Partilhar via


Configurar chaves gerenciadas pelo cliente para criptografia de volume dos Arquivos NetApp do Azure

As chaves gerenciadas pelo cliente para a criptografia de volume dos Arquivos NetApp do Azure permitem que você use suas próprias chaves em vez de uma chave gerenciada pela plataforma ao criar um novo volume. Com chaves gerenciadas pelo cliente, você pode gerenciar totalmente a relação entre o ciclo de vida de uma chave, as permissões de uso da chave e as operações de auditoria em chaves.

O diagrama a seguir demonstra como as chaves gerenciadas pelo cliente funcionam com os Arquivos NetApp do Azure:

Diagrama conceitual de chaves gerenciadas pelo cliente.

  1. Os Arquivos NetApp do Azure concedem permissões para chaves de criptografia para uma identidade gerenciada. A identidade gerenciada é uma identidade gerenciada atribuída pelo usuário que você cria e gerencia ou uma identidade gerenciada atribuída pelo sistema associada à conta NetApp.

  2. Você configura a criptografia com uma chave gerenciada pelo cliente para a conta NetApp.

  3. Você usa a identidade gerenciada à qual o administrador do Cofre da Chave do Azure concedeu permissões na etapa 1 para autenticar o acesso ao Cofre da Chave do Azure por meio da ID do Microsoft Entra.

  4. Os Arquivos NetApp do Azure encapsulam a chave de criptografia da conta com a chave gerenciada pelo cliente no Cofre de Chaves do Azure.

    As chaves gerenciadas pelo cliente não têm impacto no desempenho dos Arquivos NetApp do Azure. Sua única diferença em relação às chaves gerenciadas pela plataforma é como a chave é gerenciada.

  5. Para operações de leitura/gravação, os Arquivos NetApp do Azure enviam solicitações ao Cofre de Chaves do Azure para desempacotar a chave de criptografia da conta para executar operações de criptografia e descriptografia.

Considerações

  • Para criar um volume usando chaves gerenciadas pelo cliente, você deve selecionar os recursos de rede padrão . Não é possível usar volumes de chave gerenciados pelo cliente com volume configurado usando recursos básicos de rede. Siga as instruções para definir a opção Recursos de rede na página de criação de volume.
  • Para maior segurança, pode selecionar a opção Desativar acesso público nas definições de rede do cofre de chaves. Ao selecionar essa opção, você também deve selecionar Permitir que serviços confiáveis da Microsoft ignorem esse firewall para permitir que o serviço Arquivos NetApp do Azure acesse sua chave de criptografia.
  • As chaves gerenciadas pelo cliente suportam a renovação automática do certificado MSI (Managed System Identity). Se o certificado for válido, não será necessário atualizá-lo manualmente.
  • A aplicação de grupos de segurança de rede do Azure na sub-rede de link privado ao Cofre de Chaves do Azure não é suportada para chaves gerenciadas pelo cliente do Azure NetApp Files. Os grupos de segurança de rede não afetam a conectividade com o Private Link a menos que Private endpoint network policy esteja habilitado na sub-rede. É necessário manter esta opção desativada.
  • Se os Arquivos NetApp do Azure não conseguirem criar um volume de chave gerenciado pelo cliente, as mensagens de erro serão exibidas. Consulte a seção Mensagens de erro e solução de problemas para obter mais informações.
  • Não faça alterações no Cofre da Chave do Azure subjacente ou no Ponto de Extremidade Privado do Azure depois de criar um volume de chaves gerenciado pelo cliente. Fazer alterações pode tornar os volumes inacessíveis.
  • Se o Azure Key Vault ficar inacessível, o Azure NetApp Files perderá o seu acesso às chaves de encriptação e a capacidade de ler ou gravar dados em volumes com chaves geridas pelo cliente ativadas. Nesta situação, crie um pedido de suporte para ter o acesso aos volumes afetados restaurado manualmente.
  • Os Arquivos NetApp do Azure dão suporte a chaves gerenciadas pelo cliente em volumes de replicação de origem e de dados com replicação entre regiões ou relações de replicação entre zonas.

Regiões suportadas

As chaves gerenciadas pelo cliente do Azure NetApp Files são suportadas para as seguintes regiões:

  • Austrália Central
  • Austrália Central 2
  • Leste da Austrália
  • Austrália Sudeste
  • Sul do Brasil
  • Brasil Sudeste
  • Canadá Central
  • Leste do Canadá
  • Índia Central
  • E.U.A. Central
  • Ásia Leste
  • E.U.A. Leste
  • E.U.A. Leste 2
  • França Central
  • Norte da Alemanha
  • Alemanha Centro-Oeste
  • Israel Central
  • Norte da Itália
  • Leste do Japão
  • Oeste do Japão
  • Coreia do Sul Central
  • Sul da Coreia do Sul
  • E.U.A. Centro-Norte
  • Europa do Norte
  • Leste da Noruega
  • Oeste da Noruega
  • Catar Central
  • Norte da África do Sul
  • E.U.A. Centro-Sul
  • Sul da Índia
  • Sudeste Asiático
  • Espanha Central
  • Suécia Central
  • Norte da Suíça
  • Oeste da Suíça
  • E.A.U. Central
  • Norte dos E.A.U.
  • Sul do Reino Unido
  • Oeste do Reino Unido
  • US Gov - Arizona
  • US Gov - Texas
  • US Gov - Virginia
  • Europa Ocidental
  • E.U.A. Oeste
  • E.U.A. Oeste 2
  • EUA Oeste 3

Requisitos

Antes de criar seu primeiro volume de chaves gerenciado pelo cliente, você deve configurar:

  • Um Cofre da Chave do Azure, contendo pelo menos uma chave.
    • O cofre tem de ter a proteção contra eliminação recuperável e remoção ativada.
    • A chave deve ser do tipo RSA.
  • O cofre de chaves deve ter um Ponto de Extremidade Privado do Azure.
    • O ponto de extremidade privado deve residir em uma sub-rede diferente da delegada aos Arquivos NetApp do Azure. A sub-rede deve estar na mesma VNet delegada ao Azure NetApp.

Para obter mais informações sobre o Azure Key Vault e o Azure Private Endpoint, consulte:

Configurar uma conta NetApp para usar chaves gerenciadas pelo cliente

  1. No portal do Azure e em Arquivos NetApp do Azure, selecione Criptografia.

    A página Criptografia permite que você gerencie as configurações de criptografia para sua conta NetApp. Ele inclui uma opção para permitir que você defina sua conta NetApp para usar sua própria chave de criptografia, que é armazenada no Cofre da Chave do Azure. Essa configuração fornece uma identidade atribuída pelo sistema à conta NetApp e adiciona uma política de acesso para a identidade com as permissões de chave necessárias.

    Captura de ecrã do menu de encriptação.

  2. Ao definir sua conta NetApp para usar a chave gerenciada pelo cliente, você tem duas maneiras de especificar o URI da chave:

    • A opção Selecionar a partir do cofre de chaves permite-lhe selecionar um cofre de chaves e uma chave. Captura de tela da interface selecionar uma chave.

    • A opção Enter key URI permite que você insira manualmente o URI da chave. Captura de ecrã do menu de encriptação a mostrar o campo URI da chave.

  3. Selecione o tipo de identidade que você deseja usar para autenticação no Cofre da Chave do Azure. Se o Azure Key Vault estiver configurado para usar a política de acesso do Vault como seu modelo de permissão, ambas as opções estarão disponíveis. Caso contrário, apenas a opção atribuída pelo usuário estará disponível.

    • Se você escolher Sistema atribuído, selecione o botão Salvar . O portal do Azure configura a conta NetApp automaticamente adicionando uma identidade atribuída pelo sistema à sua conta NetApp. Uma política de acesso também é criada no seu Cofre de Chaves do Azure com permissões de chave Get, Encrypt, Decrypt.

    Captura de ecrã do menu de encriptação com opções atribuídas pelo sistema.

    • Se você escolher Atribuído pelo usuário, deverá selecionar uma identidade. Escolha Selecionar uma identidade para abrir um painel de contexto onde você seleciona uma identidade gerenciada atribuída pelo usuário.

    Captura de ecrã do submenu atribuído pelo utilizador.

    Se você configurou seu Cofre da Chave do Azure para usar a política de acesso do Vault, o portal do Azure configura a conta NetApp automaticamente com o seguinte processo: A identidade atribuída pelo usuário selecionada é adicionada à sua conta NetApp. Uma política de acesso é criada no Cofre da Chave do Azure com as permissões de chave Get, Encrypt, Decrypt.

    Se você configurou seu Cofre de Chaves do Azure para usar o controle de acesso baseado em função do Azure, precisará certificar-se de que a identidade atribuída pelo usuário selecionada tenha uma atribuição de função no cofre de chaves com permissões para ações:

    • Microsoft.KeyVault/vaults/keys/read
    • Microsoft.KeyVault/vaults/keys/encrypt/action
    • Microsoft.KeyVault/vaults/keys/decrypt/action A identidade atribuída pelo usuário selecionada é adicionada à sua conta NetApp. Devido à natureza personalizável do RBAC (controle de acesso baseado em função), o portal do Azure não configura o acesso ao cofre de chaves. Consulte Fornecer acesso a chaves, certificados e segredos do Cofre de Chaves com um controle de acesso baseado em função do Azure para obter detalhes sobre como configurar o Cofre de Chaves do Azure.
  4. Selecione Salvar e observe a notificação comunicando o status da operação. Se a operação não tiver sido bem-sucedida, será exibida uma mensagem de erro. Consulte as mensagens de erro e a solução de problemas para obter ajuda na resolução do erro.

utilizar o controlo de acesso baseado em funções

Você pode usar um Cofre da Chave do Azure configurado para usar o controle de acesso baseado em função do Azure. Para configurar chaves gerenciadas pelo cliente por meio do portal do Azure, você precisa fornecer uma identidade atribuída pelo usuário.

  1. Na sua conta do Azure, navegue até Cofres de chaves e, em seguida, Políticas de acesso.

  2. Para criar uma política de acesso, em Modelo de permissão, selecione Controle de acesso baseado em função do Azure. Captura de ecrã do menu de configuração de acesso.

  3. Ao criar a função atribuída pelo usuário, há três permissões necessárias para chaves gerenciadas pelo cliente:

    1. Microsoft.KeyVault/vaults/keys/read
    2. Microsoft.KeyVault/vaults/keys/encrypt/action
    3. Microsoft.KeyVault/vaults/keys/decrypt/action

    Embora existam funções predefinidas que incluem essas permissões, essas funções concedem mais privilégios do que os necessários. É recomendável que você crie uma função personalizada com apenas as permissões mínimas necessárias. Para obter mais informações, consulte Funções personalizadas do Azure.

    {
        "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
        "properties": {
            "roleName": "NetApp account",
            "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
            "assignableScopes": [
                "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
            ],
            "permissions": [
              {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/keys/encrypt/action",
                    "Microsoft.KeyVault/vaults/keys/decrypt/action"
                ],
                "notDataActions": []
                }
            ]
          }
    }
    
  4. Depois que a função personalizada for criada e estiver disponível para uso com o cofre de chaves, você a aplicará à identidade atribuída pelo usuário.

Captura de tela do menu de revisão e atribuição do RBAC.

Criar um volume de Arquivos NetApp do Azure usando chaves gerenciadas pelo cliente

  1. Em Arquivos NetApp do Azure, selecione Volumes e, em seguida, + Adicionar volume.

  2. Siga as instruções em Configurar recursos de rede para um volume de Arquivos NetApp do Azure:

  3. Para uma conta NetApp configurada para usar uma chave gerenciada pelo cliente, a página Criar Volume inclui uma opção Fonte da Chave de Criptografia.

    Para criptografar o volume com sua chave, selecione Chave gerenciada pelo cliente no menu suspenso Origem da chave de criptografia.

    Ao criar um volume usando uma chave gerenciada pelo cliente, você também deve selecionar Padrão para a opção Recursos de rede. Recursos básicos de rede não são suportados.

    Você também deve selecionar um ponto de extremidade privado do cofre de chaves. O menu suspenso exibe pontos de extremidade privados na rede virtual selecionada. Se não houver nenhum ponto de extremidade privado para seu cofre de chaves na rede virtual selecionada, a lista suspensa estará vazia e você não poderá continuar. Em caso afirmativo, consulte Ponto de extremidade privado do Azure.

    Captura de tela do menu de volume de criação.

  4. Continue a concluir o processo de criação de volume. Consulte:

Fazer a transição de um volume de Arquivos NetApp do Azure para chaves gerenciadas pelo cliente (visualização)

Os Arquivos NetApp do Azure dão suporte à capacidade de mover volumes existentes usando chaves gerenciadas pela plataforma para chaves gerenciadas pelo cliente. Depois de concluir a migração, não é possível reverter para chaves gerenciadas pela plataforma.

Registar a funcionalidade

A transição da chave de criptografia para Arquivos NetApp do Azure está atualmente em visualização. Antes de usar esse recurso pela primeira vez, você precisa registrá-lo.

  1. Registre o recurso:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk 
    
  2. Verifique o status do registro do recurso:

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFMigratePmkToCmk
    

    Nota

    O RegistrationState pode estar no Registering estado por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registrado antes de continuar.

Você também pode usar comandos az feature register da CLI do Azure e az feature show registrar o recurso e exibir o status do registro.

Volumes de transição

Nota

Ao fazer a transição de volumes para usar chaves gerenciadas pelo cliente, você deve executar a transição para cada rede virtual em que sua conta do Azure NetApp Files tenha volumes.

  1. Certifique-se de configurar sua conta do Azure NetApp Files para usar chaves gerenciadas pelo cliente.
  2. No portal do Azure, navegue até Criptografia.
  3. Selecione a guia Migração CMK.
  4. No menu suspenso, selecione o ponto de extremidade privado da rede virtual e do cofre de chaves que deseja usar.
  5. O Azure gera uma lista de volumes a serem criptografados pela sua chave gerenciada pelo cliente.
  6. Selecione Confirmar para iniciar a migração.

Rechaveie todos os volumes em uma conta NetApp

Se você já configurou sua conta NetApp para chaves gerenciadas pelo cliente e tem um ou mais volumes criptografados com chaves gerenciadas pelo cliente, você pode alterar a chave usada para criptografar todos os volumes na conta NetApp. Você pode selecionar qualquer chave que esteja no mesmo cofre de chaves. Não há suporte para alterar cofres de chaves.

  1. Em sua conta NetApp, navegue até o menu Criptografia . No campo Entrada de chave atual, selecione o link Rechavear. Captura de ecrã da chave de encriptação.

  2. No menu Rekey, selecione uma das teclas disponíveis no menu suspenso. A chave escolhida deve ser diferente da chave atual. Captura de ecrã do menu de reteclas.

  3. Selecione OK para guardar. A operação de rechave pode levar vários minutos.

Mudar de identidade atribuída pelo sistema para identidade atribuída pelo utilizador

Para alternar de identidade atribuída pelo sistema para identidade atribuída pelo usuário, você deve conceder à identidade de destino acesso ao cofre de chaves que está sendo usado com permissões de leitura/obtenção, criptografia e descriptografia.

  1. Atualize a conta NetApp enviando uma solicitação PATCH usando o az rest comando:

    az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
    

    A carga útil deve utilizar a seguinte estrutura:

    {
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
         "<identity-resource-id>": {}
        }
      },
      "properties": {
        "encryption": {
          "identity": {
            "userAssignedIdentity": "<identity-resource-id>"
          }
        }
      }
    }
    
  2. Confirme a operação concluída com êxito com o az netappfiles account show comando. A saída inclui os seguintes campos:

        "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
        "identity": {
            "principalId": null,
            "tenantId": null,
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                    "clientId": "<client-id>",
                    "principalId": "<principalId>",
                    "tenantId": <tenantId>"
                }
            }
        },
    

    Certifique-se de que:

    • encryption.identity.principalId corresponde ao valor em identity.userAssignedIdentities.principalId
    • encryption.identity.userAssignedIdentity corresponde ao valor em identity.userAssignedIdentities[]
    "encryption": {
        "identity": {
            "principalId": "<principal-id>",
            "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
        },
        "KeySource": "Microsoft.KeyVault",
    },
    

Mensagens de erro e solução de problemas

Esta seção lista mensagens de erro e possíveis resoluções quando os Arquivos NetApp do Azure não conseguem configurar a criptografia de chave gerenciada pelo cliente ou criar um volume usando uma chave gerenciada pelo cliente.

Erros ao configurar a criptografia de chave gerenciada pelo cliente em uma conta NetApp

Condição de erro Resolução
The operation failed because the specified key vault key was not found Ao inserir o URI da chave manualmente, verifique se o URI está correto.
Azure Key Vault key is not a valid RSA key Certifique-se de que a chave selecionada é do tipo RSA.
Azure Key Vault key is not enabled Verifique se a chave selecionada está ativada.
Azure Key Vault key is expired Verifique se a chave selecionada não expirou.
Azure Key Vault key has not been activated Verifique se a chave selecionada está ativa.
Key Vault URI is invalid Ao inserir o URI da chave manualmente, verifique se o URI está correto.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault Atualize o nível de recuperação do cofre de chaves para:
“Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault Verifique se o cofre de chaves está na mesma região da conta NetApp.

Erros ao criar um volume criptografado com chaves gerenciadas pelo cliente

Condição de erro Resolução
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption A sua conta do NetApp não tem a encriptação de chaves geridas pelos clientes ativada. Configure a conta NetApp para usar a chave gerenciada pelo cliente.
EncryptionKeySource cannot be changed Nenhuma resolução. Não é possível alterar a propriedade EncryptionKeySource de um volume.
Unable to use the configured encryption key, please check if key is active Verifique se:
-Todas as políticas de acesso estão corretas no cofre de chaves: Get, Encrypt, Decrypt?
-Existe um ponto de extremidade privado para o cofre de chaves?
-Existe um NAT de Rede Virtual na VNet, com a sub-rede delegada Azure NetApp Files habilitada?
Could not connect to the KeyVault Certifique-se de que o ponto de extremidade privado está configurado corretamente e que os firewalls não estão bloqueando a conexão da sua Rede Virtual com o KeyVault.

Próximos passos