Configurar chaves gerenciadas pelo cliente para o Teste de Carga do Azure com o Cofre de Chaves do Azure

O Teste de Carga do Azure criptografa automaticamente todos os dados armazenados em seu recurso de teste de carga com chaves fornecidas pela Microsoft (chaves gerenciadas por serviço). Opcionalmente, você pode adicionar uma segunda camada de segurança ao fornecer também suas próprias chaves (gerenciadas pelo cliente). As chaves gerenciadas pelo cliente oferecem maior flexibilidade para controlar o acesso e usar políticas de rotação de chaves.

As chaves fornecidas são armazenadas com segurança usando o Azure Key Vault. Você pode criar uma chave separada para cada recurso de teste de carga do Azure habilitado com chaves gerenciadas pelo cliente.

Ao usar chaves de criptografia gerenciadas pelo cliente, você precisa especificar uma identidade gerenciada atribuída pelo usuário para recuperar as chaves do Cofre de Chaves do Azure.

O Teste de Carga do Azure usa a chave gerenciada pelo cliente para criptografar os seguintes dados no recurso de teste de carga:

• Script de teste e arquivos de configuração
• Segredos
• Variáveis de ambiente

Observação

O Teste de Carga do Azure não criptografa dados de métricas para uma execução de teste com sua chave gerenciada pelo cliente, incluindo os nomes de exemplo de métricas do JMeter especificados no script JMeter. A Microsoft tem acesso a esses dados de métricas.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Uma identidade gerenciada atribuída pelo usuário existente. Para obter mais informações sobre como criar uma identidade gerenciada atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

Limitações

• As chaves gerenciadas pelo cliente só estão disponíveis para novos recursos de teste de carga do Azure. Configure a chave durante a criação do recurso.

• Depois que a criptografia de chave gerenciada pelo cliente estiver habilitada em um recurso, ela não poderá ser desabilitada.

• O Teste de Carga do Azure não pode girar automaticamente a chave gerenciada pelo cliente para usar a versão mais recente da chave de criptografia. Atualize o URI da chave no recurso depois que a chave for girada no Azure Key Vault.

Configurar o cofre de chaves do Azure

Para usar chaves de criptografia gerenciadas pelo cliente com o Teste de Carga do Azure, você precisa armazenar a chave no Cofre de Chaves do Azure. Você pode usar um cofre de chaves existente ou criar um novo. O recurso de teste de carga e o cofre de chaves podem estar em regiões diferentes ou assinaturas no mesmo locatário.

Certifique-se de definir as seguintes configurações do cofre de chaves ao usar chaves de criptografia gerenciadas pelo cliente.

Definir configurações da rede do cofre de chaves

Se você restringiu o acesso ao seu cofre de chaves do Azure por um firewall ou rede virtual, precisará conceder acesso ao Teste de Carga do Azure para recuperar suas chaves gerenciadas pelo cliente. Siga estas etapas para conceder acesso a serviços confiáveis do Azure.

Configurar a proteção contra exclusão suave e limpeza

Você precisa definir as propriedades Soft Delete e Purge Protection no cofre de chaves para usar chaves gerenciadas pelo cliente com o Teste de Carga do Azure. A exclusão flexível é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. É possível habilitar a proteção contra limpeza a qualquer momento. Saiba mais sobre a proteção contra exclusão suave e limpeza no Cofre de Chaves do Azure.

Azure portal

Siga estas etapas para verificar se a exclusão flexível está habilitada e habilitá-la em um cofre de chaves. A exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves.

Você pode habilitar a proteção contra limpeza ao criar um novo cofre de chaves selecionando as configurações Habilitar proteção contra limpeza.

Para habilitar a proteção contra limpeza em um cofre de chaves existente, siga estas etapas:

1. Navegue até o cofre de chaves no portal do Azure.
2. Em Configurações, escolha Propriedades.
3. Na seção Proteção contra limpeza, escolha Habilitar proteção contra limpeza.

PowerShell

Para criar um novo cofre de chaves com o PowerShell, instale a versão 2.0.0 ou mais recente do módulo Az.KeyVault do PowerShell. Depois, chame New-AzKeyVault para criar um novo cofre de chaves. Com a versão 2.0.0 e mais recente do módulo Az.KeyVault, a exclusão temporária é habilitada por padrão quando você cria um novo cofre de chaves.

O exemplo a seguir cria um novo cofre de chaves com a exclusão reversível e a proteção contra limpeza habilitadas. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Para habilitar a proteção contra limpeza em um cofre de chaves existente com o PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

CLI do Azure

Para criar um novo cofre de chaves usando a CLI do Azure, chame az keyvault create. A exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves.

O exemplo a seguir cria um novo cofre de chaves com a exclusão reversível e a proteção contra limpeza habilitadas. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Para habilitar a proteção contra limpeza em um cofre de chaves existente com a CLI do Azure:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Adicionar uma chave gerenciada pelo cliente ao Cofre de Chaves do Azure

Depois, adicione uma chave no cofre de chaves. A criptografia do Teste de Carga do Azure dá suporte a chaves RSA. Para obter mais informações sobre tipos de chave com suporte no Cofre de Chaves do Azure, consulte Sobre chaves.

Azure portal

Para saber como adicionar uma chave com o portal do Azure, confira Definir e recuperar uma chave do Azure Key Vault usando o portal do Azure.

PowerShell

Para adicionar uma chave com o PowerShell, chame Add-AzKeyVaultKey. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores e de usar as variáveis definidas nos exemplos anteriores.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

CLI do Azure

Para adicionar uma chave com a CLI do Azure, chame az keyvault key create. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Adicionar uma política de acesso ao seu cofre de chaves

Ao usar chaves de criptografia gerenciadas pelo cliente, você precisa especificar uma identidade gerenciada atribuída pelo usuário. A identidade gerenciada atribuída pelo usuário para acessar as chaves gerenciadas pelo cliente no Cofre de Chaves do Azure deve ter permissões apropriadas para acessar o cofre de chaves.

1. No portal do Azure, vá para a instância do cofre de chaves do Azure que você planeja usar para hospedar suas chaves de criptografia.

2. Selecione Políticas de Acesso no menu esquerdo.

   

3. Selecione + Adicionar política de acesso.

4. No menu suspenso Permissões de chave, selecione as permissões Obter, Desencapsular chave e Encapsular chave.

   

5. Em Selecionar entidade de segurança, selecione Nenhum selecionado.

6. Procure a identidade gerenciada atribuída pelo usuário que você criou anteriormente e selecione-a na lista.

7. Escolha Selecionar na parte inferior da tela.

8. Selecione Adicionar para adicionar a nova política de acesso.

9. Selecione Salvar na instância do cofre de chaves para salvar todas as alterações.

Usar chaves gerenciadas pelo cliente com o Teste de Carga do Azure

Você só pode configurar chaves de criptografia gerenciadas pelo cliente ao criar um novo recurso de teste de carga do Azure. Ao especificar os detalhes da chave de criptografia, você também precisa selecionar uma identidade gerenciada atribuída pelo usuário para recuperar a chave do Cofre de Chaves do Azure.

Para configurar chaves gerenciadas pelo cliente para um novo recurso de teste de carga, execute estas etapas:

Azure portal

1. Siga estas etapas para criar um recurso de teste de carga do Azure no portal do Azure e preencha os campos na guia Noções básicas.

2. Vá para a guia Criptografia e selecione Chaves gerenciadas pelo cliente (CMK) para o campo Tipo de criptografia .

3. No campo URI da chave, cole o URI/identificador de chave da chave do Azure Key Vault, incluindo a versão da chave.

4. Para o campo Identidade atribuída pelo usuário, selecione uma identidade gerenciada atribuída pelo usuário existente.

5. Selecione Examinar + criar para validar e criar o novo recurso.

PowerShell

É possível implantar um modelo do ARM usando o PowerShell par automatizar a criação dos recursos do Azure. Para criar qualquer recurso do tipo Microsoft.LoadTestService/loadtests com a chave gerenciada pelo cliente habilitada para criptografia, adicione as seguintes propriedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

O exemplo de código a seguir mostra um modelo ARM para criar um recurso de teste de carga com chaves gerenciadas pelo cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implante o modelo acima em um grupo de recursos usando New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

CLI do Azure

Você pode implantar um modelo do ARM usando a CLI do Azure para automatizar a criação dos recursos do Azure. Para criar qualquer recurso do tipo Microsoft.LoadTestService/loadtests com a chave gerenciada pelo cliente habilitada para criptografia, adicione as seguintes propriedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

O exemplo de código a seguir mostra um modelo ARM para criar um recurso de teste de carga com chaves gerenciadas pelo cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implante o modelo acima em um grupo de recursos usando az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Alterar a identidade gerenciada para recuperar a chave de criptografia

Você pode alterar a identidade gerenciada das chaves gerenciadas pelo cliente para um recurso de teste de carga existente a qualquer momento.

1. No portal do Azure, acesse o recurso de teste de carga do Azure.

2. Na página Configurações, selecione Criptografia.

   O tipo de criptografia mostra o tipo de criptografia que foi usado para criar o recurso de teste de carga.

3. Se o tipo de criptografia for Chaves gerenciadas pelo cliente, selecione o tipo de identidade a ser usado para autenticar no cofre de chaves. As opções incluem Atribuída pelo sistema (o padrão) ou Atribuída pelo usuário.

   Para saber mais sobre cada tipo de identidade gerenciada, consulte Tipos de identidade gerenciada.

   • Se você selecionar Atribuído ao sistema, a identidade gerenciada atribuída ao sistema precisará ser habilitada no recurso e ter acesso concedido ao AKV antes de alterar a identidade das chaves gerenciadas pelo cliente.
   • Se você selecionar Atribuída pelo usuário, selecione uma identidade atribuída pelo usuário existente que tenha permissões para acessar o cofre de chaves. Para saber como criar uma identidade atribuída pelo usuário, consulte Usar identidades gerenciadas para a versão prévia do Teste de Carga do Azure.

4. Salve suas alterações.

Importante

Verifique se a identidade gerenciada selecionada tem acesso ao Cofre de Chaves do Azure.

Atualizar a chave de criptografia gerenciada pelo cliente

Você pode alterar a chave que está usando para a criptografia do Teste de Carga do Azure a qualquer momento. Para alterar a chave com o portal do Azure, siga estas etapas:

1. No portal do Azure, acesse o recurso de teste de carga do Azure.

2. Na página Configurações, selecione Criptografia. O Tipo de criptografia mostra a criptografia selecionada para o recurso durante a criação.

3. Se o tipo de criptografia selecionado for Chaves gerenciadas pelo cliente, você poderá editar o campo URI de chave com o novo URI de chave.

4. Salve suas alterações.

Rotação de chaves de criptografia

Você pode fazer a rotação de uma chave gerenciada pelo cliente no Azure Key Vault de acordo com suas políticas de conformidade. Para girar uma chave:

1. No Cofre de Chaves do Azure, atualize a versão da chave ou crie uma nova chave.
2. Atualize a chave de criptografia gerenciada pelo cliente para seu recurso de teste de carga.

Perguntas frequentes

Existe uma taxa extra para habilitar chaves gerenciadas pelo cliente?

Não, não há encargos para habilitar esse recurso.

Há suporte para chaves gerenciadas pelo cliente para recursos de teste de carga existentes do Azure?

No momento, esse recurso está disponível apenas para novos recursos de teste de carga do Azure.

Como posso saber se as chaves gerenciadas pelo cliente estão habilitadas no meu recurso de teste de carga do Azure?

1. No portal do Azure, acesse o recurso de teste de carga do Azure.
2. Acesse o item Criptografia na barra de navegação à esquerda.
3. Você pode verificar o Tipo de criptografia no recurso.

Como fazer para revogar uma chave de criptografia?

Para revogar uma chave, desabilite a versão mais recente da chave no Azure Key Vault. Como alternativa, para revogar todas as chaves de uma instância do cofre de chaves, você pode excluir a política de acesso concedida à identidade gerenciada do recurso de teste de carga.

Quando você revoga a chave de criptografia, pode executar testes por cerca de 10 minutos. Depois disso, a única operação disponível é a exclusão de recursos. É recomendável girar a chave em vez de revogá-la para gerenciar a segurança de recursos e reter seus dados.

Conteúdo relacionado

• Saiba como Monitorar as métricas de aplicativos do lado do servidor.
• Saiba como Parametrizar um teste de carga com segredos e variáveis de ambiente.