Configurar chaves gerenciadas pelo cliente no mesmo locatário para uma conta de armazenamento existente

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, os dados são criptografados com chaves gerenciadas pela Microsoft. Para ter mais controlo sobre as chaves de encriptação, pode gerir as suas próprias chaves. As chaves gerenciadas pelo cliente devem ser armazenadas no Azure Key Vault ou no Key Vault Managed Hardware Security Model (HSM).

Este artigo mostra como configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente quando a conta de armazenamento e o cofre de chaves estão no mesmo locatário. As chaves gerenciadas pelo cliente são armazenadas em um cofre de chaves.

Para saber como configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento, consulte Configurar chaves gerenciadas pelo cliente em um cofre de chaves do Azure para uma nova conta de armazenamento.

Para saber como configurar a criptografia com chaves gerenciadas pelo cliente armazenadas em um HSM gerenciado, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado do Cofre de Chaves do Azure.

Nota

O Azure Key Vault e o Azure Key Vault Managed HSM suportam as mesmas APIs e interfaces de gestão para a configuração de chaves geridas pelo cliente. Qualquer ação com suporte para o Azure Key Vault também é suportada para o Azure Key Vault Managed HSM.

Configurar o cofre de chaves

Você pode usar um cofre de chaves novo ou existente para armazenar chaves gerenciadas pelo cliente. A conta de armazenamento e o cofre de chaves podem estar em regiões ou assinaturas diferentes no mesmo locatário. Para saber mais sobre o Azure Key Vault, consulte Visão geral do Azure Key Vault e O que é o Azure Key Vault?.

O uso de chaves gerenciadas pelo cliente com a criptografia do Armazenamento do Azure exige que a proteção contra exclusão flexível e limpeza seja habilitada para o cofre de chaves. A exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves e não pode ser desabilitada. Você pode habilitar a proteção contra limpeza ao criar o cofre de chaves ou depois que ele for criado.

O Azure Key Vault dá suporte à autorização com o Azure RBAC por meio de um modelo de permissão do Azure RBAC. A Microsoft recomenda o uso do modelo de permissão RBAC do Azure sobre as políticas de acesso ao cofre de chaves. Para obter mais informações, consulte Conceder permissão a aplicativos para acessar um cofre de chaves do Azure usando o Azure RBAC.

Portal do Azure

Para saber como criar um cofre de chaves com o portal do Azure, consulte Guia de início rápido: criar um cofre de chaves usando o portal do Azure. Ao criar o cofre de chaves, selecione Ativar proteção contra limpeza, conforme mostrado na imagem a seguir.

Para ativar a proteção contra limpeza num cofre de chaves existente, siga estes passos:

1. Navegue até o cofre da chave no portal do Azure.
2. Em Configurações, escolha Propriedades.
3. Na seção Proteção contra purga, escolha Ativar proteção contra purga.

PowerShell

Para criar um novo cofre de chaves com o PowerShell, instale a versão 2.0.0 ou posterior do módulo Az.KeyVault PowerShell. Em seguida, chame New-AzKeyVault para criar um novo cofre de chaves. Com a versão 2.0.0 e posterior do módulo Az.KeyVault, a exclusão suave é habilitada por padrão quando você cria um novo cofre de chaves.

O exemplo a seguir cria um novo cofre de chaves com a proteção soft delete e purge habilitada. O modelo de permissão do cofre de chaves está definido para usar o RBAC do Azure. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

$rgName = "<resource_group>"
$location = "<location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Para saber como habilitar a proteção contra limpeza em um cofre de chaves existente com o PowerShell, consulte Visão geral da recuperação do Cofre de Chaves do Azure.

Depois de criar o cofre de chaves, você precisará atribuir a função de Oficial de Criptografia do Cofre de Chaves a si mesmo. Essa função permite que você crie uma chave no cofre de chaves. O exemplo a seguir atribui essa função a um usuário, com escopo para o cofre de chaves:

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para obter mais informações sobre como atribuir uma função RBAC com o PowerShell, consulte Atribuir funções do Azure usando o Azure PowerShell.

CLI do Azure

Para criar um novo cofre de chaves usando a CLI do Azure, chame az keyvault create. O exemplo a seguir cria um novo cofre de chaves com a proteção soft delete e purge habilitada. O modelo de permissão do cofre de chaves está definido para usar o RBAC do Azure. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

rgName="<resource_group>"
location="<location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --location $location \
    --enable-purge-protection \
    --enable-rbac-authorization

Para saber como habilitar a proteção contra limpeza em um cofre de chaves existente com a CLI do Azure, consulte Visão geral da recuperação do Cofre da Chave do Azure.

Depois de criar o cofre de chaves, você precisará atribuir a função de Oficial de Criptografia do Cofre de Chaves a si mesmo. Essa função permite que você crie uma chave no cofre de chaves. O exemplo a seguir atribui essa função a um usuário, com escopo para o cofre de chaves:

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Para obter mais informações sobre como atribuir uma função RBAC com a CLI do Azure, consulte Atribuir funções do Azure usando a CLI do Azure.

Adicionar uma chave

Em seguida, adicione uma chave ao cofre de chaves. Antes de adicionar a chave, certifique-se de que atribuiu a si mesmo a função Key Vault Crypto Officer .

A encriptação do Armazenamento do Azure suporta chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para obter mais informações sobre os tipos de chave suportados, consulte Sobre chaves.

Portal do Azure

Para saber como adicionar uma chave com o portal do Azure, consulte Guia de início rápido: definir e recuperar uma chave do Cofre da Chave do Azure usando o portal do Azure.

PowerShell

Para adicionar uma chave com o PowerShell, chame Add-AzKeyVaultKey. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores.

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

CLI do Azure

Para adicionar uma chave com a CLI do Azure, chame az keyvault key create. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

Escolha uma identidade gerenciada para autorizar o acesso ao cofre de chaves

Ao habilitar chaves gerenciadas pelo cliente para uma conta de armazenamento existente, você deve especificar uma identidade gerenciada a ser usada para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerenciada deve ter permissões para acessar a chave no cofre de chaves.

A identidade gerenciada que autoriza o acesso ao cofre de chaves pode ser uma identidade gerenciada atribuída pelo usuário ou pelo sistema. Para saber mais sobre identidades gerenciadas atribuídas pelo sistema versus identidades gerenciadas atribuídas pelo usuário, consulte Tipos de identidade gerenciada.

Usar uma identidade gerenciada atribuída pelo usuário para autorizar o acesso

Ao habilitar chaves gerenciadas pelo cliente para uma nova conta de armazenamento, você deve especificar uma identidade gerenciada atribuída pelo usuário. Uma conta de armazenamento existente oferece suporte ao uso de uma identidade gerenciada atribuída pelo usuário ou de uma identidade gerenciada atribuída pelo sistema para configurar chaves gerenciadas pelo cliente.

Quando você configura chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, a identidade gerenciada atribuída pelo usuário é usada para autorizar o acesso ao cofre de chaves que contém a chave. Você deve criar a identidade atribuída pelo usuário antes de configurar chaves gerenciadas pelo cliente.

Uma identidade gerenciada atribuída pelo usuário é um recurso autônomo do Azure. Para saber mais sobre identidades gerenciadas atribuídas pelo usuário, consulte Tipos de identidade gerenciada. Para saber como criar e gerenciar uma identidade gerenciada atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

A identidade gerenciada atribuída pelo usuário deve ter permissões para acessar a chave no cofre de chaves. Atribua a função Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves à identidade gerenciada atribuída pelo usuário com escopo do cofre de chaves para conceder essas permissões.

Portal do Azure

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo usuário, você deve atribuir a função Usuário de Criptografia do Serviço de Criptografia do Cofre da Chave à identidade gerenciada atribuída pelo usuário, com escopo para o cofre de chaves. Essa função concede ao usuário permissões de identidade gerenciada atribuídas pelo usuário para acessar a chave no cofre de chaves. Para obter mais informações sobre como atribuir funções RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Ao configurar chaves gerenciadas pelo cliente com o portal do Azure, você pode selecionar uma identidade atribuída pelo usuário existente por meio da interface do usuário do portal.

PowerShell

O exemplo a seguir mostra como recuperar a identidade gerenciada atribuída pelo usuário e atribuir a ela a função RBAC necessária, com escopo para o cofre de chaves. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores:

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

CLI do Azure

O exemplo a seguir mostra como recuperar a identidade gerenciada atribuída pelo usuário e atribuir a ela a função RBAC necessária, com escopo para o cofre de chaves. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores:

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

Usar uma identidade gerenciada atribuída pelo sistema para autorizar o acesso

Uma identidade gerenciada atribuída pelo sistema está associada a uma instância de um serviço do Azure, neste caso, uma conta de Armazenamento do Azure. Você deve atribuir explicitamente uma identidade gerenciada atribuída pelo sistema a uma conta de armazenamento antes de poder usar a identidade gerenciada atribuída pelo sistema para autorizar o acesso ao cofre de chaves que contém sua chave gerenciada pelo cliente.

Somente contas de armazenamento existentes podem usar uma identidade atribuída pelo sistema para autorizar o acesso ao cofre de chaves. As novas contas de armazenamento devem usar uma identidade atribuída pelo usuário, se as chaves gerenciadas pelo cliente estiverem configuradas na criação da conta.

A identidade gerenciada atribuída pelo sistema deve ter permissões para acessar a chave no cofre de chaves. Atribua a função Usuário de Criptografia do Serviço de Criptografia do Cofre da Chave à identidade gerenciada atribuída pelo sistema com o escopo do cofre de chaves para conceder essas permissões.

Portal do Azure

Antes de configurar chaves gerenciadas pelo cliente com uma identidade gerenciada atribuída pelo sistema, você deve atribuir a função Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves à identidade gerenciada atribuída ao sistema, com escopo para o cofre de chaves. Essa função concede à identidade gerenciada atribuída pelo sistema permissões de acesso à chave no cofre de chaves. Para obter mais informações sobre como atribuir funções RBAC do Azure com o portal do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Quando você configura chaves gerenciadas pelo cliente com o portal do Azure com uma identidade gerenciada atribuída ao sistema, a identidade gerenciada atribuída ao sistema é atribuída à conta de armazenamento para você sob as cobertas.

PowerShell

Para atribuir uma identidade gerenciada atribuída pelo sistema à sua conta de armazenamento, primeiro chame Set-AzStorageAccount:

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

Em seguida, atribua à identidade gerenciada atribuída ao sistema a função RBAC necessária, com escopo para o cofre de chaves. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores:

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

CLI do Azure

Para autenticar o acesso ao cofre de chaves com uma identidade gerenciada atribuída pelo sistema, primeiro atribua a identidade gerenciada atribuída pelo sistema à conta de armazenamento chamando az storage account update:

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

Em seguida, atribua à identidade gerenciada atribuída ao sistema a função RBAC necessária, com escopo para o cofre de chaves. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores:

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Configurar chaves gerenciadas pelo cliente para uma conta existente

Ao configurar a criptografia com chaves gerenciadas pelo cliente para uma conta de armazenamento existente, você pode optar por atualizar automaticamente a versão da chave usada para a criptografia do Armazenamento do Azure sempre que uma nova versão estiver disponível no cofre de chaves associado. Como alternativa, você pode especificar explicitamente uma versão de chave a ser usada para criptografia até que a versão da chave seja atualizada manualmente.

Quando a versão da chave é alterada, seja automática ou manualmente, a proteção da chave de criptografia raiz muda, mas os dados em sua conta de Armazenamento do Azure permanecem criptografados o tempo todo. Não é necessária nenhuma ação adicional da sua parte para garantir que os seus dados estão protegidos. A rotação da versão da chave não afeta o desempenho. Não há tempo de inatividade associado à rotação da versão da chave.

Você pode usar uma identidade gerenciada atribuída pelo sistema ou pelo usuário para autorizar o acesso ao cofre de chaves ao configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente.

Nota

Para girar uma chave, crie uma nova versão da chave no Cofre da Chave do Azure. O Armazenamento do Azure não lida com a rotação de chaves, portanto, você precisará gerenciar a rotação da chave no cofre de chaves. Você pode configurar a rotação automática de chaves no Cofre de Chaves do Azure ou girar sua chave manualmente.

Configurar criptografia para atualização automática de versões de chave

O Armazenamento do Azure pode atualizar automaticamente a chave gerenciada pelo cliente usada para criptografia para usar a versão de chave mais recente do cofre de chaves. O Armazenamento do Azure verifica o cofre da chave diariamente em busca de uma nova versão da chave. Quando uma nova versão fica disponível, o Armazenamento do Azure começa automaticamente a usar a versão mais recente da chave para criptografia.

Importante

O Armazenamento do Azure verifica o cofre de chaves em busca de uma nova versão de chave apenas uma vez por dia. Quando rodar uma chave, certifique-se de que aguarda 24 horas antes de desativar a versão mais antiga.

Portal do Azure

Para configurar chaves gerenciadas pelo cliente para uma conta existente com atualização automática da versão da chave no portal do Azure, siga as etapas abaixo:

1. Navegue para a sua conta de armazenamento.

2. Em Segurança + rede, selecione Encriptação. Por padrão, o gerenciamento de chaves é definido como Chaves Gerenciadas pela Microsoft, conforme mostrado na imagem abaixo:

   

3. Selecione a opção Chaves gerenciadas pelo cliente. Se a conta tiver sido configurada anteriormente para Chaves Gerenciadas pelo Cliente com atualização manual da versão da chave, selecione Alterar chave na parte inferior da página.

4. Escolha a opção Selecionar do Cofre da Chave .

5. Selecione Selecione um cofre de chaves e uma chave.

6. Selecione o cofre de chaves que contém a chave que você deseja usar. Você também pode criar um novo cofre de chaves.

7. Selecione a chave no cofre de chaves. Você também pode criar uma nova chave.

   

8. Selecione o tipo de identidade a ser usado para autenticar o acesso ao cofre de chaves. As opções incluem System-assigned (o padrão) ou User-assigned. Para saber mais sobre cada tipo de identidade gerenciada, consulte Tipos de identidade gerenciada.

   1. Se você selecionar Atribuído ao sistema, a identidade gerenciada atribuída ao sistema para a conta de armazenamento será criada sob as capas, se ainda não existir.
   2. Se você selecionar Atribuído pelo usuário, deverá selecionar uma identidade atribuída pelo usuário existente que tenha permissões para acessar o cofre de chaves. Para saber como criar uma identidade atribuída pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

   

9. Guardar as suas alterações.

Depois de especificar a chave, o portal do Azure indica que a atualização automática da versão da chave está habilitada e exibe a versão da chave atualmente em uso para criptografia. O portal também exibe o tipo de identidade gerenciada usada para autorizar o acesso ao cofre de chaves e o ID principal da identidade gerenciada.

PowerShell

Para configurar chaves gerenciadas pelo cliente para uma conta existente com atualização automática da versão da chave com o PowerShell, instale o módulo Az.Storage , versão 2.0.0 ou posterior.

Em seguida, chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento. Inclua o parâmetro para habilitar chaves KeyvaultEncryption gerenciadas pelo cliente para a conta de armazenamento e defina KeyVersion como uma cadeia de caracteres vazia para habilitar a atualização automática da versão da chave. Se a conta de armazenamento tiver sido configurada anteriormente para chaves gerenciadas pelo cliente com uma versão de chave específica, definir a versão da chave para uma cadeia de caracteres vazia permitirá a atualização automática da versão da chave no futuro.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

CLI do Azure

Para configurar chaves gerenciadas pelo cliente para uma conta existente com a atualização automática da versão da chave com a CLI do Azure, instale a CLI do Azure versão 2.4.0 ou posterior. Para obter mais informações, consulte Instalar a CLI do Azure.

Em seguida, chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento. Inclua o parâmetro e defina-o --encryption-key-source para habilitar chaves gerenciadas pelo cliente para a conta e defina encryption-key-version como uma cadeia de caracteres vazia para Microsoft.Keyvault habilitar a atualização automática da versão da chave. Se a conta de armazenamento tiver sido configurada anteriormente para chaves gerenciadas pelo cliente com uma versão de chave específica, definir a versão da chave para uma cadeia de caracteres vazia permitirá a atualização automática da versão da chave no futuro.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Configurar a criptografia para atualização manual de versões de chave

Se preferir atualizar manualmente a versão da chave, especifique explicitamente a versão no momento em que configurar a criptografia com chaves gerenciadas pelo cliente. Nesse caso, o Armazenamento do Azure não atualizará automaticamente a versão da chave quando uma nova versão for criada no cofre da chave. Para usar uma nova versão de chave, você deve atualizar manualmente a versão usada para a criptografia do Armazenamento do Azure.

Portal do Azure

Para configurar chaves gerenciadas pelo cliente com atualização manual da versão da chave no portal do Azure, especifique o URI da chave, incluindo a versão. Para especificar uma chave como um URI, siga estes passos:

1. Para localizar o URI da chave no portal do Azure, navegue até o cofre da chave e selecione a configuração Chaves . Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações dessa versão.

2. Copie o valor do campo Identificador de Chave , que fornece o URI.

   

3. Nas configurações de chave de criptografia para sua conta de armazenamento, escolha a opção Inserir URI de chave.

4. Cole o URI copiado no campo URI de chave. Omita a versão da chave do URI para habilitar a atualização automática da versão da chave.

   

5. Especifique a assinatura que contém o cofre de chaves.

6. Especifique uma identidade gerenciada atribuída pelo sistema ou pelo usuário.

7. Guardar as suas alterações.

PowerShell

Para configurar chaves gerenciadas pelo cliente com atualização manual da versão da chave, forneça explicitamente a versão da chave ao configurar a criptografia para a conta de armazenamento. Chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento, conforme mostrado no exemplo a seguir, e inclua a opção -KeyvaultEncryption para habilitar chaves gerenciadas pelo cliente para a conta de armazenamento.

Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores.

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

Ao atualizar manualmente a versão da chave, você precisará atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão. Primeiro, chame Get-AzKeyVaultKey para obter a versão mais recente da chave. Em seguida, chame Set-AzStorageAccount para atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão da chave, conforme mostrado no exemplo anterior.

CLI do Azure

Para configurar chaves gerenciadas pelo cliente com atualização manual da versão da chave, forneça explicitamente a versão da chave ao configurar a criptografia para a conta de armazenamento. Chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento, conforme mostrado no exemplo a seguir. Inclua o parâmetro e defina-o --encryption-key-source para habilitar chaves gerenciadas pelo cliente para Microsoft.Keyvault a conta.

Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus próprios valores.

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Ao atualizar manualmente a versão da chave, você precisará atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão. Primeiro, consulte o URI do cofre de chaves chamando az keyvault show e a versão da chave chamando az keyvault key list-versions. Em seguida, chame az storage account update para atualizar as configurações de criptografia da conta de armazenamento para usar a nova versão da chave, como mostrado no exemplo anterior.

Alterar a chave

Você pode alterar a chave que está usando para a criptografia do Armazenamento do Azure a qualquer momento.

Nota

Quando você altera a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados em sua conta de Armazenamento do Azure permanecem sempre criptografados. Não é necessária qualquer ação adicional da sua parte para assegurar que os dados estão protegidos. Alterar a chave ou girar a versão da chave não afeta o desempenho. Não há tempo de inatividade associado à alteração da chave ou à rotação da versão da chave.

Portal do Azure

Para alterar a chave com o portal do Azure, siga estas etapas:

1. Navegue até sua conta de armazenamento e exiba as configurações de criptografia .
2. Selecione o cofre de chaves e escolha uma nova chave.
3. Guardar as suas alterações.

PowerShell

Para alterar a chave com o PowerShell, chame Set-AzStorageAccount e forneça o novo nome e versão da chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.

CLI do Azure

Para alterar a chave com a CLI do Azure, chame az storage account update e forneça o novo nome e versão da chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.

Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você optar pela atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.

Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente

Para revogar temporariamente o acesso a uma conta de armazenamento que esteja usando chaves gerenciadas pelo cliente, desative a chave que está sendo usada atualmente no cofre de chaves. Não há impacto no desempenho ou tempo de inatividade associado à desativação e reativação da chave.

Depois que a chave for desabilitada, os clientes não poderão chamar operações que leiam ou gravem em um blob ou em seus metadados. Para obter informações sobre quais operações falharão, consulte Revogar o acesso a uma conta de armazenamento que usa chaves gerenciadas pelo cliente.

Atenção

Quando você desabilita a chave no cofre de chaves, os dados em sua conta de Armazenamento do Azure permanecem criptografados, mas ficam inacessíveis até que você reative a chave.

Portal do Azure

Para desabilitar uma chave gerenciada pelo cliente com o portal do Azure, siga estas etapas:

1. Navegue até o cofre de chaves que contém a chave.

2. Em Objetos, selecione Chaves.

3. Clique com o botão direito do rato na tecla e selecione Desativar.

   

PowerShell

Para revogar uma chave gerenciada pelo cliente com o PowerShell, chame o comando Update-AzKeyVaultKey , conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

CLI do Azure

Para revogar uma chave gerenciada pelo cliente com a CLI do Azure, chame o comando az keyvault key set-attributes, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Voltar para chaves gerenciadas pela Microsoft

Você pode alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft a qualquer momento, usando o portal do Azure, o PowerShell ou a CLI do Azure.

Portal do Azure

Para alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft no portal do Azure, siga estas etapas:

1. Navegue para a sua conta de armazenamento.

2. Em Segurança + rede, selecione Encriptação.

3. Altere o tipo de criptografia para chaves gerenciadas pela Microsoft.

   

PowerShell

Para alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft com o PowerShell, chame Set-AzStorageAccount com a opção, conforme mostrado no exemplo a -StorageEncryption seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

CLI do Azure

Para alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela Microsoft com a CLI do Azure, chame az storage account update e defina como --encryption-key-source parameterMicrosoft.Storage, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores e usar as variáveis definidas nos exemplos anteriores.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage

Próximos passos

• Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
• Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure
• Configurar chaves gerenciadas pelo cliente em um cofre de chaves do Azure para uma nova conta de armazenamento