Configurar chaves gerenciadas pelo cliente para criptografia de armazenamento do Azure do portal do AzureConfigure customer-managed keys for Azure Storage encryption from the Azure portal

O armazenamento do Azure dá suporte à criptografia em repouso com chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente.Azure Storage supports encryption at rest with either Microsoft-managed keys or customer-managed keys. Chaves gerenciadas pelo cliente permitem que você criar, girar, desabilitar e revogar os controles de acesso.Customer-managed keys enable you to create, rotate, disable, and revoke access controls.

Use o Azure Key Vault para gerenciar suas chaves e auditar o uso.Use Azure Key Vault to manage your keys and audit your key usage. Você pode criar suas próprias chaves e armazená-los em um cofre de chaves, ou você pode usar as APIs do Azure Key Vault para gerar chaves.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. A conta de armazenamento e o cofre de chaves devem estar na mesma região, mas podem estar em assinaturas diferentes.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Para obter mais informações sobre o Cofre da Chave do Azure, consulte O que é o Cofre da Chave do Azure?For more information about Azure Key Vault, see What is Azure Key Vault?

Este artigo mostra como configurar um cofre de chaves com chaves gerenciadas pelo cliente usando o portal do Azure.This article shows how to configure a key vault with customer-managed keys using the Azure portal. Para saber como criar um cofre de chaves usando o portal do Azure, consulte guia de início rápido: Definir e recuperar um segredo do Cofre de chaves do Azure usando o portal do Azure.To learn how to create a key vault using the Azure portal, see Quickstart: Set and retrieve a secret from Azure Key Vault using the Azure portal.

Importante

Usar chaves gerenciadas pelo cliente com a criptografia de armazenamento do Azure requer que o Cofre de chaves tem duas propriedades obrigatórias configuradas, exclusão reversível e não limpar.Using customer-managed keys with Azure Storage encryption requires that the key vault have two required properties configured, Soft Delete and Do Not Purge. Essas propriedades são habilitadas por padrão, quando você cria um novo cofre de chaves no portal do Azure.These properties are enabled by default when you create a new key vault in the Azure portal. No entanto, se você precisar habilitar essas propriedades em um cofre de chaves existente, você deve usar o PowerShell ou CLI do Azure.However, if you need to enable these properties on an existing key vault, you must use either PowerShell or Azure CLI.

Habilitar chaves gerenciadas pelo clienteEnable customer-managed keys

Para habilitar as chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:To enable customer-managed keys in the Azure portal, follow these steps:

  1. Navegue até sua conta de armazenamento.Navigate to your storage account.

  2. Na folha Configurações da conta de armazenamento, clique em Criptografia.On the Settings blade for the storage account, click Encryption. Selecione a opção Usar sua própria chave, conforme a imagem a seguir.Select the Use your own key option, as shown in the following figure.

    Portal de captura de tela mostrando a opção de criptografia

Especifique uma chaveSpecify a key

Depois de habilitar chaves gerenciadas pelo cliente, você terá a oportunidade de especificar uma chave para associar a conta de armazenamento.After you enable customer-managed keys, you'll have the opportunity to specify a key to associate with the storage account.

Especificar uma chave como URISpecify a key as a URI

Para especificar uma chave como um URI, siga estas etapas:To specify a key as a URI, follow these steps:

  1. Para localizar o URI da chave no portal do Azure, navegue até seu Cofre de chaves e selecione o chaves configuração.To locate the key URI in the Azure portal, navigate to your key vault, and select the Keys setting. Selecione a chave desejada e clique na tecla para exibir suas configurações.Select the desired key, then click the key to view its settings. Copie o valor da identificador de chave campo, que fornece o URI.Copy the value of the Key Identifier field, which provides the URI.

    URI da chave de Cofre de chaves do mostrando de captura de tela

  2. No criptografia configurações de sua conta de armazenamento, escolha o digitar a chave URI opção.In the Encryption settings for your storage account, choose the Enter key URI option.

  3. No campo Chave URI, especifique o URI.In the Key URI field, specify the URI.

    Captura de tela mostrando como inserir URI da chave

Especificar uma chave de um cofre de chavesSpecify a key from a key vault

Para especificar uma chave do Cofre de chaves, primeiro certifique-se de que você tenha um cofre de chaves que contém uma chave.To specify a key from a key vault, first make sure that you have a key vault that contains a key. Para especificar uma chave do Cofre de chaves, siga estas etapas:To specify a key from a key vault, follow these steps:

  1. Escolha a opção Selecionar do Cofre de chaves.Choose the Select from Key Vault option.

  2. Escolha o Cofre de chaves que contém a chave que deseja usar.Choose the key vault containing the key you want to use.

  3. Escolha a chave do Cofre de chaves.Choose the key from the key vault.

    Captura de tela mostrando a opção de chave gerenciada pelo cliente

Atualizar a versão da chaveUpdate the key version

Quando você cria uma nova versão de uma chave, você precisará atualizar a conta de armazenamento para usar a nova versão.When you create a new version of a key, you'll need to update the storage account to use the new version. Siga estas etapas:Follow these steps:

  1. Navegue até sua conta de armazenamento e exibir o criptografia configurações.Navigate to your storage account and display the Encryption settings.
  2. Especifique o URI para a nova versão da chave.Specify the URI for the new key version. Como alternativa, você pode selecionar o Cofre de chaves e a chave novamente para atualizar a versão.Alternately, you can select the key vault and the key again to update the version.

Próximas etapasNext steps