Configurar chaves gerenciadas pelo cliente com o Módulo de Segurança de Hardware gerenciado para criptografia de volume do Azure NetApp Files
A criptografia de volume dos Arquivos NetApp do Azure com chaves gerenciadas pelo cliente com o HSM (Módulo de Segurança de Hardware) gerenciado é uma extensão das chaves gerenciadas pelo cliente para o recurso de criptografia de volumes dos Arquivos NetApp do Azure. As chaves geridas pelo cliente com HSM permitem armazenar as suas chaves de encriptação num HSM FIPS 140-2 de Nível 3 mais seguro em vez do serviço FIPS 140-2 de Nível 1 ou Nível 2 que o Azure Key Vault (AKV) utiliza.
Requisitos
- As chaves geridas pelo cliente com HSM gerido são suportadas mediante a utilização da versão 2022.11 ou posterior da API.
- As chaves geridas pelo cliente com HSM gerido só são suportadas em contas do Azure NetApp Files que não tenham encriptação existente.
- Antes de criar um volume usando a chave gerenciada pelo cliente com o volume HSM gerenciado, você deve ter:
- criou um Cofre de Chaves do Azure, contendo pelo menos uma chave.
- O cofre tem de ter a proteção contra eliminação recuperável e remoção ativada.
- A chave tem de ser do tipo RSA.
- Criado uma VNet com uma sub-rede delegada para Microsoft.Netapp/volumes.
- Uma identidade atribuída pelo utilizador ou pelo sistema para a sua conta do Azure NetApp Files.
- provisionou e ativou um HSM gerenciado.
- criou um Cofre de Chaves do Azure, contendo pelo menos uma chave.
Regiões suportadas
- Austrália Central
- Austrália Central 2
- Leste da Austrália
- Austrália Sudeste
- Sul do Brasil
- Brasil Sudeste
- Canadá Central
- Leste do Canadá
- Índia Central
- E.U.A. Central
- Ásia Leste
- E.U.A. Leste
- E.U.A. Leste 2
- França Central
- Norte da Alemanha
- Alemanha Centro-Oeste
- Israel Central
- Norte da Itália
- Leste do Japão
- Oeste do Japão
- Coreia do Sul Central
- Sul da Coreia do Sul
- E.U.A. Centro-Norte
- Europa do Norte
- Leste da Noruega
- Oeste da Noruega
- Catar Central
- Norte da África do Sul
- E.U.A. Centro-Sul
- Sul da Índia
- Sudeste Asiático
- Espanha Central
- Suécia Central
- Norte da Suíça
- Oeste da Suíça
- E.A.U. Central
- Norte dos E.A.U.
- Sul do Reino Unido
- Europa Ocidental
- E.U.A. Oeste
- E.U.A. Oeste 2
- EUA Oeste 3
Registar a funcionalidade
Esta funcionalidade está atualmente em pré-visualização. Tem registar a funcionalidade antes de a utilizar pela primeira vez. Após o registro, o recurso é ativado e funciona em segundo plano. Nenhum controle de interface do usuário é necessário.
Registar a funcionalidade:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
Verifique o estado do registo da funcionalidade:
Nota
O RegistrationState pode estar no
Registering
estado por até 60 minutos antes de mudar paraRegistered
. Aguarde até que o status seja Registrado antes de continuar.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption
Você também pode usar comandos az feature register
da CLI do Azure e az feature show
registrar o recurso e exibir o status do registro.
Configurar chaves gerenciadas pelo cliente com HSM gerenciado para identidade atribuída ao sistema
Quando você configura chaves gerenciadas pelo cliente com uma identidade atribuída ao sistema, o Azure configura a conta NetApp automaticamente adicionando uma identidade atribuída ao sistema. A política de acesso é criada no Cofre da Chave do Azure com permissões de chave Get, Encrypt e Decrypt.
Requisitos
Para usar uma identidade atribuída pelo sistema, o Cofre da Chave do Azure deve ser configurado para usar a política de acesso do Cofre como seu modelo de permissão. Caso contrário, você deve usar uma identidade atribuída pelo usuário.
Passos
No portal do Azure, navegue até Arquivos NetApp do Azure e selecione Criptografia.
No menu Criptografia, forneça os seguintes valores:
- Em Origem da chave de criptografia, selecione Chave gerenciada pelo cliente.
- Em URI de chave, selecione Inserir URI de chave e forneça o URI para o HSM gerenciado.
- Selecione a Assinatura NetApp.
- Em Tipo de identidade, selecione Sistema atribuído.
Selecione Guardar.
Configurar chaves gerenciadas pelo cliente com HSM gerenciado para identidade atribuída pelo usuário
No portal do Azure, navegue até Arquivos NetApp do Azure e selecione Criptografia.
No menu Criptografia, forneça os seguintes valores:
- Em Origem da chave de criptografia, selecione Chave gerenciada pelo cliente.
- Em URI de chave, selecione Inserir URI de chave e forneça o URI para o HSM gerenciado.
- Selecione a Assinatura NetApp.
- Em Tipo de identidade, selecione Atribuído pelo usuário.
Quando você seleciona Atribuído pelo usuário, um painel de contexto é aberto para selecionar a identidade.
- Se o Azure Key Vault estiver configurado para usar uma política de acesso ao Vault, o Azure configurará a conta NetApp automaticamente e adicionará a identidade atribuída pelo usuário à sua conta NetApp. A política de acesso é criada no Cofre da Chave do Azure com permissões de chave Get, Encrypt e Decrypt.
- Se o Cofre da Chave do Azure estiver configurado para usar o RBAC (controle de acesso baseado em função) do Azure, verifique se a identidade atribuída pelo usuário selecionada tem uma atribuição de função no cofre de chaves com permissões para ações de dados:
- "Microsoft.KeyVault/cofres/chaves/leitura"
- "Microsoft.KeyVault/vaults/keys/criptografar/action"
- "Microsoft.KeyVault/vaults/keys/decrypt/action" A identidade atribuída pelo usuário selecionada é adicionada à sua conta NetApp. Devido ao RBAC ser personalizável, o portal do Azure não configura o acesso ao cofre de chaves. Para obter mais informações, consulte Usando permissões de segredo, chave e certificado do RBAC do Azure com o Cofre da Chave
Selecione Guardar.