Compartilhar via


Configurar chaves gerenciadas pelo cliente

O Azure Data Explorer criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para obter controle extra sobre chaves de criptografia, você pode fornecer chaves gerenciadas pelo cliente para usar para criptografia de dados.

As chaves gerenciadas pelo cliente devem ser armazenadas em um Azure Key Vault. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Azure Key Vault para gerar chaves. O cluster do Azure Data Explorer e o cofre de chaves devem estar na mesma região, mas podem estar em assinaturas diferentes. Para uma explicação detalhada sobre chaves gerenciadas pelo cliente, consulte Chaves gerenciadas pelo cliente com o Azure Key Vault.

Este artigo mostra como configurar chaves gerenciadas pelo cliente.

Para obter exemplos de código com base em versões anteriores do SDK, consulte o artigo arquivado.

Configurar o Azure Key Vault

Para configurar as chaves gerenciadas pelo cliente com o Azure Data Explorer, você precisa definir duas propriedades no cofre de chaves: Exclusão Temporária e Não Limpar. Por padrão, essas propriedades não estão habilitadas. Para habilitar essas propriedades, execute Habilitar a exclusão temporária e Habilitar a proteção de limpeza no PowerShell ou na CLI do Azure em um cofre de chaves novo ou existente. Somente chaves RSA de tamanho 2048 possuem suporte. Para obter mais informações sobre chaves, confira chaves do Key Vault.

Observação

Para obter informações sobre as limitações do uso de chaves gerenciadas pelo cliente em clusters líder e seguidor, consulte Limitações.

Atribuir uma identidade gerenciada ao cluster

Para habilitar chaves gerenciadas pelo cliente para o cluster, primeiro atribua uma identidade gerenciada atribuída pelo sistema ou pelo usuário ao cluster. Você usará essa identidade gerenciada para conceder permissões do cluster para acessar o cofre de chaves. Para configurar identidades gerenciadas, confira identidades gerenciadas.

habilitar a criptografia com chaves gerenciadas pelo cliente

As etapas a seguir explicam como habilitar a criptografia de chaves gerenciadas pelo cliente usando o portal do Azure. Por padrão, a criptografia do Azure Data Explorer usa as chaves gerenciadas pela Microsoft. Configure o cluster do Azure Data Explorer para usar as chaves gerenciadas pelo cliente e especifique a chave a ser associada ao cluster.

  1. No portal do Azure, acesse o recurso de cluster do Azure Data Explorer.

  2. Selecione Configurações>Criptografia no painel esquerdo do portal.

  3. No painel Criptografia, selecione Ativado para a configuração de Chave gerenciada pelo cliente.

  4. Selecione Selecionar Chave.

    Captura de tela mostrando a configuração de chaves gerenciadas pelo cliente.

  5. Na janela Selecionar chave do Azure Key Vault, selecione um Key Vault existente na lista suspensa. Se você selecionar Criar novo para criar um novo Key Vault, você será encaminhado para a tela Criar Key Vault.

  6. Selecione Chave.

  7. Versão:

    • Para garantir que essa chave sempre use a versão mais recente da chave, marque a caixa de seleção Sempre usar versão atual da chave.
    • Caso contrário, selecione Versão.
  8. Selecione Selecionar.

    Captura de tela mostrando a Key Vault Selecionar chave do Azure.

  9. Em Tipo de identidade, selecione Atribuído pelo sistema ou Atribuído pelo usuário.

  10. Se você selecionar Atribuído pelo usuário, escolha uma identidade atribuída pelo usuário na lista suspensa.

    Captura de tela mostrando a opção de selecionar um tipo de identidade gerenciada.

  11. No painel Criptografia que agora contém sua chave, selecione Salvar. Quando a criação da CMK for bem-sucedida, você verá uma mensagem de êxito nas Notificações.

    Captura de tela mostrando a opção para salvar uma chave gerenciada pelo cliente.

Se você selecionar a identidade atribuída pelo sistema ao habilitar chaves gerenciadas pelo cliente para o cluster do Azure Data Explorer, você criará uma identidade atribuída pelo sistema para o cluster caso não exista uma. Além disso, você fornecerá as permissões Get, wrapKey e unwrapKey necessárias para o cluster do Azure Data Explorer no Key Vault selecionado e obterá as propriedades do Key Vault.

Observação

Selecione Desativado para remover a chave gerenciada pelo cliente depois que ela tiver sido criada.

Atualizar a versão da chave

Ao criar uma nova versão de uma chave, será necessário atualizar o cluster para usar a nova versão. Primeiro, chame Get-AzKeyVaultKey para obter a versão mais recente da chave. Em seguida, atualize as propriedades do cofre de chaves do cluster para usar a nova versão da chave, conforme mostrado em Habilitar criptografia com chaves gerenciadas pelo cliente.