Configurar chaves gerenciadas pelo cliente para a criptografia de armazenamento do Azure do portal do AzureConfigure customer-managed keys for Azure Storage encryption from the Azure portal

O armazenamento do Azure dá suporte à criptografia em repouso com chaves gerenciadas pela Microsoft ou chaves gerenciadas pelo cliente.Azure Storage supports encryption at rest with either Microsoft-managed keys or customer-managed keys. Chaves gerenciadas pelo cliente permitem que você criar, girar, desabilitar e revogar os controles de acesso.Customer-managed keys enable you to create, rotate, disable, and revoke access controls.

Use o Azure Key Vault para gerenciar suas chaves e auditar o uso.Use Azure Key Vault to manage your keys and audit your key usage. Você pode criar suas próprias chaves e armazená-los em um cofre de chaves, ou você pode usar as APIs do Azure Key Vault para gerar chaves.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. A conta de armazenamento e o cofre de chaves devem estar na mesma região, mas podem estar em assinaturas diferentes.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Para obter mais informações sobre o Cofre da Chave do Azure, consulte O que é o Cofre da Chave do Azure?For more information about Azure Key Vault, see What is Azure Key Vault?

Este artigo mostra como configurar um cofre de chaves com chaves gerenciadas pelo cliente usando o portal do Azure.This article shows how to configure a key vault with customer-managed keys using the Azure portal. Para saber como criar um cofre de chaves usando o portal do Azure, consulte início rápido: definir e recuperar um segredo de Azure Key Vault usando o portal do Azure.To learn how to create a key vault using the Azure portal, see Quickstart: Set and retrieve a secret from Azure Key Vault using the Azure portal.

Importante

O uso de chaves gerenciadas pelo cliente com a criptografia de armazenamento do Azure requer que duas propriedades sejam definidas no cofre de chaves, exclusão reversível e não sejam limpas.Using customer-managed keys with Azure Storage encryption requires that two properties be set on the key vault, Soft Delete and Do Not Purge. Essas propriedades não são habilitadas por padrão.These properties are not enabled by default. Para habilitar essas propriedades, use o PowerShell ou o CLI do Azure.To enable these properties, use either PowerShell or Azure CLI. Somente chaves RSA e tamanho de chave 2048 têm suporte.Only RSA keys and key size 2048 are supported.

Habilitar chaves gerenciadas pelo clienteEnable customer-managed keys

Para habilitar as chaves gerenciadas pelo cliente no portal do Azure, siga estas etapas:To enable customer-managed keys in the Azure portal, follow these steps:

  1. Navegue até sua conta de armazenamento.Navigate to your storage account.

  2. Na folha Configurações da conta de armazenamento, clique em Criptografia.On the Settings blade for the storage account, click Encryption. Selecione a opção Usar sua própria chave, conforme a imagem a seguir.Select the Use your own key option, as shown in the following figure.

    Captura de tela do portal mostrando a opção de criptografia

Especificar uma chaveSpecify a key

Depois de habilitar as chaves gerenciadas pelo cliente, você terá a oportunidade de especificar uma chave a ser associada à conta de armazenamento.After you enable customer-managed keys, you'll have the opportunity to specify a key to associate with the storage account.

Especificar uma chave como URISpecify a key as a URI

Para especificar uma chave como um URI, siga estas etapas:To specify a key as a URI, follow these steps:

  1. Para localizar o URI de chave no portal do Azure, navegue até o cofre de chaves e selecione a configuração chaves .To locate the key URI in the Azure portal, navigate to your key vault, and select the Keys setting. Selecione a chave desejada e clique na chave para exibir suas configurações.Select the desired key, then click the key to view its settings. Copie o valor do campo identificador de chave , que fornece o URI.Copy the value of the Key Identifier field, which provides the URI.

    Captura de tela mostrando o URI da chave do Key Vault

  2. Nas configurações de criptografia para sua conta de armazenamento, escolha a opção inserir URI de chave .In the Encryption settings for your storage account, choose the Enter key URI option.

  3. No campo Chave URI, especifique o URI.In the Key URI field, specify the URI.

    Captura de tela mostrando como inserir o URI da chave

Especificar uma chave de um cofre de chavesSpecify a key from a key vault

Para especificar uma chave de um cofre de chaves, primeiro verifique se você tem um cofre de chaves que contém uma chave.To specify a key from a key vault, first make sure that you have a key vault that contains a key. Para especificar uma chave de um cofre de chaves, siga estas etapas:To specify a key from a key vault, follow these steps:

  1. Escolha a opção Selecionar do Cofre de chaves.Choose the Select from Key Vault option.

  2. Escolha o Cofre de chaves que contém a chave que deseja usar.Choose the key vault containing the key you want to use.

  3. Escolha a chave do Cofre de chaves.Choose the key from the key vault.

    Captura de tela mostrando a opção de chave gerenciada pelo cliente

Atualizar a versão de chaveUpdate the key version

Ao criar uma nova versão de uma chave, você precisará atualizar a conta de armazenamento para usar a nova versão.When you create a new version of a key, you'll need to update the storage account to use the new version. Siga estas etapas:Follow these steps:

  1. Navegue até sua conta de armazenamento e exiba as configurações de criptografia .Navigate to your storage account and display the Encryption settings.
  2. Especifique o URI para a nova versão de chave.Specify the URI for the new key version. Como alternativa, você pode selecionar o cofre de chaves e a chave novamente para atualizar a versão.Alternately, you can select the key vault and the key again to update the version.

Próximos passosNext steps