Configurar chaves gerenciadas pelo cliente para o Teste de Carga do Azure com o Azure Key Vault

O Teste de Carga do Azure criptografa automaticamente todos os dados armazenados em seu recurso de teste de carga com chaves que a Microsoft fornece (chaves gerenciadas por serviço). Opcionalmente, você pode adicionar uma segunda camada de segurança fornecendo também suas próprias chaves (gerenciadas pelo cliente). As chaves gerenciadas pelo cliente oferecem maior flexibilidade para controlar o acesso e usar políticas de rotação de chaves.

As chaves fornecidas são armazenadas com segurança usando o Azure Key Vault. Você pode criar uma chave separada para cada recurso de teste de carga do Azure habilitado com chaves gerenciadas pelo cliente.

Ao usar chaves de criptografia gerenciadas pelo cliente, você precisa especificar uma identidade gerenciada atribuída pelo usuário para recuperar as chaves do Cofre de Chaves do Azure.

O Teste de Carga do Azure usa a chave gerenciada pelo cliente para criptografar os seguintes dados no recurso de teste de carga:

• Script de teste e arquivos de configuração
• Segredos
• Variáveis de ambiente

Nota

O Teste de Carga do Azure não criptografa dados de métricas para uma execução de teste com sua chave gerenciada pelo cliente, incluindo os nomes de amostrador de métricas JMeter que você especifica no script JMeter. A Microsoft tem acesso a esses dados de métricas.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

• Uma identidade gerenciada atribuída pelo usuário existente. Para obter mais informações sobre como criar uma identidade gerenciada atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

Limitações

• As chaves gerenciadas pelo cliente só estão disponíveis para novos recursos de teste de carga do Azure. Você deve configurar a chave durante a criação do recurso.

• Depois que a criptografia de chave gerenciada pelo cliente estiver habilitada em um recurso, ela não poderá ser desabilitada.

• O Teste de Carga do Azure não pode girar automaticamente a chave gerenciada pelo cliente para usar a versão mais recente da chave de criptografia. Você deve atualizar o URI da chave no recurso depois que a chave for girada no Cofre da Chave do Azure.

Configurar seu cofre de chaves do Azure

Para usar chaves de criptografia gerenciadas pelo cliente com o Teste de Carga do Azure, você precisa armazenar a chave no Cofre de Chaves do Azure. Você pode usar um cofre de chaves existente ou criar um novo. O recurso de teste de carga e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário.

Certifique-se de definir as seguintes configurações do cofre de chaves ao usar chaves de criptografia gerenciadas pelo cliente.

Definir configurações de rede do cofre de chaves

Se você restringiu o acesso ao seu cofre de chaves do Azure por um firewall ou rede virtual, precisará conceder acesso ao Teste de Carga do Azure para recuperar suas chaves gerenciadas pelo cliente. Siga estas etapas para conceder acesso a serviços confiáveis do Azure.

Configurar a proteção de exclusão suave e limpeza

Tem de definir as propriedades Soft Delete e Purge Protection no seu cofre de chaves para utilizar chaves geridas pelo cliente com o Azure Load Testing. A exclusão suave é ativada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode ativar a proteção contra limpeza a qualquer momento. Saiba mais sobre a proteção de exclusão suave e limpeza no Cofre de Chaves do Azure.

Portal do Azure

Siga estas etapas para verificar se a exclusão suave está habilitada e habilitá-la em um cofre de chaves. A exclusão suave é ativada por padrão quando você cria um novo cofre de chaves.

Você pode habilitar a proteção contra limpeza ao criar um novo cofre de chaves selecionando as configurações Ativar proteção contra limpeza.

Para ativar a proteção contra limpeza num cofre de chaves existente, siga estes passos:

1. Navegue até o cofre da chave no portal do Azure.
2. Em Configurações, escolha Propriedades.
3. Na seção Proteção contra purga, escolha Ativar proteção contra purga.

PowerShell

Para criar um novo cofre de chaves com o PowerShell, instale a versão 2.0.0 ou posterior do módulo Az.KeyVault PowerShell. Em seguida, chame New-AzKeyVault para criar um novo cofre de chaves. Com a versão 2.0.0 e posterior do módulo Az.KeyVault, a exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves.

O exemplo a seguir cria um novo cofre de chaves com a proteção de exclusão suave e limpeza habilitada. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

Para habilitar a proteção contra limpeza em um cofre de chaves existente com o PowerShell:

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

CLI do Azure

Para criar um novo cofre de chaves usando a CLI do Azure, chame az keyvault create. A exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves.

O exemplo a seguir cria um novo cofre de chaves com a proteção de exclusão suave e limpeza habilitada. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Para habilitar a proteção contra limpeza em um cofre de chaves existente com a CLI do Azure:

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Adicionar uma chave gerenciada pelo cliente ao Cofre de Chaves do Azure

Em seguida, adicione uma chave ao cofre de chaves. A criptografia do Teste de Carga do Azure dá suporte a chaves RSA. Para obter mais informações sobre os tipos de chave suportados no Cofre de Chaves do Azure, consulte Sobre chaves.

Portal do Azure

Para saber como adicionar uma chave com o portal do Azure, consulte Definir e recuperar uma chave do Cofre de Chaves do Azure usando o portal do Azure.

PowerShell

Para adicionar uma chave com o PowerShell, chame Add-AzKeyVaultKey. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

CLI do Azure

Para adicionar uma chave com a CLI do Azure, chame az keyvault key create. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

Adicionar uma política de acesso ao cofre de chaves

Ao usar chaves de criptografia gerenciadas pelo cliente, você precisa especificar uma identidade gerenciada atribuída pelo usuário. A identidade gerenciada atribuída pelo usuário para acessar as chaves gerenciadas pelo cliente no Cofre de Chaves do Azure deve ter permissões apropriadas para acessar o cofre de chaves.

1. No portal do Azure, vá para a instância do cofre de chaves do Azure que você planeja usar para hospedar suas chaves de criptografia.

2. Selecione Políticas de acesso no menu à esquerda.

   

3. Selecione + Adicionar Política de Acesso.

4. No menu suspenso Permissões de chave, selecione Obter, Desembrulhar Chave e Encapsular Chave.

   

5. Em Selecionar entidade de segurança, selecione Nenhuma selecionada.

6. Procure a identidade gerenciada atribuída pelo usuário que você criou anteriormente e selecione-a na lista.

7. Escolha Selecionar na parte inferior.

8. Selecione Adicionar para adicionar a nova política de acesso.

9. Selecione Salvar na instância do cofre de chaves para salvar todas as alterações.

Usar chaves gerenciadas pelo cliente com o Teste de Carga do Azure

Você só pode configurar chaves de criptografia gerenciadas pelo cliente ao criar um novo recurso de teste de carga do Azure. Ao especificar os detalhes da chave de criptografia, você também precisa selecionar uma identidade gerenciada atribuída pelo usuário para recuperar a chave do Cofre de Chaves do Azure.

Para configurar chaves gerenciadas pelo cliente para um novo recurso de teste de carga, siga estas etapas:

Portal do Azure

1. Siga estas etapas para criar um recurso de teste de carga do Azure no portal do Azure e preencha os campos na guia Noções básicas .

2. Vá para a guia Criptografia e selecione Chaves gerenciadas pelo cliente (CMK) para o campo Tipo de criptografia .

3. No campo URI da chave, cole o identificador de URI/chave da chave do Cofre da Chave do Azure, incluindo a versão da chave.

4. Para o campo Identidade atribuída pelo usuário, selecione uma identidade gerenciada atribuída pelo usuário existente.

5. Selecione Rever + criar para validar e criar o novo recurso.

PowerShell

Você pode implantar um modelo ARM usando o PowerShell para automatizar a criação de seus recursos do Azure. Você pode criar qualquer recurso do tipo Microsoft.LoadTestService/loadtests com a chave gerenciada pelo cliente habilitada para criptografia adicionando as seguintes propriedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

O exemplo de código a seguir mostra um modelo ARM para criar um recurso de teste de carga com chaves gerenciadas pelo cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implante o modelo acima em um grupo de recursos usando New-AzResourceGroupDeployment:

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

CLI do Azure

Você pode implantar um modelo ARM usando a CLI do Azure para automatizar a criação de seus recursos do Azure. Você pode criar qualquer recurso do tipo Microsoft.LoadTestService/loadtests com a chave gerenciada pelo cliente habilitada para criptografia adicionando as seguintes propriedades:

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

O exemplo de código a seguir mostra um modelo ARM para criar um recurso de teste de carga com chaves gerenciadas pelo cliente habilitadas:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

Implante o modelo acima em um grupo de recursos usando az deployment group create:

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

Alterar a identidade gerenciada para recuperar a chave de criptografia

Você pode alterar a identidade gerenciada para chaves gerenciadas pelo cliente para um recurso de teste de carga existente a qualquer momento.

1. No portal do Azure, vá para seu recurso de teste de carga do Azure.

2. Na página Configurações, selecione Criptografia.

   O tipo de criptografia mostra o tipo de criptografia que foi usado para criar o recurso de teste de carga.

3. Se o tipo de criptografia for chaves gerenciadas pelo cliente, selecione o tipo de identidade a ser usado para autenticar no cofre de chaves. As opções incluem System-assigned (o padrão) ou User-assigned.

   Para saber mais sobre cada tipo de identidade gerenciada, consulte Tipos de identidade gerenciada.

   • Se você selecionar Atribuído ao sistema, a identidade gerenciada atribuída ao sistema precisará ser habilitada no recurso e ter acesso concedido ao AKV antes de alterar a identidade das chaves gerenciadas pelo cliente.
   • Se você selecionar Atribuído pelo usuário, deverá selecionar uma identidade atribuída pelo usuário existente que tenha permissões para acessar o cofre de chaves. Para saber como criar uma identidade atribuída pelo usuário, consulte Usar identidades gerenciadas para a Visualização de Teste de Carga do Azure.

4. Guardar as suas alterações.

Importante

Certifique-se de que a identidade gerenciada selecionada tenha acesso ao Cofre da Chave do Azure.

Atualizar a chave de criptografia gerenciada pelo cliente

Você pode alterar a chave que está usando para a criptografia do Teste de Carga do Azure a qualquer momento. Para alterar a chave com o portal do Azure, siga estas etapas:

1. No portal do Azure, vá para seu recurso de teste de carga do Azure.

2. Na página Configurações, selecione Criptografia. O tipo de criptografia mostra a criptografia selecionada para o recurso durante a criação.

3. Se o tipo de criptografia selecionado for Chaves gerenciadas pelo cliente, você poderá editar o campo URI de chave com o novo URI de chave.

4. Guardar as suas alterações.

Girar chaves de criptografia

Você pode girar uma chave gerenciada pelo cliente no Cofre de Chaves do Azure de acordo com suas políticas de conformidade. Para girar uma chave:

1. No Cofre de Chaves do Azure, atualize a versão da chave ou crie uma nova chave.
2. Atualize a chave de criptografia gerenciada pelo cliente para seu recurso de teste de carga.

Perguntas mais frequentes

Existe algum custo extra para habilitar chaves gerenciadas pelo cliente?

Não, não há nenhum custo para ativar esse recurso.

As chaves gerenciadas pelo cliente são suportadas para recursos de teste de carga existentes do Azure?

Atualmente, esse recurso só está disponível para novos recursos de teste de carga do Azure.

Como posso saber se as chaves gerenciadas pelo cliente estão habilitadas no meu recurso de teste de carga do Azure?

1. No portal do Azure, vá para seu recurso de teste de carga do Azure.
2. Vá para o item Criptografia na barra de navegação esquerda.
3. Você pode verificar o tipo de criptografia em seu recurso.

Como posso revogar uma chave de encriptação?

Você pode revogar uma chave desativando a versão mais recente da chave no Cofre de Chaves do Azure. Como alternativa, para revogar todas as chaves de uma instância do cofre de chaves, você pode excluir a política de acesso concedida à identidade gerenciada do recurso de teste de carga.

Ao revogar a chave de criptografia, você poderá executar testes por cerca de 10 minutos, após os quais a única operação disponível é a exclusão de recursos. É recomendável girar a chave em vez de revogá-la para gerenciar a segurança dos recursos e reter seus dados.

Conteúdos relacionados

• Saiba como monitorar métricas de aplicativos do lado do servidor.
• Saiba como parametrizar um teste de carga com segredos e variáveis de ambiente.