Criptografar discos gerenciados com chaves gerenciadas pelo cliente entre locatários

Este artigo aborda a criação de uma solução em que você criptografa discos gerenciados com chaves gerenciadas pelo cliente usando os Azure Key Vaults armazenados em um locatário diferente do Microsoft Entra. Essa configuração pode ser ideal para vários cenários, por exemplo, o Suporte do Azure para provedores de serviços que desejam oferecer aos clientes chaves de criptografia do tipo bring-your-own-key, nas quais os recursos do locatário do provedor de serviços são criptografados com chaves do locatário do cliente.

Um conjunto de criptografia de disco com identidade federada em um fluxo de trabalho CMK entre locatários abrange recursos de locatário do provedor de serviços/ISV (conjunto de criptografia de disco, identidades gerenciadas e registros de aplicativo) e recursos de locatário do cliente (aplicativos corporativos, atribuições de função de usuário e cofre de chaves). Nesse caso, o recurso do Azure de origem é o conjunto de criptografia de disco do provedor de serviços.

Se você tiver dúvidas sobre as chaves gerenciadas pelo cliente entre locatários com discos gerenciados, envie um email para crosstenantcmkvteam@service.microsoft.com.

Limitações

• O Managed Disks e o Key Vault do cliente precisam estar na mesma região do Azure, mas podem estar em assinaturas diferentes.
• Esta funcionalidade não dá suporte a Discos Ultra nem a discos gerenciados do SSD Premium v2 do Azure.
• Esse recurso não está disponível no Microsoft Azure operado pelas nuvens do 21Vianet ou Governamental.

Sobre chaves gerenciadas pelo cliente entre locatários

Muitos provedores de serviços que criam ofertas de SaaS (Software como Serviço) no Azure querem oferecer aos clientes a opção de gerenciar as próprias chaves de criptografia. As chaves gerenciadas pelo cliente permitem que um provedor de serviços criptografe os dados do cliente usando uma chave de criptografia gerenciada pelo cliente do provedor de serviços, que não está acessível ao provedor de serviços. No Azure, o cliente do provedor de serviços pode usar os Azure Key Vaults para gerenciar suas chaves de criptografia em seu próprio locatário e assinatura do Microsoft Entra.

Os serviços e os recursos da plataforma Azure que pertencem ao provedor de serviços e residem no locatário do provedor de serviços exigem acesso à chave do locatário do cliente para executar as operações de criptografia/descriptografia.

A imagem abaixo mostra uma criptografia de dados em repouso com identidade federada em um fluxo de trabalho CMK entre locatários abrangendo um provedor de serviços e seu cliente.

No exemplo acima, há dois locatários do Microsoft Entra: o locatário de um provedor de serviços independente (Locatário 1) e o locatário de um cliente (Locatário 2). O Locatário 1 hospeda serviços da plataforma Azure e o Locatário 2 hospeda o cofre de chaves do cliente.

Um registro de aplicativo multilocatário é criado pelo provedor de serviços em Locatário 1. Uma credencial de identidade federada é criada neste aplicativo usando uma identidade gerenciada atribuída pelo usuário. Em seguida, o nome e a ID do aplicativo são compartilhados com o cliente.

Um usuário com as permissões apropriadas instala o aplicativo do provedor de serviços no locatário do cliente, o Locatário 2. Depois, um usuário permite à entidade de serviço associada o acesso do aplicativo instalado ao cofre de chaves do cliente. O cliente também armazena a chave de criptografia, ou a chave gerenciada pelo cliente, no cofre de chaves. O cliente compartilha o local da chave (a URL da chave) com o provedor de serviços.

O provedor de serviço agora tem:

• Uma ID de aplicativo de um aplicativo multilocatário instalado no locatário do cliente, que recebeu acesso à chave gerenciada pelo cliente.
• Uma identidade gerenciada configurada como a credencial no aplicativo multilocatário.
• O local da chave no cofre de chaves do cliente.

Com esses três parâmetros, o provedor de serviços provisiona recursos do Azure no Locatário 1 que podem ser criptografados com a chave gerenciada pelo cliente no Locatário 2.

Vamos dividir a solução de ponta a ponta acima em três fases:

1. O provedor de serviços configura identidades.
2. O cliente permite ao aplicativo multilocatário do provedor de serviços acesso a uma chave de criptografia no Azure Key Vault.
3. O provedor de serviços criptografa dados em um recurso do Azure usando a CMK.

As operações na Fase 1 seriam uma configuração única para a maioria dos aplicativos do provedor de serviços. As operações nas Fases 2 e 3 seriam repetidas para cada cliente.

Fase 1 - O provedor de serviços configura um aplicativo Microsoft Entra

Etapa	Descrição	Função mínima no RBAC do Azure	Função mínima no Microsoft Entra RBAC
1.	Crie um novo registro de aplicativo multilocatário do Microsoft Entra ou comece com um registro de aplicativo existente. Anote a ID do aplicativo (ID do cliente) do registro de aplicativo usando o portal do Azure, a API do Microsoft Graph, o Azure PowerShell ou a CLI do Azure	Nenhum	Desenvolvedor de Aplicativo
2.	Crie uma identidade gerenciada atribuída pelo usuário (a ser usada como uma Credencial de Identidade Federada). Portal do Azure / CLI do Azure / Azure PowerShell/ Modelos do Azure Resource Manager	Colaborador de identidade gerenciada	Nenhum
3.	Configure a identidade gerenciada atribuída pelo usuário como uma credencial de identidade federada no aplicativo, para que ela possa representar a identidade do aplicativo. Referência da API do Graph/ Portal do Azure/ CLI do Azure/ Azure PowerShell	Nenhum	Proprietário do aplicativo
4.	Compartilhe o nome do aplicativo e a ID do aplicativo com o cliente, para que ele possa instalar e autorizar o aplicativo.	Nenhum	Nenhum

Considerações para provedores de serviço

• Os modelos do ARM (Azure Resource Manager) não são recomendados para criar aplicativos do Microsoft Entra.
• O mesmo aplicativo multilocatário pode ser usado para acessar chaves em qualquer número de locatários, como Locatário 2, Locatário 3, Locatário 4 e assim por diante. Em cada locatário, uma instância independente do aplicativo é criada com a mesma ID do aplicativo, mas com uma ID de objeto diferente. Cada instância desse aplicativo é, portanto, autorizada de maneira independente. Considere como o objeto de aplicativo usado para esse recurso é usado para particionar o aplicativo entre todos os clientes.
  • O aplicativo poderá ter no máximo 20 credenciais de identidade federada, e isso exigirá que um provedor de serviços compartilhe as identidades federadas entre os clientes. Para obter mais informações sobre as considerações e restrições de design de identidades federadas, consulte Configurar um aplicativo para confiar em um provedor de identidade externo.
• Em cenários raros, um provedor de serviços deve usar um único objeto de aplicativo por cliente, mas isso exige custos de manutenção significativos com relação ao gerenciamento em escala dos aplicativos em todos os clientes.
• No locatário do provedor de serviços, não é possível automatizar a Verificação do editor.

Fase 2 – O cliente autoriza o acesso ao cofre de chaves

Etapa	Descrição	Funções RBAC do Azure com privilégios mínimos	Funções menos privilegiadas do Microsoft Entra
1.	Recomendado: enviar o usuário para entrar no aplicativo. Se o usuário puder entrar, uma entidade de serviço do aplicativo existirá no locatário. Use o Microsoft Graph, o PowerShell do Microsoft Graph, o Azure PowerShell ou a CLI do Azure para criar a entidade de serviço. Construa uma URL de consentimento do administrador e dê consentimento a todo o locatário para criar a entidade de serviço usando a ID do aplicativo.	Nenhum	Usuários com permissões para instalar aplicativos
2.	Crie um Azure Key Vault e uma chave usada como a chave gerenciada pelo cliente.	Um usuário deve receber a função de Colaborador do Key Vault para criar o key vault Um usuário precisa receber a função Responsável pela Criptografia do Key Vault para adicionar um cofre ao Key Vault	Nenhum
3.	Permita acesso de identidade de aplicativo consentido ao Azure Key Vault atribuindo a função Usuário de Criptografia do Serviço de Criptografia do Key Vault	Para atribuir a função Usuário de Criptografia do Serviço de Criptografia do Key Vault ao aplicativo, você precisa ter recebido a função Administrador de Acesso do Usuário.	Nenhum
4.	Copie a URL do cofre de chaves e o nome da chave na configuração de chaves gerenciadas pelo cliente da oferta de SaaS.	Nenhum	Nenhum

Observação

Para autorizar o acesso ao HSM Gerenciado para criptografia usando a CMK, consulte o exemplo para Conta de Armazenamento aqui. Para obter mais informações sobre como gerenciar chaves com o HSM Gerenciado, consulte Gerenciar um HSM Gerenciado usando a CLI do Azure

Considerações para clientes de provedores de serviços

• No locatário do cliente, Locatário 2, um administrador pode definir políticas para impedir que usuários não administradores instalem aplicativos. Essas políticas podem impedir que usuários não administradores criem entidades de serviço. Se essa política estiver configurada, será necessário que os usuários com permissões para criar entidades de serviço se envolvam.
• O acesso ao Azure Key Vault pode ser autorizado usando o RBAC do Azure ou as políticas de acesso. Ao permitir acesso a um cofre de chaves, use o mecanismo ativo do cofre de chaves.
• Um registro de aplicativo do Microsoft Entra tem uma ID de aplicativo (ID do cliente). Quando o aplicativo é instalado em seu locatário, uma entidade de serviço é criada. A entidade de serviço compartilha a mesma ID do aplicativo que o registro do aplicativo, mas gera a própria ID de objeto. Quando você autorizar o aplicativo a ter acesso aos recursos, será necessário usar a entidade de serviço Name ou a propriedade ObjectID.

Fase 3: o provedor de serviços criptografa dados em um recurso do Azure usando a chave gerenciada pelo cliente

Após a conclusão das fases 1 e 2, o provedor de serviços poderá configurar a criptografia no recurso do Azure com a chave e o cofre de chaves no locatário do cliente e o recurso do Azure no locatário do ISV. O provedor de serviços pode configurar chaves gerenciadas pelo cliente entre locatários com as ferramentas de cliente compatíveis com esse recurso do Azure, com um modelo do ARM ou com a API REST.

Configurar chaves gerenciadas pelo cliente entre locatários

Esta seção descreve como configurar uma CMK (chave gerenciada pelo cliente) entre locatários e criptografar dados do cliente. Você aprenderá a criptografar dados do cliente em um recurso no Tenant1 usando uma CMK armazenada em um cofre de chaves no Tenant2. Você pode usar o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Portal

Entre no portal do Azure e siga estas etapas.

O provedor de serviços configura identidades

As etapas a seguir são executadas pelo provedor de serviços no locatário do provedor de serviços Tenant1.

O provedor de serviços cria um registro de aplicativo multilocatário

Você pode criar um novo registro de aplicativo multilocatário do Microsoft Entra ou começar com um registro de aplicativo multilocatário existente. Se estiver começando com um registro de aplicativo existente, anote a ID do aplicativo (ID do cliente) do aplicativo.

Para criar um registro:

1. Procure por Microsoft Entra ID na caixa de pesquisa. Localize e selecione a extensão Microsoft Entra ID.

2. Selecione Gerenciar > Registros de Aplicativo no painel esquerdo.

3. Selecione + Novo Registro.

4. Forneça o nome para o registro do aplicativo e selecione Conta em qualquer diretório organizacional (Qualquer diretório do Microsoft Entra – Multilocatário).

5. Selecione Registrar.

6. Anote a ApplicationId/ClientId do aplicativo.

   

O provedor de serviços cria uma identidade gerenciada atribuída pelo usuário

Crie uma identidade gerenciada atribuída pelo usuário a ser usada como uma credencial de identidade federada.

1. Procure Identidades Gerenciadas na caixa de pesquisa. Localize e selecione a extensão Identidades Gerenciadas.

2. Selecione + Criar.

3. Forneça o grupo de recursos, a região e o nome da identidade gerenciada.

4. Selecione Examinar + criar.

5. Após a implantação bem-sucedida, anote o ResourceId do Azure da identidade gerenciada atribuída pelo usuário, que está disponível em Propriedades. Por exemplo:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

O provedor de serviços configura a identidade gerenciada atribuída pelo usuário como uma credencial federada no aplicativo

Configure a identidade gerenciada atribuída pelo usuário como uma credencial de identidade federada no aplicativo, para que ela possa representar a identidade do aplicativo.

1. Navegue até Microsoft Entra ID > Registros de aplicativo > seu aplicativo.

2. Selecione Certificados e segredos.

3. Selecione Credenciais federadas.

   

4. Selecione + Adicionar credencial.

5. Em Cenário de credencial federada, selecione Chaves Gerenciadas pelo Cliente.

6. Clique em Selecionar uma identidade gerenciada. No painel, selecione a assinatura. Em Identidade gerenciada, selecione a Identidade gerenciada atribuída pelo usuário. Na caixa Selecionar, procure a identidade gerenciada que você criou e clique em Selecionar na parte inferior do painel.

   

7. Em Detalhes da credencial, forneça um nome e uma descrição opcional para a credencial e selecione Adicionar.

   

PowerShell

Instale o módulo Az mais recente para usar o Azure PowerShell ao configurar o locatário do ISV. Para obter mais informações sobre como instalar o PowerShell, consulte Instalar o Azure PowerShell no Windows com o PowerShellGet.

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo do Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount.
• Se você optar por usar o Azure Cloud Shell:
  • Confira Visão geral do Azure Cloud Shell para obter mais informações.

O provedor de serviços configura identidades

As etapas a seguir são seguidas pelo provedor de serviços no respectivo locatário (ISV), Tenant1.

O provedor de serviços entra no Azure

No Azure PowerShell, entre no locatário do ISV e defina a assinatura ativa como a assinatura do ISV.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

O provedor de serviços cria um registro de aplicativo multilocatário

Escolha um nome para o aplicativo multilocatário registrado em Tenant1 e crie-o no portal do Azure.

O nome que você fornecer ao aplicativo multilocatário será utilizado pelo cliente para identificar o aplicativo no Tenant2. Anote a ID do aplicativo e do objeto do aplicativo. Você precisará desses valores nas próximas etapas.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

O provedor de serviços cria uma identidade gerenciada atribuída pelo usuário

Entre no locatário do ISV e crie uma identidade gerenciada atribuída pelo usuário que será usada como uma credencial de identidade federada. Para criar uma identidade gerenciada atribuída pelo usuário, você deve ter uma função que inclua a ação Microsoft.ManagedIdentity/userAssignedIdentities/write.

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

O provedor de serviços configura a identidade gerenciada atribuída pelo usuário como uma credencial federada no aplicativo

Configure a identidade gerenciada atribuída pelo usuário como uma credencial de identidade federada no aplicativo, para que ela possa representar a identidade do aplicativo.

Para configurar a credencial de identidade federada no PowerShell, primeiro instale a versão 6.3.0 ou mais recente do módulo Az.Resources.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

CLI do Azure

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

O provedor de serviços configura identidades

As etapas a seguir são executadas pelo provedor de serviços no locatário do provedor de serviços Tenant1.

O provedor de serviços entra no Azure

Entrar no Azure para usar a CLI do Azure.

az login

O provedor de serviços cria um registro de aplicativo multilocatário

Escolha um nome para o aplicativo multilocatário em Tenant1 e crie o aplicativo multilocatário no portal do Azure.

O nome que você fornecer ao aplicativo multilocatário será utilizado pelo cliente para identificar o aplicativo no Tenant2. Copie a ID do aplicativo (ou a ID do cliente) do aplicativo, a ID de objeto do aplicativo e a ID do locatário do aplicativo. Você precisará desses valores nas etapas a seguir.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

O provedor de serviços cria uma identidade gerenciada atribuída pelo usuário

Entre no locatário do ISV e crie uma identidade gerenciada atribuída pelo usuário que será usada como uma credencial de identidade federada. Para criar uma identidade gerenciada atribuída pelo usuário, você deve ter uma função que inclua a ação Microsoft.ManagedIdentity/userAssignedIdentities/write.

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

O provedor de serviços configura a identidade gerenciada atribuída pelo usuário como uma credencial federada no aplicativo

Execute o método az ad app federated-credential create para configurar uma credencial de identidade federada em um aplicativo e criar uma relação de confiança com um provedor de identidade externo.

Use api://AzureADTokenExchange como o valor audience na credencial de identidade federada. Confira a referência da API para obter mais detalhes.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

O provedor de serviços compartilha a ID do aplicativo com o cliente

Localize a ID do aplicativo (ID do cliente) referente ao aplicativo multilocatário e compartilhe-a com os clientes.

O cliente permite ao aplicativo do provedor de serviços acesso à chave no cofre de chaves

As etapas a seguir são executadas pelo cliente no locatário do cliente Tenant2. O cliente pode usar o portal do Azure, o Azure PowerShell ou a CLI do Azure.

O usuário que executa as etapas precisa ser um administrador com uma função com privilégios, como Administrador de aplicativos, Administrador de aplicativos de nuvem ou Administrador global.

Portal

Entre no portal do Azure e siga estas etapas.

O cliente instala o aplicativo do provedor de serviços no locatário do cliente

Para instalar o aplicativo registrado do provedor de serviços no locatário do cliente, crie uma entidade de serviço com a ID do aplicativo registrado. Você pode criar a entidade de serviço de uma das seguintes maneiras:

• Use o Microsoft Graph, o PowerShell do Microsoft Graph, o Azure PowerShell ou a CLI do Azure para criar a entidade de serviço manualmente.
• Construa uma URL de consentimento do administrador e dê consentimento a todo o locatário para criar a entidade de serviço. Você precisará fornecê-los com a AppId.

O cliente cria um cofre de chaves

Para criar o cofre de chaves, a conta do usuário precisa receber a função Colaborador do Key Vault ou outra função que permita a criação de um cofre de chaves.

1. No menu ou na home page do portal do Azure, selecione + Criar um recurso. Na caixa Pesquisa, digite Cofres de chaves. Na lista de resultados, selecione Cofres de chaves. Na página Cofres de chaves, selecione Criar.

2. Na guia Informações básicas, escolha uma assinatura. Em Grupo de recursos, selecione Criar e insira um nome para o grupo de recursos.

3. Insira um nome exclusivo para o cofre de chaves.

4. Selecione uma região e um tipo de preço.

5. Habilite a proteção contra limpeza no novo cofre de chaves.

6. Na guia Política de acesso, selecione Controle de acesso baseado em função do Azure para Modelo de permissão.

7. Selecione Examinar + criar e depois Criar.

   

Observe que o nome do cofre de chaves e os aplicativos de URI que acessam o cofre de chaves deverão usar esse URI.

Para obter mais informações, confira Guia de início rápido – Criar um Azure Key Vault com o portal do Azure.

O cliente atribui a função de Responsável pela Criptografia do Key Vault a uma conta de usuário

Esta etapa garante que você possa criar as chaves de criptografia.

1. Navegue até o cofre de chaves e selecione Controle de Acesso (IAM) no painel à esquerda.
2. Em Permitir acesso a esse recurso, selecione Adicionar atribuição de função.
3. Pesquise e selecione Responsável pela Criptografia do Key Vault.
4. Em Membros, selecione Usuário, grupo ou entidade de serviço.
5. Selecione Membros e procure sua conta de usuário.
6. Selecione Examinar + Atribuir.

O cliente cria uma chave de criptografia

Para criar a chave de criptografia, a conta do usuário precisa receber a função Responsável pela Criptografia do Key Vault ou outra função que permita a criação de uma chave.

1. Na página de propriedades do Key Vault, selecione Chaves.
2. Selecione Gerar/Importar.
3. Na tela Criar uma chave, especifique um nome para a chave. Deixe os outros valores com seus padrões.
4. Selecione Criar.
5. Copie o URI da chave.

O cliente permite ao aplicativo do provedor de serviços acesso ao cofre de chaves

Atribua a função RBAC do Azure Usuário de Criptografia do Serviço de Criptografia do Key Vault ao aplicativo registrado do provedor de serviços para que ele possa acessar o cofre de chaves.

1. Navegue até o cofre de chaves e selecione Controle de Acesso (IAM) no painel à esquerda.
2. Em Permitir acesso a esse recurso, selecione Adicionar atribuição de função.
3. Procure e selecione Usuário de Criptografia do Serviço de Criptografia do Key Vault.
4. Em Membros, selecione Usuário, grupo ou entidade de serviço.
5. Selecione Membros e procure o nome do aplicativo que você instalou do provedor de serviços.
6. Selecione Examinar + Atribuir.

Agora você pode configurar chaves gerenciadas pelo cliente com o URI e a chave do cofre de chaves.

PowerShell

Instale o módulo Az mais recente para usar o Azure PowerShell ao configurar o locatário do cliente. Para obter mais informações sobre como instalar o PowerShell, consulte Instalar o Azure PowerShell no Windows com o PowerShellGet.

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo do Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount.
• Se você optar por usar o Azure Cloud Shell:
  • Confira Visão geral do Azure Cloud Shell para obter mais informações.

O cliente entra no Azure

No Azure PowerShell, entre no locatário do cliente e defina a assinatura ativa como a assinatura do cliente.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

O cliente instala o aplicativo do provedor de serviços no locatário do cliente

Depois de receber a ID do aplicativo multilocatário do provedor de serviços, instale o aplicativo no locatário Tenant2 criando uma entidade de serviço.

Execute os comandos a seguir no locatário em que você planeja criar o cofre de chaves.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

O cliente cria um cofre de chaves

Para criar o cofre de chaves, a conta do cliente precisa receber a função Colaborador do Key Vault ou outra função que permita a criação de um cofre de chaves.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

O cliente atribui a função de Responsável pela Criptografia do Key Vault a uma conta de usuário

Atribua a função de responsável pela criptografia do Key Vault a uma conta de usuário. Essa etapa garante que o usuário possa criar o cofre de chaves e as chaves de criptografia. O exemplo a seguir atribui a função ao usuário conectado no momento.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

O cliente cria uma chave de criptografia

Para criar a chave de criptografia, a conta do usuário precisa receber a função Responsável pela Criptografia do Key Vault ou outra função que permita a criação de uma chave.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

O cliente permite ao aplicativo do provedor de serviços acesso ao cofre de chaves

Atribua a função RBAC do Azure usuário de criptografia do serviço de criptografia do Key Vault ao aplicativo registrado do provedor de serviços por meio da entidade de serviço criada anteriormente a fim de que ele possa acessar o cofre de chaves.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Agora você pode configurar chaves gerenciadas pelo cliente com o URI e a chave do cofre de chaves.

CLI do Azure

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

O cliente entra no Azure

Entrar no Azure para usar a CLI do Azure.

az login

O cliente instala o aplicativo do provedor de serviços no locatário do cliente

Depois de receber a ID do aplicativo multilocatário do provedor de serviços, instale o aplicativo no locatário Tenant2 usando o comando a seguir. A instalação do aplicativo cria uma entidade de serviço em seu locatário.

Execute os comandos a seguir no locatário em que você planeja criar o cofre de chaves.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

O cliente cria um cofre de chaves

Para criar o cofre de chaves, a conta do cliente precisa receber a função Colaborador do Key Vault ou outra função que permita a criação de um cofre de chaves.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

O cliente atribui a função de Responsável pela Criptografia do Key Vault a uma conta de usuário

Essa etapa garante que você possa criar o cofre de chaves e as chaves de criptografia.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

O cliente cria uma chave de criptografia

Para criar a chave de criptografia, a conta do usuário precisa receber a função Responsável pela Criptografia do Key Vault ou outra função que permita a criação de uma chave.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

O cliente permite ao aplicativo do provedor de serviços acesso ao cofre de chaves

Atribua a função RBAC do Azure usuário de criptografia do serviço de criptografia do Key Vault ao aplicativo registrado do provedor de serviços por meio da entidade de serviço criada anteriormente a fim de que ele possa acessar o cofre de chaves.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Agora você pode configurar chaves gerenciadas pelo cliente com o URI e a chave do cofre de chaves.

Criar um conjunto de criptografia de disco

Agora que você criou seu Azure Key Vault e executou as configurações necessárias do Microsoft Entra, implante um conjunto de criptografia de disco configurado para funcionar entre locatários e associe-o a uma chave no cofre de chaves. Você pode fazer isso usando o portal do Azure, o Azure PowerShell ou a CLI do Azure. É possível usar um modelo do ARM ou a API REST.

Portal

Para usar o portal do Azure, entre no portal e siga estas etapas.

1. Selecione + Criar um recurso, pesquise Conjunto de criptografia de disco e selecione Criar > conjunto de criptografia de disco.

2. Em Detalhes do projeto, selecione a assinatura e o grupo de recursos no qual criar o conjunto de criptografia de disco.

3. Em Detalhes da instância, forneça um nome para conjunto de criptografia de disco.

   

4. Selecione a Região na qual criar o conjunto de criptografia de disco.

5. Em Tipo de criptografia, selecione Criptografia em repouso com uma chave gerenciada pelo cliente.

6. Em Chave de criptografia, selecione o botão de opção Inserir chave do URI e, em seguida, insira o URI da chave criada no locatário do cliente.

7. Em Identidade atribuída pelo usuário, selecione Selecionar uma identidade.

8. Selecione a identidade gerenciada atribuída pelo usuário que você criou anteriormente no locatário do ISV e selecione Adicionar.

9. Em Aplicativo multilocatário, selecione Selecionar um aplicativo.

10. Selecione o aplicativo registrado multilocatário criado anteriormente no locatário do ISV e clique em Selecionar.

11. Selecione Examinar + criar.

PowerShell

Para usar o Azure PowerShell, instale o módulo Az ou o módulo Az.Storage mais recente. Para obter mais informações sobre como instalar o PowerShell, consulte Instalar o Azure PowerShell no Windows com o PowerShellGet.

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo do Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount.
• Se você optar por usar o Azure Cloud Shell:
  • Confira Visão geral do Azure Cloud Shell para obter mais informações.

No script abaixo, -FederatedClientId deve ser a ID do aplicativo (ID do cliente) do aplicativo multilocatário. Você também precisará fornecer a ID da assinatura, o nome do grupo de recursos e o nome da identidade.

$userAssignedIdentities = @{"/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/identityName" = @{}};

$config = New-AzDiskEncryptionSetConfig `
   -Location 'westcentralus' `
   -KeyUrl "https://vault1.vault.azure.net:443/keys/key1/mykey" `
   -IdentityType 'UserAssigned' `
   -RotationToLatestKeyVersionEnabled $True `
   -UserAssignedIdentity $userAssignedIdentities `
   -FederatedClientId "00000000-0000-0000-0000-000000000000" `
   $config `
   | New-AzDiskEncryptionSet -ResourceGroupName 'rg1' -Name 'enc1'

CLI do Azure

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

No comando abaixo, myAssignedId deve ser a ID do recurso da identidade gerenciada atribuída pelo usuário que você criou anteriormente, e myFederatedClientId deve ser a ID do aplicativo (ID do cliente) do aplicativo multilocatário.

az disk-encryption-set create --resource-group MyResourceGroup --name MyDiskEncryptionSet --key-url MyKey --mi-user-assigned myAssignedId --federated-client-id myFederatedClientId --location westcentralus

Usar um modelo ARM

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "desname": {
      "defaultValue": "<Enter ISV disk encryption set name>",
      "type": "String"
    },
    "region": {
      "defaultValue": "WestCentralUS",
      "type": "String"
    },
    "userassignedmicmk": {
      "defaultValue": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>",
      "type": "String"
    },
    "cmkfederatedclientId": {
      "defaultValue": "<Enter ISV Multi-Tenant App Id>",
      "type": "String"
    },
    "keyVaultURL": {
      "defaultValue": "<Enter Client Key URL>",
      "type": "String"
    },
    "encryptionType": {
      "defaultValue": "EncryptionAtRestWithCustomerKey",
      "type": "String"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.Compute/diskEncryptionSets",
      "apiVersion": "2021-12-01",
      "name": "[parameters('desname')]",
      "location": "[parameters('region')]",
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('userassignedmicmk')]": {}
        }
      },
      "properties": {
        "activeKey": {
          "keyUrl": "[parameters('keyVaultURL')]"
        },
        "federatedClientId": "[parameters('cmkfederatedclientId')]",
        "encryptionType": "[parameters('encryptionType')]"
      }
    }
  ]
}

Usar a API REST

Use o token de portador como cabeçalho de autorização e aplicativo/JSON como tipo de conteúdo em BODY. (Guia Rede, filtre para management.azure enquanto executa qualquer solicitação do ARM no portal.)

PUT https://management.azure.com/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV Resource Group Name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV Disk Encryption Set Name>?api-version=2021-12-01
Authorization: Bearer ...
Content-Type: application/json

{
  "name": "<Enter ISV disk encryption set name>",
  "id": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV disk encryption set name>/",
  "type": "Microsoft.Compute/diskEncryptionSets",
  "location": "westcentralus",
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
"/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>
": {}
    }
  },
  "properties": {
    "activeKey": {
      "keyUrl": "<Enter Client Key URL>"
    },
    "encryptionType": "EncryptionAtRestWithCustomerKey",
    "federatedClientId": "<Enter ISV Multi-Tenant App Id>"
  }
}

Próximas etapas

Consulte também:

• Criptografar discos usando chaves gerenciadas pelo cliente no Azure DevTest Labs
• Usar o portal do Azure para habilitar a criptografia do lado do servidor com as chaves gerenciadas pelo cliente para discos gerenciados