Criar uma conta que dê suporte a chaves gerenciadas pelo cliente para tabelas e filas

Artigo
05/11/2023

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, o armazenamento de filas e de tabelas usa uma chave que tem como escopo o serviço e é gerenciado pela Microsoft. Você também pode optar por usar chaves gerenciadas pelo cliente para criptografar dados de fila ou de tabela. Para usar chaves gerenciadas pelo cliente com filas e tabelas, você deve primeiro criar uma conta de armazenamento que use uma chave de criptografia com escopo para a conta, e não para o serviço. Depois de criar uma conta que usa a chave de criptografia da conta para dados de fila e tabela, você pode configurar chaves gerenciadas pelo cliente para essa conta de armazenamento.

Este artigo descreve como criar uma conta de armazenamento que se baseia em uma chave que tem como escopo a conta. Quando a conta é criada pela primeira vez, a Microsoft usa a chave de conta para criptografar os dados na conta e a Microsoft gerencia a chave. Posteriormente, você poderá configurar chaves gerenciadas pelo cliente para a conta para aproveitar esses benefícios, incluindo a capacidade de fornecer suas chaves, atualizar a versão da chave, girar as chaves e revogar controles de acesso.

Criar uma conta que usa a chave de criptografia da conta

Você deve configurar uma nova conta de armazenamento para usar a chave de criptografia da conta para filas e tabelas ao criar a conta de armazenamento. O escopo da chave de criptografia não pode ser alterado depois que a conta é criada.

A conta de armazenamento deve ser do tipo uso geral v2. É possível criar a conta de armazenamento e configurá-la para contar com a chave de criptografia da conta usando o portal do Azure, o PowerShell, a CLI do Azure ou um modelo do Azure Resource Manager.

Para saber mais sobre como criar uma conta de armazenamento, consulte Cria uma conta de armazenamento.

Observação

Apenas o armazenamento de filas e de tabelas pode ser configurado opcionalmente para criptografar dados com a chave de criptografia da conta quando a conta de armazenamento é criada. O Armazenamento de Blobs e os Arquivos do Azure sempre usam a chave de criptografia da conta para criptografar dados.

Para criar uma conta de armazenamento que depende da chave de criptografia da conta com o portal do Azure, siga estas etapas:

No menu esquerdo do portal, selecione Contas de armazenamento para exibir uma lista das contas de armazenamento.
Na página Contas de armazenamento, selecione Nova.
Preencha os campos na guia Básico.
Na guia Avançado, localize a seção Tabelas e Filas e selecione Ativar suporte para chaves gerenciadas pelo cliente.

Para usar o PowerShell para criar uma conta de armazenamento que dependa da chave de criptografia da conta, verifique se você instalou o módulo do Azure PowerShell, versão 3.4.0 ou posterior. Para saber mais, confira Instalar o módulo do Azure PowerShell.

Em seguida, crie uma conta de armazenamento de uso geral v2 chamando o comando New-AzStorageAccount com os parâmetros apropriados:

Inclua a opção -EncryptionKeyTypeForQueue e defina o valor dela como Account para usar a chave de criptografia da conta para criptografar dados no armazenamento de filas.
Inclua a opção -EncryptionKeyTypeForTable e defina o valor dela como Account para usar a chave de criptografia da conta para criptografar dados no armazenamento de tabelas.

O exemplo a seguir mostra como criar uma conta de armazenamento de uso geral v2 configurada para o RA-GRS (armazenamento com redundância geográfica com acesso de leitura) e que usa a chave de criptografia da conta para criptografar dados para o armazenamento de filas e de tabelas. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Para usar a CLI do Azure para criar uma conta de armazenamento que dependa da chave de criptografia da conta, verifique se você instalou a CLI do Azure versão 2.0.80 ou posterior. Para obter mais informações, consulte Instalar a CLI do Azure.

Em seguida, crie uma conta de armazenamento de uso geral v2 chamando o comando az storage account create com os parâmetros apropriados:

Inclua a opção --encryption-key-type-for-queue e defina o valor dela como Account para usar a chave de criptografia da conta para criptografar dados no armazenamento de filas.
Inclua a opção --encryption-key-type-for-table e defina o valor dela como Account para usar a chave de criptografia da conta para criptografar dados no armazenamento de tabelas.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

O exemplo JSON a seguir cria uma conta de armazenamento de uso geral v2 configurada para o RA-GRS (armazenamento com redundância geográfica com acesso de leitura) e que usa a chave de criptografia da conta para criptografar dados para o armazenamento de filas e de tabelas. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus valores:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Após criar uma conta que depende da chave de criptografia da conta, você poderá configurar as chaves gerenciadas pelo cliente que são armazenadas no Azure Key Vault ou no HSM (Modelo de Segurança de Hardware) gerenciado pelo Key Vault . Para saber como armazenar as chaves gerenciadas pelo cliente em um cofre de chaves, confira Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Azure Key Vault. Para saber como armazenar as chaves gerenciadas pelo cliente em um HSM gerenciado, consulte Configurar a criptografia com chaves gerenciadas pelo cliente no HSM gerenciado pelo Azure Key Vault.

Verificar a chave de criptografia da conta

Após criar a conta, você poderá verificar se a conta de armazenamento está usando uma chave de criptografia com escopo para a conta usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para verificar se um serviço em uma conta de armazenamento está usando uma chave de criptografia com escopo para a conta com o portal do Azure, siga estas etapas:

Navegue até sua nova conta de armazenamento no portal do Azure.
Na seção Segurança + Rede, selecione Criptografia.
Se a conta de armazenamento foi criada para depender da chave de criptografia da conta, você verá na guia Criptografia que as chaves gerenciadas pelo cliente poderão ser habilitadas para todos os quatro serviços de Armazenamento do Microsoft Azure: blobs, arquivos, tabelas e filas.

Para verificar se um serviço em uma conta de armazenamento está usando a chave de criptografia da conta com o PowerShell, chame o comando Get-AzStorageAccount. Esse comando retorna um conjunto de propriedades da conta de armazenamento e os respectivos valores. Procure o campo KeyType de cada serviço na propriedade Encryption e verifique se ele está definido como Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Para verificar se um serviço em uma conta de armazenamento está usando a chave de criptografia da conta com a CLI do Azure, chame o comando az storage account show. Esse comando retorna um conjunto de propriedades da conta de armazenamento e os respectivos valores. Procure o campo keyType de cada serviço na propriedade de criptografia e verifique se ele está definido como Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Após verificar se a conta de armazenamento está usando uma chave de criptografia com escopo para a conta, você poderá habilitar as chaves gerenciadas pelo cliente para a conta. Todos os quatro serviços de Armazenamento do Azure – blobs, arquivos, tabelas e filas – usarão a chave gerenciada pelo cliente para criptografia.

Preços e cobrança

Uma conta de armazenamento que é criada para usar uma chave de criptografia com escopo para a conta é cobrada pela capacidade de armazenamento de tabelas e pelas transações a uma taxa diferente de uma conta que usa a chave de escopo de serviço padrão. Para obter detalhes, confira Preços do Armazenamento de Tabelas do Azure.

Criar uma conta que dê suporte a chaves gerenciadas pelo cliente para tabelas e filas

Criar uma conta que usa a chave de criptografia da conta

Verificar a chave de criptografia da conta

Preços e cobrança

Próximas etapas

Recursos adicionais