Claves administradas por el cliente para el cifrado de Azure StorageCustomer-managed keys for Azure Storage encryption

Puede usar su propia clave de cifrado para proteger los datos de la cuenta de almacenamiento.You can use your own encryption key to protect the data in your storage account. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos.When you specify a customer-managed key, that key is used to protect and control access to the key that encrypts your data. Las claves administradas por el cliente ofrecen más flexibilidad para administrar controles de acceso.Customer-managed keys offer greater flexibility to manage access controls.

Debe usar Azure Key Vault o el modelo de seguridad de hardware (HSM) administrado de Azure Key Vault (versión preliminar) para almacenar las claves administradas por el cliente.You must use either Azure Key Vault or Azure Key Vault Managed Hardware Security Model (HSM) (preview) to store your customer-managed keys. Puede crear sus propias claves y almacenarlas en un almacén de claves o HSM administrado, o bien puede usar las API de Azure Key Vault para generarlas.You can either create your own keys and store them in the key vault or managed HSM, or you can use the Azure Key Vault APIs to generate keys. La cuenta de almacenamiento y el almacén de claves o HSM administrado deben estar en la misma región y en el mismo inquilino de Azure Active Directory (Azure AD), pero pueden estar en distintas suscripciones.The storage account and the key vault or managed HSM must be in the same region and in the same Azure Active Directory (Azure AD) tenant, but they can be in different subscriptions.

Para más información sobre Azure Key Vault, vea ¿Qué es Azure Key Vault?.For more information about Azure Key Vault, see What is Azure Key Vault?.

Nota

Azure Key Vault y HSM administrado de Azure Key Vault admiten las mismas API e interfaces de administración para la configuración.Azure Key Vault and Azure Key Vault Managed HSM support the same APIs and management interfaces for configuration.

Acerca de las claves administradas por el clienteAbout customer-managed keys

En el siguiente diagrama se muestra cómo Azure Storage usa Azure Active Directory y un almacén de claves o HSM administrado para hacer solicitudes mediante la clave administrada por el cliente:The following diagram shows how Azure Storage uses Azure Active Directory and a key vault or managed HSM to make requests using the customer-managed key:

Diagrama que muestra cómo funcionan las claves administradas por el cliente en Azure Storage

En la lista siguiente se explican los pasos numerados del diagrama:The following list explains the numbered steps in the diagram:

  1. Un administrador de Azure Key Vault concede permisos sobre las claves de cifrado a la identidad administrada que está asociada a la cuenta de almacenamiento.An Azure Key Vault admin grants permissions to encryption keys to the managed identity that's associated with the storage account.
  2. Un administrador de Azure Storage configura el cifrado con una clave administrada por el cliente para la cuenta de almacenamiento.An Azure Storage admin configures encryption with a customer-managed key for the storage account.
  3. Azure Storage usa la identidad administrada que está asociada a la cuenta de almacenamiento para autenticar el acceso a Azure Key Vault mediante Azure Active Directory.Azure Storage uses the managed identity that's associated with the storage account to authenticate access to Azure Key Vault via Azure Active Directory.
  4. Azure Storage encapsula la clave de cifrado de la cuenta con la clave de cliente en Azure Key Vault.Azure Storage wraps the account encryption key with the customer key in Azure Key Vault.
  5. En operaciones de lectura y escritura, Azure Storage envía solicitudes a Azure Key Vault para desencapsular la clave de cifrado de la cuenta con el fin de realizar operaciones de cifrado y descifrado.For read/write operations, Azure Storage sends requests to Azure Key Vault to unwrap the account encryption key to perform encryption and decryption operations.

Claves administradas por el cliente para colas y tablasCustomer-managed keys for queues and tables

Los datos almacenados en Queue y Table Storage no se protegen automáticamente mediante una clave administrada por el cliente cuando se habilitan las claves administradas por el cliente para la cuenta de almacenamiento.Data stored in Queue and Table storage is not automatically protected by a customer-managed key when customer-managed keys are enabled for the storage account. Opcionalmente, puede configurar estos servicios para que se incluyan en esta protección en el momento de crear la cuenta de almacenamiento.You can optionally configure these services to be included in this protection at the time that you create the storage account.

Para más información sobre cómo crear una cuenta de almacenamiento que admita el uso de claves administradas por el cliente para colas y tablas, consulte Creación de una cuenta que admita las claves administradas por el cliente para tablas y colas.For more information about how to create a storage account that supports customer-managed keys for queues and tables, see Create an account that supports customer-managed keys for tables and queues.

Los datos en Blob Storage y Azure Files siempre están protegidos por claves administradas por el cliente cuando se han configurado las claves administradas por el cliente para la cuenta de almacenamiento.Data in Blob storage and Azure Files is always protected by customer-managed keys when customer-managed keys are configured for the storage account.

Habilitación de claves administradas por el cliente para una cuenta de almacenamientoEnable customer-managed keys for a storage account

Al configurar una clave administrada por el cliente, Azure Storage encapsula la clave de cifrado de la cuenta con la clave administrada por el cliente en el almacén de claves o HSM administrado asociado.When you configure a customer-managed key, Azure Storage wraps the root data encryption key for the account with the customer-managed key in the associated key vault or managed HSM. La habilitación de claves administradas por el cliente no afecta al rendimiento y surte efecto de forma inmediata.Enabling customer-managed keys does not impact performance, and takes effect immediately.

Al habilitar o deshabilitar las claves administradas por el cliente, o al modificar la clave o la versión de la clave, la protección de la clave de cifrado raíz cambia, pero no es necesario volver a cifrar los datos de la cuenta de Azure Storage.When you enable or disable customer managed keys, or when you modify the key or the key version, the protection of the root encryption key changes, but the data in your Azure Storage account does not need to be re-encrypted.

Las claves administradas por el cliente solo se pueden habilitar en cuentas de almacenamiento existentes.Customer-managed keys can enabled only on existing storage accounts. El almacén de claves o HSM administrado se deben configurar para conceder permisos a la identidad administrada que está asociada a la cuenta de almacenamiento.The key vault or managed HSM must be configured to grant permissions to the managed identity that is associated with the storage account. La identidad administrada solo está disponible después de crear la cuenta de almacenamiento.The managed identity is available only after the storage account is created.

Puede cambiar entre las claves administradas por el cliente y las claves administradas por Microsoft en cualquier momento.You can switch between customer-managed keys and Microsoft-managed keys at any time. Para obtener más información sobre las claves administradas por Microsoft, vea Información sobre la administración de claves de cifrado.For more information about Microsoft-managed keys, see About encryption key management.

Para obtener información sobre cómo configurar el cifrado de Azure Storage con las claves administradas por el cliente en un almacén de claves, consulte Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault.To learn how to configure Azure Storage encryption with customer-managed keys in a key vault, see Configure encryption with customer-managed keys stored in Azure Key Vault. Para configurar las claves administradas por el cliente en un HSM administrado, consulte Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault (versión preliminar).To configure customer-managed keys in a managed HSM, see Configure encryption with customer-managed keys stored in Azure Key Vault Managed HSM (preview).

Importante

Las claves administradas por el cliente dependen de identidades administradas para los recursos de Azure, una característica de Azure AD.Customer-managed keys rely on managed identities for Azure resources, a feature of Azure AD. Las identidades administradas no admiten actualmente escenarios entre directorios.Managed identities do not currently support cross-directory scenarios. Al configurar las claves administradas por el cliente en Azure Portal, se asigna automáticamente una identidad administrada a la cuenta de almacenamiento en segundo plano.When you configure customer-managed keys in the Azure portal, a managed identity is automatically assigned to your storage account under the covers. Si posteriormente mueve la suscripción, el grupo de recursos o la cuenta de almacenamiento de un directorio de Azure AD a otro, la identidad administrada asociada a la cuenta de almacenamiento no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar.If you subsequently move the subscription, resource group, or storage account from one Azure AD directory to another, the managed identity associated with the storage account is not transferred to the new tenant, so customer-managed keys may no longer work. Para más información, vea Transferencia de una suscripción entre directorios de Azure AD en Preguntas frecuentes y problemas conocidos con identidades administradas para recursos de Azure.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

El cifrado de almacenamiento de Azure admite claves RSA y RSA-HSM de los tamaños 2048, 3072 y 4096.Azure storage encryption supports RSA and RSA-HSM keys of sizes 2048, 3072 and 4096. Para obtener más información sobre las claves, consulte Acerca de las claves.For more information about keys, see About keys.

El uso de un almacén de claves o HSM administrado tiene costos asociados.Using a key vault or managed HSM has associated costs. Para más información, vea Precios de Key Vault.For more information, see Key Vault pricing.

Actualización de la versión de la claveUpdate the key version

Al configurar el cifrado con claves administradas por el cliente, tiene dos opciones para actualizar la versión de la clave:When you configure encryption with customer-managed keys, you have two options for updating the key version:

  • Actualización automática de la versión de la clave: para actualizar automáticamente una clave administrada por el cliente a una nueva versión disponible, omita la versión de la clave al habilitar el cifrado con las claves administradas por el cliente para la cuenta de almacenamiento.Automatically update the key version: To automatically update a customer-managed key when a new version is available, omit the key version when you enable encryption with customer-managed keys for the storage account. Si se omite la versión de la clave, Azure Storage comprueba el almacén de claves o HSM administrado diariamente para obtener una nueva versión de una clave administrada por el cliente.If the key version is omitted, then Azure Storage checks the key vault or managed HSM daily for a new version of a customer-managed key. Azure Storage usa automáticamente la versión más reciente de la clave.Azure Storage automatically uses the latest version of the key.

  • Actualización manual de la versión de la clave: para usar una versión determinada de una clave para el cifrado de Azure Storage, especifique la versión de la clave al habilitar el cifrado con las claves administradas por el cliente para la cuenta de almacenamiento.Manually update the key version: To use a specific version of a key for Azure Storage encryption, specify that key version when you enable encryption with customer-managed keys for the storage account. Si especifica la versión de la clave, Azure Storage usará esa versión para el cifrado hasta que actualice manualmente la versión de la clave.If you specify the key version, then Azure Storage uses that version for encryption until you manually update the key version.

    Cuando se especifica la versión de la clave de manera explícita, debe actualizar manualmente la cuenta de almacenamiento para usar el nuevo URI de la versión de la clave cuando se crea una nueva versión.When the key version is explicitly specified, then you must manually update the storage account to use the new key version URI when a new version is created. Para obtener más información sobre cómo actualizar la cuenta de almacenamiento para usar una nueva versión de la clave, consulte Configuración del cifrado con claves administradas por el cliente almacenadas en Azure Key Vault o Configuración del cifrado con claves administradas por el cliente almacenadas en HSM administrado de Azure Key Vault (versión preliminar).To learn how to update the storage account to use a new version of the key, see Configure encryption with customer-managed keys stored in Azure Key Vault or Configure encryption with customer-managed keys stored in Azure Key Vault Managed HSM (preview).

Al actualizar la versión de la clave, la protección de la clave de cifrado raíz cambia, pero los datos de la cuenta de Azure Storage no se vuelven a cifrar.When you update the key version, the protection of the root encryption key changes, but the data in your Azure Storage account is not re-encrypted. No es preciso que el usuario realice ninguna otra acción.There is no further action required from the user.

Nota

Para rotar una clave, cree una nueva versión de la clave en el almacén de claves o HSM administrado, según las directivas de cumplimiento.To rotate a key, create a new version of the key in the key vault or managed HSM, according to your compliance policies. Puede rotar la clave manualmente o crear una función para rotarla según una planificación.You can rotate your key manually or create a function to rotate it on a schedule.

Revocación del acceso a las claves administradas por el clienteRevoke access to customer-managed keys

Puede revocar el acceso de la cuenta de almacenamiento a la clave administrada por el cliente en cualquier momento.You can revoke the storage account's access to the customer-managed key at any time. Después de revocar el acceso a las claves administradas por el cliente, o después de que se haya deshabilitado o eliminado la clave, los clientes no pueden llamar a las operaciones que leen o escriben en un blob o en sus metadatos.After access to customer-managed keys is revoked, or after the key has been disabled or deleted, clients cannot call operations that read from or write to a blob or its metadata. Los intentos de llamar a cualquiera de las siguientes operaciones producirán un error con el código de error 403 (prohibido) para todos los usuarios:Attempts to call any of the following operations will fail with error code 403 (Forbidden) for all users:

Para volver a llamar a estas operaciones, restaure el acceso a la clave administrada por el cliente.To call these operations again, restore access to the customer-managed key.

Todas las operaciones de datos que no aparecen en esta sección pueden continuar después de que se hayan revocado las claves administradas por el cliente o se haya deshabilitado o eliminado una clave.All data operations that are not listed in this section may proceed after customer-managed keys are revoked or a key is disabled or deleted.

Para revocar el acceso a las claves administradas por el cliente, use PowerShell o la CLI de Azure.To revoke access to customer-managed keys, use PowerShell or Azure CLI.

Claves administradas por el cliente para discos administrados por AzureCustomer-managed keys for Azure managed disks

Las claves administradas por el cliente también están disponibles para administrar el cifrado de discos administrados por Azure.Customer-managed keys are also available for managing encryption of Azure managed disks. Las claves administradas por el cliente se comportan de forma diferente en los discos administrados que en los recursos de Azure Storage.Customer-managed keys behave differently for managed disks than for Azure Storage resources. Para más información, consulte Cifrado del lado servidor de Azure Managed Disks para Windows o Cifrado del lado servidor de Azure Managed Disks para Linux.For more information, see Server-side encryption of Azure managed disks for Windows or Server side encryption of Azure managed disks for Linux.

Pasos siguientesNext steps