Encripte o Azure Data Factory com chaves geridas pelo cliente

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

O Azure Data Factory encripta dados em repouso, incluindo definições de entidades e quaisquer dados armazenados em cache enquanto as execuções estão em curso. Por defeito, os dados são encriptados com uma chave gerida aleatoriamente pela Microsoft que é atribuída de forma única à sua fábrica de dados. Para garantias de segurança adicionais, pode agora ativar o Bring Your Own Key (BYOK) com a funcionalidade de chaves geridas pelo cliente no Azure Data Factory. Quando se especifica uma chave gerida pelo cliente (CMK), o Data Factory utiliza ambas a chave do sistema da fábrica e a CMK para encriptar os dados do cliente. Se algum dos dois estiver em falta, tal resultaria numa Recusa de Acesso aos dados e à fábrica.

O Azure Key Vault é obrigado a armazenar chaves geridas pelo cliente. Podes criar as tuas próprias chaves e guardá-las num cofre de chaves, ou podes usar as APIs do Azure Key Vault para gerar chaves. O Key Vault e o Data Factory devem estar no mesmo tenant Microsoft Entra e na mesma região, mas podem estar em subscrições diferentes. Para mais informações sobre Azure Key Vault, veja O que é Azure Key Vault?

Sobre chaves gerenciadas pelo cliente

O diagrama seguinte mostra como o Data Factory utiliza o Microsoft Entra ID e o Azure Key Vault para fazer pedidos usando a chave gerida pelo cliente:

A lista a seguir explica as etapas numeradas no diagrama:

1. Um administrador do Azure Key Vault concede permissões às chaves de encriptação da identidade gerida associada à Data Factory
2. Um administrador do Data Factory habilita o recurso-chave gerenciado pelo cliente na fábrica
3. O Data Factory utiliza a identidade gerida associada à fábrica para autenticar o acesso ao Azure Key Vault através do Microsoft Entra ID
4. O Data Factory envolve a chave de encriptação de fábrica com a chave do cliente no Azure Key Vault
5. Para operações de leitura/escrita, o Data Factory envia pedidos para o Azure Key Vault para desembrulhar a chave de encriptação da conta e realizar operações de encriptação e desencriptação

Há duas maneiras de adicionar a criptografia de Chave Gerenciada pelo Cliente às fábricas de dados. Um é durante a criação da fábrica no portal do Azure, e o outro é após a criação da fábrica, na UI do Data Factory.

Pré-requisitos - configurar o Azure Key Vault e gerar chaves

Ativar a eliminação suave e não purgar no Azure Key Vault

Usar chaves geridas pelo cliente com Data Factory requer que sejam definidas duas propriedades no Key Vault, Soft Delete e Não Purgar. Estas propriedades podem ser ativadas usando PowerShell ou Azure CLI num cofre de chaves novo ou existente. Para saber como ativar estas propriedades num cofre de chaves existente, consulte gestão de recuperação do Azure Key Vault com eliminação reversível e proteção contra expurgo

Se estiver a criar um novo Azure Key Vault através Azure portal, Soft Delete e Não Purgar podem ser ativados da seguinte forma:

Conceder acesso da Data Factory ao Azure Key Vault

Certifica-te de que Azure Key Vault e Azure Data Factory estão no mesmo inquilino Microsoft Entra e na mesma região. Você pode usar políticas de acesso ou permissões de controle de acesso:

1. Política de acesso - No seu Cofre de Chaves selecione Políticas de Acesso -Adicionar Política de Acesso - procure a sua identidade gerida Azure Data Factory e conceda Get, Unwrap Key e Wrap Key no menu suspenso de permissões de segredos.

2. Controlo de acesso - A sua identidade gerida precisará de dois papéis no controlo de acesso: Key Vault Utilizador de Encriptação de Serviço Cripto e Key Vault Utilizador de Segredos. No cofre de chaves, selecione Controle de acesso (IAM) ->+ Adicionar ->Adicionar atribuição de função. Selecione uma das funções e, em seguida, selecione Avançar. Em Members selecione Managed identity depois Select members e procure a sua identidade gerida Azure Data Factory. Em seguida, selecione Rever + atribuir. Repita para o segundo papel.

• Se quiser adicionar encriptação de chave gerida pelo cliente após a criação da fábrica no Data Factory UI, certifique-se de que a identidade de serviço gerido (MSI) da data factory tem as permissões corretas para Key Vault
• Se quiser adicionar encriptação de chaves geridas pelo cliente durante a criação de fábrica no portal Azure, certifique-se de que a identidade gerida atribuída pelo utilizador (UA-MI) tem as permissões corretas para Key Vault

Gerar ou carregar chave gerida pelo cliente para o Azure Key Vault

Você pode criar suas próprias chaves e armazená-las em um cofre de chaves. Ou pode usar as APIs do Azure Key Vault para gerar chaves. Apenas as chaves RSA são suportadas com encriptação Data Factory. O RSA-HSM também é suportado. Para obter mais informações, consulte Sobre chaves, segredos e certificados.

Ativar as chaves geridas pelo cliente

Operações após a criação da fábrica na interface do usuário do Data Factory

Esta seção percorre o processo para adicionar criptografia de chave gerenciada pelo cliente na interface do usuário do Data Factory, após a criação da fábrica.

1. Certifique-se de que a Identidade de Serviço Gerido (MSI) dessa fábrica de dados tem permissões Get, Unwrap Key e Wrap Key para Key Vault.

2. Verifique se o Data Factory está vazio. A fábrica de dados não pode conter recursos, como serviços vinculados, pipelines e fluxos de dados. Por enquanto, a implantação da chave gerenciada pelo cliente em uma fábrica não vazia resultará em um erro.

3. Para localizar o URI da chave no portal do Azure, navegue até ao Azure Key Vault e selecione a definição Chaves. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações

4. Copie o valor do campo Identificador de Chave, que fornece o URI

5. Abre o portal Azure Data Factory e, usando a barra de navegação à esquerda, salta para o Portal de Gestão da Data Factory

6. Selecione o ícone de chave gerenciada pelo cliente

7. Insira o URI da chave gerenciada pelo cliente que você copiou antes

8. Selecione Salvar e a criptografia de chave gerenciada pelo cliente está habilitada para o Data Factory

Durante a criação da fábrica no portal Azure

Esta secção percorre os passos para adicionar encriptação de chaves gerida pelo cliente no Azure portal durante implementação em fábrica.

Para encriptar a fábrica, a Data Factory precisa primeiro de recuperar a chave gerida pelo cliente do Key Vault. Como a implementação de fábrica ainda está em curso, o Managed Service Identity (MSI) ainda não está disponível para autenticação com o Key Vault. Como tal, para usar esta abordagem, o cliente precisa atribuir uma identidade gerida atribuída pelo utilizador (UA-MI) à fábrica de dados. Assumiremos os papéis definidos no UA-MI e autenticaremos com Key Vault.

Para saber mais sobre a identidade gerenciada atribuída pelo usuário, consulte Tipos de identidade gerenciada e Atribuição de função para identidade gerenciada atribuída ao usuário.

1. Certifique-se de que a Identidade Gerida atribuída pelo utilizador (UA-MI) tem permissões Get, Unwrap Key e Wrap Key para Key Vault

2. No separador Avançado, assinale a caixa para Ativar encriptação usando uma chave gerida pelo cliente

3. Forneça o URL da chave gerida pelo cliente armazenada no Key Vault

   Gorjeta

   Se não passar a versão da chave no URL após o '/' final (por exemplo: https://mykeyvault.vault.azure.net/keys/cmk/), a versão será sempre definida como a mais recente se a chave for atualizada no futuro.

   Atualmente, isto só é suportado através do portal Azure.

4. Selecione uma identidade gerida atribuída a utilizador apropriada para autenticar-se com o Azure Key Vault.

5. Continue com a implantação de fábrica.

Atualizar versão da chave

Ao criar uma nova versão de uma chave, atualize o data factory para usar a nova versão:

1. Localize o URI da nova versão da chave através do Azure Key Vault Portal:

   1. Navegue até ao Azure Key Vault e selecione a configuração de Chaves.
   2. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões.
   3. Selecione uma versão chave para visualizar as configurações.

2. Copie o valor do campo Identificador de Chave, que fornece o URI.

3. Inicie o portal Azure Data Factory e, usando a barra de navegação à esquerda, selecione o Portal de Gestão da Data Factory.

4. Selecione a configuração Chave gerenciada pelo cliente .

5. Insira o URI da chave gerenciada pelo cliente que você copiou antes.

6. Selecione Salvar e o Data Factory agora será criptografado com a nova versão de chave.

Use uma chave diferente

Para alterar a chave usada na encriptação do Data Factory, tem de atualizar manualmente as definições no Azure Data Factory:

1. Localize o URI da nova versão da chave através do Azure Key Vault Portal:

   1. Navegue até ao Azure Key Vault e selecione a configuração de Chaves.
   2. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões.
   3. Selecione uma versão chave para visualizar as configurações.

2. Copie o valor do campo Identificador de Chave, que fornece o URI.

3. Inicie o portal Azure Data Factory e, usando a barra de navegação à esquerda, selecione o Portal de Gestão da Data Factory.

4. Selecione a configuração Chave gerenciada pelo cliente .

5. Insira o URI para selecionar que você copiou antes.

6. Selecione Salvar e o Data Factory agora será criptografado com a nova versão de chave.

Desativar chaves gerenciadas pelo cliente

Por design, uma vez que o recurso de seleção está ativado, você não pode remover a etapa de segurança extra. Sempre esperamos que uma chave fornecida pelo cliente criptografe a fábrica e os dados.

Chave gerida pelo cliente e integração contínua e entrega contínua

Por defeito, a configuração do CMK não está incluída no modelo de fábrica do Azure Resource Manager (ARM). Para incluir as configurações de criptografia de chave gerenciada pelo cliente no modelo ARM para integração contínua (CI/CD):

1. Verifique se a fábrica está no modo Git
2. Navegue até o portal de gerenciamento - seção de chaves gerenciadas pelo cliente
3. Marque a opção Incluir no modelo ARM

As seguintes configurações serão adicionadas no modelo ARM. Estas propriedades podem ser configuradas em pipelines de Integração e Entrega Contínua através da edição da configuração dos parâmetros Azure Resource Manager

Conteúdos relacionados

Leia os tutoriais para saber como utilizar o Data Factory em mais cenários.