Configurar chaves gerenciadas pelo cliente para criptografia de Arquivos do Azure

✔️ Aplica-se a: compartilhamentos de arquivos SMB e NFS clássicos criados com o provedor de recursos Microsoft.Storage

✖️ Não se aplica a: Compartilhamentos de arquivos criados com o provedor de recursos Microsoft.FileShares (versão prévia)

Azure criptografa todos os dados em uma conta de armazenamento em repouso, incluindo dados Arquivos do Azure, usando criptografia AES-256. Por padrão, Microsoft gerencia as chaves de criptografia de uma conta de armazenamento. Para obter mais controle sobre chaves de criptografia, você pode usar chaves gerenciadas pelo usuário (CMK) em vez de chaves gerenciadas por Microsoft para proteger e controlar o acesso à chave de criptografia que criptografa seus dados. Este artigo explica como configurar chaves gerenciadas pelo cliente para cargas de trabalho Arquivos do Azure.

Quando você configura chaves gerenciadas pelo cliente para uma conta de armazenamento, Arquivos do Azure dados nessa conta de armazenamento são criptografados automaticamente usando a chave do cliente. Nenhuma aceitação por compartilhamento é necessária.

Essas instruções são para armazenar chaves gerenciadas pelo cliente em Azure Key Vault. Algumas etapas e comandos para Azure Key Vault Managed HSM (Módulo de Segurança de Hardware) podem ser ligeiramente diferentes.

Siga estas etapas para configurar chaves gerenciadas pelo cliente para uma conta de armazenamento.

Etapa 1: Criar ou configurar um cofre de chaves

Para habilitar as chaves gerenciadas pelo cliente, você precisa de uma conta de armazenamento Azure juntamente com uma Azure Key Vault com a proteção de limpeza habilitada. Você pode usar um cofre de chaves existente ou criar um novo. A conta de armazenamento e o cofre de chaves podem estar em diferentes regiões ou assinaturas dentro de um mesmo locatário do Microsoft Entra. Para cenários interlocatários, consulte Configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente entre locatários.

Para criar um novo cofre de chaves usando o portal Azure, siga estas etapas:

No portal Azure, pesquise Key vaults e selecione Create.
Preencha os campos necessários (assinatura, grupo de recursos, nome, região).
Em opções de recuperação, selecione Habilitar proteção contra limpeza.
Selecione Examinar + Criar e, em seguida, selecione Criar.

Se você quiser usar um cofre de chaves existente, siga estas etapas:

Acesse seu Key Vault no portal do Azure.
No menu de serviço, em Configurações, selecione Propriedades.
Na seção Proteção contra exclusão, selecione Habilitar proteção contra exclusão e, em seguida, selecione Salvar.
Verifique se a exclusão temporária está habilitada no cofre de chaves. Ele está habilitado por padrão para novos cofres de chaves.

Para criar um novo cofre de chaves com a proteção de limpeza habilitada, execute o cmdlet a seguir. Substitua <key-vault-name>, <resource-group> e <region> por valores próprios.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Para habilitar a proteção contra limpeza em um cofre de chaves existente, execute o cmdlet a seguir. Substitua <key-vault-name> e <resource-group> pelos seus próprios valores.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Para criar um novo cofre de chaves com a proteção de limpeza habilitada, execute o comando a seguir. Substitua <key-vault-name>, <resource-group> e <region> por valores próprios.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Para habilitar a proteção contra limpeza em um cofre de chaves existente, execute o comando a seguir. Substitua <key-vault-name> e <resource-group> pelos seus próprios valores.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Atribuir o cargo de Key Vault Crypto Officer

Para criar e gerenciar chaves em seu key vault, você precisa da função Key Vault Crypto Officer no key vault. Você pode atribuir essa função a si mesmo usando o portal Azure, o PowerShell ou o CLI do Azure. Se você já tiver essa função no Key Vault, poderá ignorar esta seção e prosseguir para a Etapa 2.

Você precisa da função RBAC Owner ou User Access Administrator no escopo do key vault para atribuir a função Key Vault Crypto Officer. Contate o administrador, se necessário.

Para atribuir a função Key Vault Crypto Officer a si mesmo usando o portal Azure, siga estas etapas:

Acesse seu cofre de chaves.
No menu de serviço, selecione Controle de acesso (IAM).
Em Conceder acesso a este recurso, selecione Adicionar atribuição de função.
Pesquise e selecione Key Vault Crypto Officer e selecione Next.
Em Atribuir acesso, selecione Usuário, grupo ou entidade de serviço.
Em Membros, escolha +Selecionar membros.
Pesquise e selecione sua própria conta e escolha Selecionar.
Selecione Examinar + atribuir e, em seguida, Examinar + atribuir novamente.

Para atribuir a função Key Vault Crypto Officer a si mesmo usando Azure PowerShell, execute o cmdlet a seguir. Substitua <key-vault-name> por um valor próprio.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para atribuir a função Key Vault Crypto Officer a si mesmo usando CLI do Azure, execute os comandos a seguir. Substitua <key-vault-name> por um valor próprio.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Etapa 2: Criar ou importar uma chave de criptografia

Você precisa de uma chave RSA ou RSA-HSM do tamanho 2048, 3072 ou 4096. Gere ou importe uma chave RSA no cofre de chaves. Antes de gerar uma chave, verifique se você tem a função Key Vault Crypto Officer no key vault.

Para gerar uma nova chave de criptografia RSA usando o portal Azure, siga estas etapas.

Acesse seu Key Vault no portal do Azure.
No menu de serviço, em Objetos, selecione Chaves.
Selecione Gerar/Importar. Em Opções, selecione Gerar.
Insira um nome para a chave. Os nomes de chave só podem conter caracteres alfanuméricos e traços.
Defina o tipo de chave como RSA e o tamanho da chave RSA como 2048 (ou 3072/4096).
Selecione Criar.

Para importar uma chave de criptografia RSA existente usando o portal Azure, siga estas etapas.

Acesse seu Key Vault no portal do Azure.
No menu de serviço, em Objetos, selecione Chaves.
Selecione Gerar/Importar. Em Opções, selecione Importar.
Selecione sua chave para carregar.
Insira um nome para a chave. Os nomes de chave só podem conter caracteres alfanuméricos e traços.
Defina Tipo de chave como RSA.
Selecione Criar.

Para criar uma chave RSA usando Azure PowerShell, execute o cmdlet a seguir. Substitua <key-vault-name> e <key-name> pelos seus próprios valores. Para -Size, você pode especificar 2048, 3072 ou 4096.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Para importar uma chave de criptografia RSA existente usando Azure PowerShell, execute o cmdlet a seguir. Substitua <key-vault-name>, <key-name> e <key-path> por valores próprios. Se o arquivo de chave não tiver uma senha, omita o -KeyFilePassword parâmetro.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Para criar uma chave RSA usando CLI do Azure, execute o comando a seguir. Substitua <key-vault-name> e <key-name> pelos seus próprios valores. Para --size, você pode especificar 2048, 3072 ou 4096.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Para importar uma chave de criptografia RSA existente usando CLI do Azure, execute o comando a seguir. Substitua <key-vault-name>, <key-name> e <key-path> por valores próprios. Se o arquivo de chave não tiver uma senha, omita o --password parâmetro.

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Etapa 3: Criar uma identidade gerenciada e atribuir permissões

A conta de armazenamento precisa de uma identidade gerenciada para se autenticar no cofre de chaves. Usando uma identidade gerenciada, a conta de armazenamento pode acessar com segurança a chave de criptografia em seu cofre de chaves sem armazenar credenciais.

Crie uma identidade gerenciada atribuída pelo usuário e conceda a essa identidade a função Key Vault Crypto Service Encryption User no key vault.

Criar uma identidade gerenciada atribuída ao usuário

Crie uma identidade gerenciada atribuída pelo usuário usando o portal Azure, Azure PowerShell ou CLI do Azure.

Para criar uma identidade gerenciada atribuída pelo usuário usando o portal Azure, siga estas etapas.

Pesquise identidades gerenciadas e selecione Criar.
Escolha uma assinatura, um grupo de recursos, uma região e um nome.
Selecione Examinar + Criar e, em seguida, selecione Criar.

Para criar uma identidade gerenciada atribuída pelo usuário usando Azure PowerShell, execute o cmdlet a seguir. Substitua <resource-group>, <identity-name> e <region> por valores próprios.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Para criar uma identidade gerenciada atribuída pelo usuário usando CLI do Azure, execute o comando a seguir. Substitua <resource-group>, <identity-name> e <region> por valores próprios.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Atribuir à identidade gerenciada a função Usuário de Criptografia do Key Vault

Atribua a função Key Vault Crypto Service Encryption User à identidade gerenciada que você criou usando o portal Azure, o PowerShell ou o CLI do Azure.

Para atribuir a função Key Vault Crypto Service Encryption User à identidade gerenciada usando o portal Azure, siga estas etapas:

Acesse seu Key Vault no portal do Azure.
No menu de serviço, selecione Controle de acesso (IAM).
Em Conceder acesso a este recurso, selecione Adicionar atribuição de função.
Pesquise e selecione Key Vault Crypto Service Encryption User e selecione Next.
Para Atribuir acesso a, selecione Identidade Gerenciada.
Em Membros, escolha +Selecionar membros.
A janela Selecionar identidades gerenciadas é aberta. Em Identidade gerenciada, selecione a Identidade gerenciada atribuída pelo usuário.
Selecione a identidade gerenciada que você criou e escolha Selecionar.
Selecione Examinar + atribuir e, em seguida, Examinar + atribuir novamente.

Para atribuir a função Key Vault Crypto Service Encryption User à identidade gerenciada atribuída pelo usuário usando Azure PowerShell, execute o cmdlet a seguir. Substitua <resource-group>, <identity-name> e <key-vault-name> por valores próprios.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Para atribuir a função Key Vault Crypto Service Encryption User à identidade gerenciada atribuída pelo usuário usando CLI do Azure, execute os comandos a seguir. Substitua <resource-group>, <identity-name> e <key-vault-name> por valores próprios.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Etapa 4: Configurar chaves gerenciadas pelo cliente na conta de armazenamento

Com o cofre de chaves, as chaves, e a identidade gerenciada configuradas, você pode ativar as chaves gerenciadas pelo cliente na conta de armazenamento.

Siga estas etapas para configurar a conta de armazenamento para usar sua chave para criptografia. O portal Azure sempre usa a atualização automática da versão da chave. Para usar o gerenciamento manual de versão de chave, use Azure PowerShell ou CLI do Azure e especifique uma versão de chave.

Importante

Para contas de armazenamento associadas a um perímetro de segurança de rede, o cofre de chaves deve estar idealmente no mesmo perímetro de segurança de rede. Se não estiver, configure o perfil de perímetro de segurança de rede do cofre de chaves para permitir que a conta de armazenamento se comunique com ele.

Configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente

Você pode configurar chaves gerenciadas pelo cliente em uma conta de armazenamento existente usando o portal Azure, Azure PowerShell ou CLI do Azure.

Para configurar chaves gerenciadas pelo cliente em uma conta de armazenamento existente usando o portal Azure, siga estas etapas. O portal usa a atualização automática da versão da chave por padrão. Você não pode especificar uma versão de chave.

Vá até sua conta de armazenamento.
No menu de serviço, em Segurança + rede, selecione Criptografia.
Para o tipo de criptografia, selecione Chaves Gerenciadas pelo Cliente. Se a conta de armazenamento já estiver configurada para CMK, selecione Alterar chave.
Para a chave de criptografia, selecione a opção Selecionar no cofre de chaves.
Selecione Selecionar um cofre de chaves e uma chave e escolha o cofre de chaves e a chave.
Para o tipo de identidade, escolha o usuário atribuído para usar sua identidade gerenciada atribuída pelo usuário criada anteriormente.
Pesquise e selecione a identidade gerenciada atribuída pelo usuário e selecione Adicionar.
Clique em Salvar.

Captura de tela mostrando a seleção de criptografia e a seleção de chave para configurar chaves gerenciadas pelo cliente.

Para configurar chaves gerenciadas pelo cliente em uma conta de armazenamento existente usando Azure PowerShell com atualização automática de versão de chave (recomendado), execute o cmdlet a seguir. Substitua <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>e <key-name> com seus próprios valores.

O cmdlet a seguir utiliza a identidade gerenciada atribuída ao usuário que você criou anteriormente. Se você quiser usar a identidade do sistema da conta de armazenamento em vez disso, defina IdentityType para SystemAssigned e omita a variável $identity, UserAssignedIdentityId e KeyVaultUserAssignedIdentityId.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Para usar a atualização manual da versão da chave em vez da atualização automática, adicione o -KeyVersion $key.Version parâmetro ao Set-AzStorageAccount cmdlet.

Para configurar chaves gerenciadas pelo cliente em uma conta de armazenamento existente usando CLI do Azure com atualização automática de versão de chave (recomendado), execute os comandos a seguir. Substitua <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>e <key-name> com seus próprios valores.

O seguinte comando utiliza a identidade gerenciada atribuída ao usuário que foi criada anteriormente. Se você quiser usar a identidade do sistema da conta de armazenamento, defina --identity-type para SystemAssigned e omita a variável IDENTITY_RESOURCE_ID, --user-identity-id, e --key-vault-user-identity-id.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Para usar a atualização manual da versão da chave em vez da atualização automática, adicione --encryption-key-version <key-version> ao az storage account update comando.

Configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento

Você pode configurar chaves gerenciadas pelo cliente ao criar uma nova conta de armazenamento usando o portal Azure, Azure PowerShell ou CLI do Azure.

Você não pode usar uma identidade atribuída pelo sistema durante a criação da conta de armazenamento porque a identidade não existe até que a conta de armazenamento seja criada. Você deve usar uma identidade gerenciada atribuída pelo usuário.

Para configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento usando o portal Azure, siga estas etapas. O portal usa a atualização automática da versão da chave por padrão. Você não pode especificar uma versão de chave.

Na guia Criptografia durante a criação da conta de armazenamento, selecione CMK (chaves gerenciadas pelo cliente) para o tipo criptografia.
Em Chave de criptografia, escolha Selecionar um cofre de chaves e uma chave e, em seguida, selecione o cofre de chaves e a chave.
Em Identidade atribuída pelo usuário, escolha Selecionar uma identidade. A janela Select user assigned managed identity é aberta.
Pesquise e selecione sua identidade gerenciada atribuída pelo usuário previamente criada. Novas contas de armazenamento não podem usar uma identidade gerenciada atribuída pelo sistema.
Selecione Adicionar.
Conclua as abas restantes e selecione Revisar + criar.

Para criar uma nova conta de armazenamento com chaves gerenciadas pelo cliente usando Azure PowerShell, execute o cmdlet a seguir. Substitua<resource-group>, <identity-name>, <storage-account-name>, , <key-vault-name><key-name>e <region> com seus próprios valores. Você pode especificar valores diferentes para -Kind e -SkuName se desejado.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Para usar a atualização manual da versão da chave em vez de automática, adicione o -KeyVersion $key.Version parâmetro ao New-AzStorageAccount cmdlet.

Para criar uma nova conta de armazenamento com chaves gerenciadas pelo cliente usando CLI do Azure, execute os comandos a seguir. Substitua<resource-group>, <identity-name>, <storage-account-name>, , <key-vault-name><key-name>e <region> com seus próprios valores. Você pode especificar valores diferentes para --kind e --sku se desejado.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Para usar a atualização manual da versão da chave em vez de automática, adicione --encryption-key-version <key-version> ao az storage account create comando.

Etapa 5: Verificar a configuração

Depois de habilitar chaves gerenciadas pelo cliente, confirme se a criptografia está configurada corretamente em sua conta de armazenamento. Você pode fazer isso usando o portal Azure, Azure PowerShell ou CLI do Azure.

Para verificar a configuração da conta de armazenamento usando o portal Azure, siga estas etapas:

Acesse sua conta de armazenamento no portal do Azure.
No menu de serviço, em Segurança + rede, selecione Criptografia.
Confirme se o tipo de criptografia mostra Chaves Gerenciadas pelo Cliente.
Verifique se as informações na seleção de chave estão corretas.

Para verificar a configuração da conta de armazenamento usando Azure PowerShell, execute o cmdlet a seguir. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Confirme se KeySource está Microsoft.Keyvault e que KeyVaultProperties mostra o URI do seu cofre de chaves e o nome da sua chave.

Para verificar a configuração usando CLI do Azure, execute o comando a seguir. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Verifique se keySource está Microsoft.Keyvault e a seção keyVaultProperties mostra o URI do cofre de chaves e o nome da chave.

Rotação de chaves

Girar regularmente sua chave de criptografia limita a exposição se uma chave for comprometida. Há duas maneiras de girar a criptografia para uma conta de armazenamento que usa chaves gerenciadas pelo cliente:

Girar a versão da chave – Crie uma nova versão da mesma chave no cofre de chaves. O nome da chave permanece o mesmo, mas a versão é alterada.
Alterar a chave – alterne a conta de armazenamento para usar uma chave totalmente diferente (com um nome diferente) no mesmo cofre de chaves ou em um cofre de chaves diferente.

Importante

Azure verifica o cofre de chaves para obter uma nova versão de chave apenas uma vez por dia. Depois de girar uma chave, aguarde 24 horas antes de desabilitar a versão da chave anterior.

Girar a versão da chave

Para práticas recomendadas de segurança, altere a versão da chave pelo menos uma vez a cada dois anos.

Rotação automática de versão da chave (recomendado)

Se você configurou chaves gerenciadas pelo cliente sem especificar uma versão de chave (o padrão ao usar o portal Azure), Azure verifica automaticamente se há novas versões de chave diariamente. Se você criar uma nova versão da chave no cofre de chaves, o Azure a reconhecerá em até 24 horas. Você também pode configurar a rotação de chaves automática em Azure Key Vault para gerar novas versões de chave em um agendamento.

Giro manual de versão da chave

Se você especificou uma versão de chave ao configurar chaves gerenciadas pelo cliente usando o PowerShell ou CLI do Azure, Azure usará essa versão específica e não verificará automaticamente se há novas versões. Você deve atualizar manualmente a configuração da conta de armazenamento para direcionar para a nova versão da chave.

Não há suporte para rotação manual de versão de chave no portal Azure. Para girar manualmente a versão da chave, use Azure PowerShell ou CLI do Azure.

Para girar manualmente a versão da chave usando Azure PowerShell, execute o cmdlet a seguir. Substitua <resource-group>, <storage-account-name>, <key-vault-name> e <key-name> pelos seus próprios valores.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Para girar manualmente a versão da chave usando CLI do Azure, execute os comandos a seguir. Substitua <storage-account-name>, <resource-group>, <key-vault-name> e <key-name> pelos seus próprios valores.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Alterar a chave

Para alternar a conta de armazenamento para usar uma chave totalmente diferente, crie ou importe uma nova chave no cofre de chaves (consulte Criar ou importar uma chave de criptografia) e atualize a configuração de criptografia da conta de armazenamento para usar a nova chave.

Para alterar a chave usando o portal Azure, siga estas etapas:

Vá até sua conta de armazenamento.
No menu de serviço, em Segurança + rede, selecione Criptografia.
Selecione Alterar chave.
Selecione Um cofre de chaves e uma chave e escolha o cofre de chaves e a nova chave.
Clique em Salvar.

Para alterar a chave usando Azure PowerShell, execute o cmdlet a seguir. Substitua <resource-group>, <storage-account-name>, <key-vault-name> e <new-key-name> pelos seus próprios valores. Para usar a atualização automática da versão da chave (recomendado), omita o -KeyVersion parâmetro.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Para alterar a chave usando CLI do Azure, execute os comandos a seguir. Substitua <storage-account-name>, <resource-group>, <key-vault-name> e <new-key-name> pelos seus próprios valores. Para usar a atualização automática da versão da chave (recomendado), omita o --encryption-key-version parâmetro.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

Você pode bloquear imediatamente o acesso aos dados de compartilhamento de arquivos criptografados desabilitando ou excluindo a chave gerenciada pelo cliente. Enquanto a chave está desabilitada, todas as operações do plano de dados Arquivos do Azure falham com HTTP 403 (Proibido), incluindo:

Listar diretórios e arquivos
Criar/obter/definir o diretório ou arquivo
Obter/definir metadados de arquivo
Colocar intervalo, copiar arquivo, renomear arquivo

Para revogar o acesso aos dados de compartilhamento de arquivos, desabilite a chave no cofre de chaves usando o portal Azure, Azure PowerShell ou CLI do Azure. Habilite novamente a chave para restaurar o acesso.

Para desabilitar a chave usando o portal Azure, siga estas etapas:

Acesse seu Key Vault no portal do Azure.
No menu de serviço, em Objetos, selecione Chaves.
Clique com o botão direito do mouse na chave e selecione Desabilitar.

Para desabilitar a chave usando Azure PowerShell, execute o cmdlet a seguir. Substitua <key-vault-name> e <key-name> pelos seus próprios valores.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Para desabilitar a chave usando CLI do Azure, execute o comando a seguir. Substitua <key-vault-name> e <key-name> pelos seus próprios valores.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Voltar para chaves gerenciadas pela Microsoft

Se você não precisar mais de chaves gerenciadas pelo cliente, poderá mudar a conta de armazenamento de volta para usar chaves gerenciadas Microsoft para criptografia usando o portal Azure, Azure PowerShell ou CLI do Azure.

Para voltar para chaves gerenciadas por Microsoft usando o portal Azure, siga estas etapas:

Acesse sua conta de armazenamento no portal do Azure.
No menu de serviço, em Segurança + rede, selecione Criptografia.
Altere Encryption type para Microsoft-Managed Keys.
Clique em Salvar.

Para voltar para chaves gerenciadas por Microsoft usando Azure PowerShell, execute o cmdlet a seguir. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Para alternar de volta para chaves gerenciadas por Microsoft usando CLI do Azure, execute o comando a seguir. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Para obter mais informações sobre criptografia e gerenciamento de chaves, consulte os artigos a seguir.

Comentários

Esta página foi útil?

Last updated on 2026-05-08