Criptografar Azure Data Factory com chaves gerenciadas pelo cliente

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

Azure Data Factory criptografa dados em repouso, incluindo definições de entidade e quaisquer dados armazenados em cache enquanto as execuções estão em andamento. Por padrão, os dados são criptografados com uma chave gerenciada por Microsoft gerada aleatoriamente atribuída exclusivamente ao data factory. Para garantias de segurança extras, agora você pode habilitar o BYOK (Bring Your Own Key) com o recurso de chaves gerenciadas pelo cliente em Azure Data Factory. Quando você especifica uma CMK (chave gerenciada pelo cliente), o Data Factory usa a chave do sistema de fábrica e o CMK para criptografar dados do cliente. A ausência de qualquer um resultaria na recusa de acesso aos dados e à fábrica.

Azure Key Vault é necessário para armazenar chaves gerenciadas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou usar as APIs Azure Key Vault para gerar chaves. O cofre de chaves e o Data Factory devem estar no mesmo locatário do Microsoft Entra e na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre Azure Key Vault, consulte O que é Azure Key Vault?

Sobre as chaves gerenciadas pelo cliente

O diagrama a seguir mostra como o Data Factory usa Microsoft Entra ID e Azure Key Vault para fazer solicitações usando a chave gerenciada pelo cliente:

A seguinte lista explica as etapas enumeradas no diagrama:

1. Um administrador do Azure Key Vault concede permissões para chaves de criptografia para a identidade gerenciada associada ao Data Factory
2. O administrador do Data Factory habilita o recurso de chave gerenciada pelo cliente na fábrica.
3. O Data Factory usa a identidade gerenciada associada à fábrica para autenticar o acesso ao Azure Key Vault por meio de Microsoft Entra ID
4. O Data Factory encapsula a chave de criptografia de fábrica com a chave do cliente no Azure Key Vault
5. Para operações de leitura/gravação, o Data Factory envia solicitações ao Azure Key Vault para desencapsular a chave de criptografia da conta a fim de executar operações de criptografia e descriptografia

Há duas maneiras de adicionar criptografia de chave gerenciada pelo cliente às fábricas de dados. Uma é durante o processo de criação da fábrica no portal Azure, e a outra é após a criação da fábrica, na interface do usuário do Data Factory.

Pré-requisitos – configurar Azure Key Vault e gerar chaves

Habilitar as propriedades de Exclusão Temporária e Não Limpar no Azure Key Vault

O uso de chaves gerenciadas pelo cliente com o Data Factory exige que duas propriedades sejam configuradas no Key Vault, Soft Delete e Não Excluir. Essas propriedades podem ser habilitadas usando o PowerShell ou Azure CLI em um cofre de chaves novo ou existente. Para saber como habilitar essas propriedades em um cofre de chaves existente, consulte gerenciamento de recuperação do Azure Key Vault com exclusão reversível e proteção contra purga

Se você estiver criando um novo Azure Key Vault por meio do portal Azure, Soft Delete e Não Apagar poderão ser habilitados da seguinte maneira:

Conceder acesso do Data Factory ao Azure Key Vault

Verifique se Azure Key Vault e Azure Data Factory estão no mesmo locatário Microsoft Entra e na mesma região. Você pode usar políticas de acesso ou permissões de controle de acesso:

1. Política de acesso - No cofre de chaves, selecione Políticas de acesso ->Adicionar política de acesso -> pesquise sua identidade gerenciada do Azure Data Factory e conceda permissões Get, Unwrap Key e Wrap Key na lista suspensa de permissões do Segredo.

2. Controle de acesso Access - Sua identidade gerenciada precisará de duas funções no controle de acesso: Usuário de Criptografia do Serviço do Key Vault e Usuário de Segredos do Key Vault. No cofre de chaves, selecione Controle de acesso (IAM) ->+ Adicionar ->Adicionar atribuição de função. Selecione uma das funções e selecione Avançar. Em Members, selecione Identidade gerenciada, depois Selecione membros e pesquise sua identidade gerenciada do Azure Data Factory. Em seguida, selecione Examinar + atribuir. Repita para a segunda função.

• Se você quiser adicionar criptografia de chave gerenciada pelo cliente após a criação na UI do Data Factory, verifique se a Identidade de Serviço Gerenciado (MSI) do Data Factory tem as permissões corretas para o Key Vault.
• Se você quiser adicionar a criptografia de chave gerenciada pelo cliente durante a criação da fábrica no portal do Azure, verifique se a UA-MI (identidade gerenciada atribuída pelo usuário) tem as permissões corretas para o Key Vault

Gerar ou carregar chave gerenciada pelo cliente para Azure Key Vault

Você pode criar suas próprias chaves e armazená-las em um cofre de chaves. Ou você pode usar as APIs Azure Key Vault para gerar chaves. Só há suporte para chaves RSA na criptografia do Data Factory. Também há suporte para RSA-HSM. Para obter mais informações, consulte Sobre chaves, segredos e certificados.

Habilitar chaves gerenciadas pelo cliente

Criação depois da fábrica na interface do usuário do Data Factory

Esta seção descreve o processo para adicionar criptografia de chave gerida pelo cliente na interface do usuário do Data Factory, depois que o Data Factory é criado.

1. Certifique-se de que a Identidade de Serviço Gerenciada (MSI) do Data Factory tenha as permissões Get, Unwrap Key e Wrap Key para o Key Vault.

2. Verifique se o Data Factory está vazio. A fábrica de dados não pode conter nenhum recurso, como serviços vinculados, tubulações ou fluxos de dados. Por enquanto, implantar uma chave gerenciada pelo cliente em uma fábrica não vazia resultará em um erro.

3. Para localizar o URI da chave no portal Azure, navegue até Azure Key Vault e selecione a configuração Chaves. Selecione a chave desejada, depois clique sobre ela para exibir as versões dela. Selecione uma versão da chave para exibir as configurações

4. Copie o valor do campo Identificador de Chave, que fornece o URI

5. Inicie Azure Data Factory portal e, usando a barra de navegação à esquerda, vá para o Portal de Gerenciamento do Data Factory

6. Selecione o ícone de chave gerenciada do cliente

7. Insira o URI da chave gerenciada pelo cliente que você copiou anteriormente

8. Selecione Salvar e a criptografia de chave gerenciada pelo cliente está habilitada para o Data Factory

Durante a criação da fábrica no portal Azure

Esta seção apresenta as etapas para adicionar criptografia de chave gerenciada pelo cliente no portal Azure, durante implantação de fábrica.

Para criptografar a fábrica, o Data Factory precisa primeiro recuperar a chave gerenciada pelo cliente de Key Vault. Como a implantação de fábrica ainda está em andamento, a MSI (Identidade de Serviço Gerenciada) ainda não está disponível para autenticação com Key Vault. Dessa forma, para usar essa abordagem, o cliente precisa atribuir uma UA-MI (identidade gerenciada atribuída pelo usuário) ao data factory. Vamos assumir as funções definidas no UA-MI e autenticar com Key Vault.

Para saber mais sobre a identidade gerenciada atribuída ao usuário, confira os Tipos de identidade gerenciada e as Atribuições de função para identidade gerenciada atribuída ao usuário.

1. Verifique se a Identidade Gerenciada atribuída pelo usuário (UA-MI) tem permissões Get, Unwrap Key e Wrap Key para Key Vault

2. Na guia Avançada, marque a caixa para Ativar criptografia usando uma chave gerenciada pelo cliente

3. Forneça a URL para a chave gerenciada pelo cliente armazenada no Key Vault

   Dica

   Se você não passar a versão da chave na URL após o "/" final (por exemplo: https://mykeyvault.vault.azure.net/keys/cmk/), a versão sempre será padrão para a mais recente se a chave for atualizada no futuro.

   Atualmente, isso só tem suporte usando o portal Azure.

4. Selecione uma identidade gerenciada apropriada atribuída pelo usuário para autenticar no Azure Key Vault.

5. Continue com a implantação de fábrica.

Atualizar a versão da chave

Ao criar uma nova versão de uma chave, atualize o data factory para usar a nova versão:

1. Localize o URI para a nova versão da chave por meio do portal do Azure Key Vault:

   1. Navegue até Azure Key Vault e selecione a opção Chaves.
   2. Selecione a chave desejada, depois clique sobre ela para exibir as versões dela.
   3. Selecione uma versão de chave para exibir as configurações.

2. Copie o valor do campo Identificador de Chave, que fornece o URI.

3. Inicie Azure Data Factory portal e, usando a barra de navegação à esquerda, selecione o Portal de Gerenciamento do Data Factory.

4. Selecione a configuração de chave gerenciada pelo cliente .

5. Insira o URI da chave gerenciada pelo cliente que você copiou antes.

6. Selecione Salvar e o Data Factory agora criptografará com a nova versão da chave.

Usar uma chave diferente

Para alterar a chave usada para criptografia do Data Factory, você precisa atualizar manualmente as configurações no Azure Data Factory:

1. Localize o URI para a nova versão da chave por meio do portal do Azure Key Vault:

   1. Navegue até Azure Key Vault e selecione a opção Chaves.
   2. Selecione a chave desejada, depois clique sobre ela para exibir as versões dela.
   3. Selecione uma versão de chave para exibir as configurações.

2. Copie o valor do campo Identificador de Chave, que fornece o URI.

3. Inicie Azure Data Factory portal e, usando a barra de navegação à esquerda, selecione o Portal de Gerenciamento do Data Factory.

4. Selecione a configuração de chave gerenciada pelo cliente .

5. Insira o URI para selecionar que você copiou antes.

6. Selecione Salvar e o Data Factory agora criptografará com a nova versão da chave.

Desabilitar as chaves gerenciadas pelo cliente

Por design, depois que o recurso de seleção estiver habilitado, você não poderá remover a etapa de segurança extra. Sempre esperamos que o cliente forneça uma chave para criptografar a fábrica e os dados.

Chave de criptografia gerenciada pelo cliente e integração e implantação contínuas

Por padrão, a configuração do CMK não está incluída no modelo ARM (Azure Resource Manager) de fábrica. Para incluir as configurações de criptografia de chave gerenciada pelo cliente no modelo do ARM para CI/CD (integração contínua):

1. Verifique se a fábrica está no modo Git
2. Navegue até o portal de gerenciamento, seção da chave gerenciada pelo cliente
3. Marque a opção Incluir no modelo do ARM

As configurações a seguir serão adicionadas ao modelo do ARM. Essas propriedades podem ser parametrizadas em pipelines de Integração e Entrega Contínua ao editar a configuração de parâmetros do Azure Resource Manager

Conteúdo relacionado

Percorra os tutoriais para saber mais sobre o uso do Data Factory em mais cenários.