em até uma hora. Sugerimos omitir a versão de chave quando você habilitar a criptografia do Registro com uma chave gerenciada pelo cliente. O Registro de Contêiner do Azure usará e atualizará automaticamente a versão mais recente da chave.
Atualização manual da versão da chave: quando um Registro é criptografado com uma versão de chave específica, o Registro de Contêiner do Azure usa essa versão para criptografia até que você gire manualmente a chave gerenciada pelo cliente. Sugerimos especificar a versão de chave quando você habilitar a criptografia do Registro com uma chave gerenciada pelo cliente. O Registro de Contêiner do Azure usará uma versão específica de uma chave para criptografia do Registro.
Para obter detalhes, confira Rotação de chaves e Versão da chave de atualização.
Próximas etapas
- Para habilitar o Registro de contêiner com uma chave gerenciada pelo cliente usando a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager, avance para o próximo artigo: Habilitar uma chave gerenciada pelo cliente.
- Saiba mais sobre a criptografia em repouso no Azure.
- Saiba mais sobre as políticas de acesso e como proteger o acesso a um cofre de chaves.