Chaves geridas pelo cliente para encriptação Armazenamento Azure

Pode utilizar a sua própria chave de encriptação para proteger os dados na sua conta de armazenamento. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. As chaves geridas pelo cliente oferecem uma maior flexibilidade para gerir os controlos de acesso.

Deve utilizar uma das seguintes lojas de chaves Azure para armazenar as suas chaves geridas pelo cliente:

Pode criar as suas próprias chaves e armazená-las no cofre de chaves ou no HSM gerido, ou pode utilizar o Azure Key Vault APIs para gerar chaves. A conta de armazenamento e o cofre-chave ou o HSM gerido devem estar na mesma região e na mesma Azure Ative Directory (Azure AD) inquilino, mas podem estar em subscrições diferentes.

Nota

Azure Key Vault e Azure Key Vault O HSM gerido suporta as mesmas APIs e interfaces de gestão para configuração.

Sobre chaves geridas pelo cliente

O seguinte diagrama mostra como a Azure Armazenamento utiliza Azure AD e um cofre chave ou gerido o HSM para fazer pedidos utilizando a chave gerida pelo cliente:

Diagram showing how customer-managed keys work in Azure Storage

A lista seguinte explica os passos numerados no diagrama:

  1. Um administrador Key Vault Azure concede permissões a chaves de encriptação para uma identidade gerida. A identidade gerida pode ser uma identidade gerida atribuída pelo utilizador que cria e gere, ou uma identidade gerida atribuída ao sistema que está associada à conta de armazenamento.
  2. Um Azure Armazenamento admin configura a encriptação com uma chave gerida pelo cliente para a conta de armazenamento.
  3. A Azure Armazenamento utiliza a identidade gerida à qual o administrador Azure Key Vault concedeu permissões na etapa 1 para autenticar o acesso ao Key Vault Azure através de Azure AD.
  4. O Azure Armazenamento embrulha a chave de encriptação da conta com a chave gerida pelo cliente em Azure Key Vault.
  5. Para operações de leitura/escrita, a Azure Armazenamento envia pedidos à Azure Key Vault para desembrulhar a chave de encriptação da conta para realizar operações de encriptação e desencriptação.

A identidade gerida que está associada à conta de armazenamento deve ter estas permissões no mínimo para aceder a uma chave gerida pelo cliente em Azure Key Vault:

  • wrapkey
  • desembrulhar
  • Obter

Para obter mais informações sobre permissões chave, consulte tipos chave, algoritmos e operações.

Azure Policy fornece uma política incorporada para exigir que as contas de armazenamento utilizem chaves geridas pelo cliente para Armazenamento Blob e cargas de trabalho Ficheiros do Azure. Para mais informações, consulte a secção ArmazenamentoAzure Policy definições políticas integradas.

Chaves geridas pelo cliente para filas e mesas

Os dados armazenados no armazenamento de fila e mesa não são automaticamente protegidos por uma chave gerida pelo cliente quando as chaves geridas pelo cliente estão ativadas para a conta de armazenamento. Pode configurar opcionalmente estes serviços para serem incluídos nesta proteção no momento em que criar a conta de armazenamento.

Para obter mais informações sobre como criar uma conta de armazenamento que suporte chaves geridas pelo cliente para filas e tabelas, consulte Criar uma conta que suporte chaves geridas pelo cliente para mesas e filas.

Os dados relativos ao armazenamento blob e Ficheiros do Azure estão sempre protegidos por chaves geridas pelo cliente quando as chaves geridas pelo cliente são configuradas para a conta de armazenamento.

Ativar as chaves geridas pelo cliente para uma conta de armazenamento

Ao configurar uma chave gerida pelo cliente, o Azure Armazenamento embrulha a chave de encriptação de dados raiz para a conta com a chave gerida pelo cliente no cofre de chaves associado ou gerida pelo HSM. Permitir chaves geridas pelo cliente não afeta o desempenho e entra em vigor imediatamente.

Quando ativa ou desativa as teclas geridas pelo cliente, ou quando modifica a chave ou a versão chave, a proteção da chave de encriptação raiz muda, mas os dados na sua conta Azure Armazenamento não precisam de ser reen encriptados.

Pode ativar chaves geridas pelo cliente em contas de armazenamento novas e existentes. Quando ativa as chaves geridas pelo cliente, tem de especificar uma identidade gerida a utilizar para autorizar o acesso ao cofre de chaves que contém a chave. A identidade gerida pode ser uma identidade gerida atribuída pelo utilizador ou atribuída pelo sistema:

  • Quando configurar as chaves geridas pelo cliente no momento em que criar uma conta de armazenamento, deve utilizar uma identidade gerida pelo utilizador.
  • Quando configurar as chaves geridas pelo cliente numa conta de armazenamento existente, pode utilizar uma identidade gerida pelo utilizador ou uma identidade gerida atribuída pelo sistema.

Para saber mais sobre identidades geridas atribuídas pelo sistema contra identidades geridas atribuídas pelo utilizador, consulte identidades geridas para recursos Azure.

Pode alternar entre as teclas geridas pelo cliente e as teclas geridas pela Microsoft a qualquer momento. Para obter mais informações sobre as teclas geridas pela Microsoft, consulte Sobre a gestão da chave de encriptação.

Para aprender a configurar a encriptação Armazenamento Azure com chaves geridas pelo cliente num cofre chave, consulte a encriptação Configure com chaves geridas pelo cliente armazenadas em Azure Key Vault. Para configurar as chaves geridas pelo cliente num HSM gerido, consulte a encriptação Configure com teclas geridas pelo cliente armazenadas no Azure Key Vault Managed HSM.

Importante

As chaves geridas pelo cliente dependem de identidades geridas para os recursos da Azure, uma característica de Azure AD. As identidades geridas não suportam atualmente cenários de inquilinos cruzados. Quando configura as chaves geridas pelo cliente no portal do Azure, uma identidade gerida é automaticamente atribuída à sua conta de armazenamento sob as capas. Se posteriormente mover a conta de subscrição, grupo de recursos ou armazenamento de um Azure AD inquilino para outro, a identidade gerida associada à conta de armazenamento não é transferida para o novo inquilino, pelo que as chaves geridas pelo cliente podem deixar de funcionar. Para obter mais informações, consulte a Transferência de uma subscrição entre Azure AD diretórios em FAQs e questões conhecidas com identidades geridas para recursos Azure.

A encriptação de armazenamento Azure suporta chaves RSA e RSA-HSM dos tamanhos 2048, 3072 e 4096. Para mais informações sobre as chaves, consulte sobre as chaves.

A utilização de um cofre-chave ou de um HSM gerido tem custos associados. Para mais informações, consulte Key Vault preços.

Atualizar a versão chave

Ao configurar a encriptação com as teclas geridas pelo cliente, tem duas opções para atualizar a versão chave:

  • Atualizar automaticamente a versão chave: Para atualizar automaticamente uma chave gerida pelo cliente quando uma nova versão estiver disponível, omita a versão chave quando ativa a encriptação com chaves geridas pelo cliente para a conta de armazenamento. Se a versão chave for omitida, então o Azure Armazenamento verifica o cofre de chaves ou geriu diariamente o HSM para uma nova versão de uma chave gerida pelo cliente. Se estiver disponível uma nova versão da chave, o Armazenamento do Microsoft Azure utilizará automaticamente a versão mais recente da chave.

    A Azure Armazenamento verifica o cofre chave para uma nova versão chave apenas uma vez por dia. Quando rodar uma chave, certifique-se de que espera 24 horas antes de desativar a versão mais antiga.

  • Atualize manualmente a versão chave: Para utilizar uma versão específica de uma chave para encriptação Armazenamento Azure, especifique essa versão chave quando ativar a encriptação com as chaves geridas pelo cliente para a conta de armazenamento. Se especificar a versão chave, então o Azure Armazenamento utiliza essa versão para encriptação até atualizar manualmente a versão chave.

    Quando a versão chave for explicitamente especificada, deve atualizar manualmente a conta de armazenamento para utilizar a nova versão chave URI quando uma nova versão for criada. Para saber como atualizar a conta de armazenamento para utilizar uma nova versão da chave, consulte a encriptação Configure com teclas geridas pelo cliente armazenadas em Azure Key Vault ou configurar a encriptação com teclas geridas pelo cliente armazenadas no Azure Key Vault Managed HSM.

Quando atualiza a versão chave, a proteção da chave de encriptação raiz muda, mas os dados na sua conta Azure Armazenamento não são reencri encriptados. Não é necessária nenhuma outra ação por parte do utilizador.

Nota

Para rodar uma chave, crie uma nova versão da chave no cofre da chave ou gerencie o HSM, de acordo com as suas políticas de conformidade. Pode rodar a chave manualmente ou criar uma função para a rodar num horário.

Revogar o acesso às chaves geridas pelo cliente

Pode revogar o acesso da conta de armazenamento à chave gerida pelo cliente a qualquer momento. Após o acesso às chaves geridas pelo cliente ser revogado, ou depois de a chave ter sido desativada ou eliminada, os clientes não podem ligar para operações que leiam ou escrevam para uma bolha ou para os seus metadados. As tentativas de chamar qualquer uma das seguintes operações falharão com o código de erro 403 (Proibido) para todos os utilizadores:

Para voltar a ligar para estas operações, restaure o acesso à chave gerida pelo cliente.

Todas as operações de dados que não estejam listadas nesta secção podem prosseguir após a revogação das chaves geridas pelo cliente ou desativação ou desativação ou desativação.

Para revogar o acesso às chaves geridas pelo cliente, utilize o PowerShell ou o Azure CLI.

Chaves geridas pelo cliente para discos geridos pela Azure

As chaves geridas pelo cliente também estão disponíveis para gerir a encriptação dos discos geridos pela Azure. As chaves geridas pelo cliente comportam-se de forma diferente para discos geridos do que para o Azure Armazenamento recursos. Para obter mais informações, consulte a encriptação do lado do Servidor dos discos geridos pelo Azure para Windows ou encriptação lateral do Servidor de discos geridos pelo Azure para o Linux.

Passos seguintes