Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma nova conta de armazenamento
O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter controle adicional sobre chaves de criptografia, você pode gerenciar suas próprias chaves. As chaves gerenciadas pelo cliente devem ser armazenadas em um Cofre de Chaves do Azure ou em um HSM (Modelo de Segurança de Hardware Gerenciado) do Cofre de Chaves do Azure.
Este artigo mostra como configurar a criptografia com chaves gerenciadas pelo cliente no momento em que você cria uma nova conta de armazenamento. As chaves gerenciadas pelo cliente são armazenadas em um cofre de chaves.
Para saber como configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente, consulte Configurar chaves gerenciadas pelo cliente em um cofre de chaves do Azure para uma conta de armazenamento existente.
Nota
O Azure Key Vault e o Azure Key Vault Managed HSM suportam as mesmas APIs e interfaces de gestão para a configuração de chaves geridas pelo cliente. Qualquer ação com suporte para o Azure Key Vault também é suportada para o Azure Key Vault Managed HSM.
Configurar o cofre de chaves
Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário. Para saber mais sobre o Azure Key Vault, consulte Visão geral do Azure Key Vault e O que é o Azure Key Vault?.
O uso de chaves gerenciadas pelo cliente com a criptografia do Armazenamento do Azure exige que a proteção contra exclusão flexível e limpeza seja habilitada para o cofre de chaves. A exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou depois que ele for criado.
O Azure Key Vault dá suporte à autorização com o Azure RBAC por meio de um modelo de permissão do Azure RBAC. A Microsoft recomenda o uso do modelo de permissão RBAC do Azure sobre as políticas de acesso ao cofre de chaves. Para obter mais informações, consulte Conceder permissão a aplicativos para acessar um cofre de chaves do Azure usando o Azure RBAC.
Para saber como criar um cofre de chaves com o portal do Azure, consulte Guia de início rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Ativar proteção contra limpeza, conforme mostrado na imagem a seguir.
Para ativar a proteção contra limpeza num cofre de chaves existente, siga estes passos:
- Navegue até o cofre da chave no portal do Azure.
- Em Configurações, escolha Propriedades.
- Na seção Proteção contra purga, escolha Ativar proteção contra purga.
Adicionar uma chave
Em seguida, adicione uma chave ao cofre de chaves. Antes de adicionar a chave, certifique-se de que atribuiu a si mesmo a função Key Vault Crypto Officer .
A encriptação do Armazenamento do Azure suporta chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave suportados, consulte Sobre chaves.
Para saber como adicionar uma chave com o portal do Azure, consulte Guia de início rápido: definir e recuperar uma chave do Cofre da Chave do Azure usando o portal do Azure.
Usar uma identidade gerenciada atribuída pelo usuário para autorizar o acesso ao cofre de chaves
Ao habilitar chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você deve especificar uma identidade gerenciada atribuída pelo usuário. Uma conta de armazenamento existente oferece suporte ao uso de uma identidade gerenciada atribuída pelo usuário ou de uma identidade gerenciada atribuída pelo sistema para configurar chaves gerenciadas pelo cliente.
Quando você configura chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, a identidade gerenciada atribuída pelo usuário é usada para autorizar o acesso ao cofre de chaves que contém a chave. Você deve criar a identidade atribuída pelo usuário antes de configurar chaves gerenciadas pelo cliente.
Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Para saber mais sobre identidades gerenciadas atribuídas pelo usuário, consulte Tipos de identidade gerenciada. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.
A identidade gerenciada atribuída pelo usuário deve ter permissões para acessar a chave no cofre de chaves. Atribua a função Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves à identidade gerenciada atribuída pelo usuário com escopo do cofre de chaves para conceder essas permissões.
Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, você deve atribuir a função Usuário de Criptografia do Serviço de Criptografia do Cofre da Chave à identidade gerenciada atribuída pelo usuário, com escopo para o cofre de chaves. Essa função concede ao usuário permissões de identidade gerenciada atribuídas pelo usuário para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.
Ao configurar chaves gerenciadas pelo cliente com o portal do Azure, você pode selecionar uma identidade atribuída pelo usuário existente por meio da interface do usuário do portal.
Configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento
Ao configurar a criptografia com chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você pode optar por atualizar automaticamente a versão da chave usada para a criptografia do Armazenamento do Azure sempre que uma nova versão estiver disponível no cofre de chaves associado. Como alternativa, você pode especificar explicitamente uma versão de chave a ser usada para criptografia até que a versão da chave seja atualizada manualmente.
Você deve usar uma identidade gerenciada atribuída pelo usuário existente para autorizar o acesso ao cofre de chaves ao configurar chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. A identidade gerenciada atribuída pelo usuário deve ter permissões apropriadas para acessar o cofre de chaves. Para obter mais informações, consulte Autenticar no Cofre da Chave do Azure.
Configurar criptografia para atualização automática de versões de chave
O Armazenamento do Azure pode atualizar automaticamente a chave gerenciada pelo cliente usada para criptografia para usar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica o cofre da chave diariamente em busca de uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a usar a versão mais recente da chave para criptografia.
Importante
O Armazenamento do Azure verifica o cofre de chaves em busca de uma nova versão de chave apenas uma vez por dia. Quando rodar uma chave, certifique-se de que aguarda 24 horas antes de desativar a versão mais antiga.
Para configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento com atualização automática da versão da chave, siga estas etapas:
No portal do Azure, navegue até a página Contas de armazenamento e selecione o botão Criar para criar uma nova conta.
Siga as etapas descritas em Criar uma conta de armazenamento para preencher os campos nas guias Básico, Avançado, Rede e Proteção de Dados.
Na guia Criptografia, indique para quais serviços você deseja habilitar o suporte para chaves gerenciadas pelo cliente no campo Habilitar suporte para chaves gerenciadas pelo cliente.
No campo Tipo de criptografia, selecione Chaves gerenciadas pelo cliente (CMK).
No campo Chave de criptografia, escolha Selecionar um cofre e uma chave e especifique o cofre e a chave da chave.
Para o campo Identidade atribuída pelo usuário, selecione uma identidade gerenciada atribuída pelo usuário existente.
Selecione o botão Rever para validar e criar a conta.
Você também pode configurar chaves gerenciadas pelo cliente com a atualização manual da versão da chave ao criar uma nova conta de armazenamento. Siga as etapas descritas em Configurar criptografia para atualização manual de versões de chave.
Configurar a criptografia para atualização manual de versões de chave
Se preferir atualizar manualmente a versão da chave, especifique explicitamente a versão ao configurar a criptografia com chaves gerenciadas pelo cliente ao criar a conta de armazenamento. Nesse caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando uma nova versão for criada no cofre da chave. Para usar uma nova versão de chave, você deve atualizar manualmente a versão usada para a criptografia do Armazenamento do Azure.
Você deve usar uma identidade gerenciada atribuída pelo usuário existente para autorizar o acesso ao cofre de chaves ao configurar chaves gerenciadas pelo cliente durante a criação da conta de armazenamento. A identidade gerenciada atribuída pelo usuário deve ter permissões apropriadas para acessar o cofre de chaves. Para obter mais informações, consulte Autenticar no Cofre da Chave do Azure.
Para configurar chaves gerenciadas pelo cliente com a atualização manual da versão da chave no portal do Azure, especifique o URI da chave, incluindo a versão, ao criar a conta de armazenamento. Para especificar uma chave como um URI, siga estes passos:
No portal do Azure, navegue até a página Contas de armazenamento e selecione o botão Criar para criar uma nova conta.
Siga as etapas descritas em Criar uma conta de armazenamento para preencher os campos nas guias Básico, Avançado, Rede e Proteção de Dados.
Na guia Criptografia, indique para quais serviços você deseja habilitar o suporte para chaves gerenciadas pelo cliente no campo Habilitar suporte para chaves gerenciadas pelo cliente.
No campo Tipo de criptografia, selecione Chaves gerenciadas pelo cliente (CMK).
Para localizar o URI da chave no portal do Azure, navegue até o cofre da chave e selecione a configuração Chaves . Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações dessa versão.
Copie o valor do campo Identificador de Chave , que fornece o URI.
Nas configurações de chave de criptografia para sua conta de armazenamento, escolha a opção Inserir URI de chave.
Cole o URI copiado no campo URI de chave. Inclua a versão da chave no URI para configurar a atualização manual da versão da chave.
Especifique uma identidade gerenciada atribuída pelo usuário escolhendo o link Selecionar uma identidade .
Selecione o botão Rever para validar e criar a conta.
Alterar a chave
Você pode alterar a chave que está usando para a criptografia do Armazenamento do Azure a qualquer momento.
Nota
Quando você altera a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados em sua conta de Armazenamento do Azure permanecem sempre criptografados. Não é necessária qualquer ação adicional da sua parte para assegurar que os dados estão protegidos. Alterar a chave ou girar a versão da chave não afeta o desempenho. Não há tempo de inatividade associado à alteração da chave ou à rotação da versão da chave.
Para alterar a chave com o portal do Azure, siga estas etapas:
- Navegue até sua conta de armazenamento e exiba as configurações de criptografia .
- Selecione o cofre de chaves e escolha uma nova chave.
- Guardar as suas alterações.
Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você escolher a atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.
Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente
Para revogar temporariamente o acesso a uma conta de armazenamento que esteja usando chaves gerenciadas pelo cliente, desative a chave que está sendo usada atualmente no cofre de chaves. Não há impacto no desempenho ou tempo de inatividade associado à desativação e reativação da chave.
Depois que a chave for desabilitada, os clientes não poderão chamar operações que leiam ou gravem em um blob ou em seus metadados. Para obter informações sobre quais operações falharão, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.
Atenção
Quando você desabilita a chave no cofre de chaves, os dados em sua conta de Armazenamento do Azure permanecem criptografados, mas ficam inacessíveis até que você reative a chave.
Para desabilitar uma chave gerenciada pelo cliente com o portal do Azure, siga estas etapas:
Navegue até o cofre de chaves que contém a chave.
Em Objetos, selecione Chaves.
Clique com o botão direito do rato na tecla e selecione Desativar.
Desativar a chave fará com que as tentativas de acessar dados na conta de armazenamento falhem com o código de erro 403 (Proibido). Para obter uma lista das operações da conta de armazenamento que serão afetadas pela desativação da chave, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.
Voltar para chaves gerenciadas pela Microsoft
Você pode alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft a qualquer momento, usando o portal do Azure, o PowerShell ou a CLI do Azure.
Para alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft no portal do Azure, siga estas etapas:
Navegue para a sua conta de armazenamento.
Em Segurança + rede, selecione Encriptação.
Altere o tipo de criptografia para chaves gerenciadas pela Microsoft.
Próximos passos
- Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
- Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure
- Configurar chaves gerenciadas pelo cliente em um cofre de chaves do Azure para uma conta de armazenamento existente
- Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado do Azure Key Vault