Configure chaves geridas pelo cliente para encriptação do Ficheiros do Azure

✔️ Aplica-se a: Partilhas de ficheiros Classic SMB e NFS criadas com o fornecedor de recursos Microsoft.Storage

✖️ Não se aplica a: Partilhas de ficheiros criadas com o fornecedor de recursos Microsoft.FileShares (pré-visualização)

O Azure encripta todos os dados numa conta de armazenamento em repouso, incluindo os dados do Ficheiros do Azure, usando encriptação AES-256. Por defeito, a Microsoft gere as chaves de encriptação de uma conta de armazenamento. Para maior controlo sobre as chaves de encriptação, pode usar chaves geridas pelo cliente (CMK) em vez de chaves geridas por Microsoft para proteger e controlar o acesso à chave de encriptação que encripta os seus dados. Este artigo explica como configurar chaves geridas pelo cliente para cargas de trabalho do Ficheiros do Azure.

Quando configura chaves geridas pelo cliente para uma conta de armazenamento, os dados do Ficheiros do Azure nessa conta de armazenamento são automaticamente encriptados usando a chave do cliente. Não é necessário adesão por cada ação.

Estas instruções destinam-se a armazenar chaves geridas pelo cliente em Azure Key Vault. Alguns passos e comandos para Azure Key Vault HSM (Módulo de Segurança de Hardware) podem ser ligeiramente diferentes.

Siga estes passos para configurar chaves geridas pelo cliente para uma conta de armazenamento.

Passo 1: Criar ou configurar um cofre de chaves

Para ativar chaves geridas pelo cliente, precisa de uma conta de armazenamento Azure juntamente com um Azure Key Vault com proteção contra purgas ativada. Você pode usar um cofre de chaves existente ou criar um novo. A conta de armazenamento e o cofre de chaves podem estar em regiões diferentes ou em uma subscrição diferente dentro do mesmo locatário Microsoft Entra. Para cenários entre locatários, veja Configurar chaves geridas pelo cliente para uma conta de armazenamento existente.

Para criar um novo cofre de chaves usando o portal Azure, siga estes passos:

No Portal do Azure, procure por Cofres de Chaves e selecione Criar.
Preencha os campos necessários (subscrição, grupo de recursos, nome, região).
Nas opções de recuperação, selecione Ativar proteção contra purga.
Selecione Rever + criar e, em seguida, selecione Criar.

Se quiser usar um cofre de chaves existente, siga estes passos:

Vá ao seu cofre de chaves no portal do Azure.
No menu de serviço, em Definições, selecione Propriedades.
Na secção de proteção contra a purga , selecione Ativar proteção contra purga e depois selecione Guardar.
Certifica-te de que a eliminação suave está ativada no teu cofre de chaves. Está ativado por padrão para novos cofres de chaves.

Para criar um novo cofre de chaves com proteção contra purga ativada, execute o seguinte cmdlet. Substitua <key-vault-name>, <resource-group> e <region> pelos seus próprios valores.

New-AzKeyVault `
    -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <region> `
    -EnablePurgeProtection

Para permitir a proteção contra purgas num cofre de chaves existente, execute o seguinte cmdlet. Substitua <key-vault-name> e <resource-group> pelos seus próprios valores.

Update-AzKeyVault `
    -VaultName <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -EnablePurgeProtection

Para criar um novo cofre de chaves com proteção contra purga ativada, execute o seguinte comando. Substitua <key-vault-name>, <resource-group> e <region> pelos seus próprios valores.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection true

Para ativar a protecção contra purgas num cofre de chaves existente, execute o seguinte comando. Substitua <key-vault-name> e <resource-group> pelos seus próprios valores.

az keyvault update \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --enable-purge-protection true

Atribuir o cargo de Oficial de Criptografia da Key Vault

Para criar e gerir as chaves no seu cofre de chaves, precisa da função Key Vault Crypto Officer no cofre de chaves. Pode atribuir este papel a si próprio usando o portal Azure, PowerShell ou CLI do Azure. Se já tem esta função no Key Vault, pode saltar esta secção e avançar para o Passo 2.

É necessário ter o papel de Proprietário ou Administrador de Acesso do Utilizador no âmbito do cofre de chaves para atribuir o papel de Oficial de Cripto do Cofre de Chaves. Contacta o teu administrador se necessário.

Para atribuir a função Key Vault Oficial de Cripto a si próprio usando o portal Azure, siga estes passos:

Aceda ao cofre de chaves.
No menu de serviço, selecione Controlo de Acesso (IAM).
Em Conceder acesso a este recurso, selecione Adicionar atribuição de função.
Pesquise e selecione Responsável de Criptografia do Cofre de Chaves, e depois selecione Seguinte.
Em Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço.
Em Membros, escolha +Selecionar membros.
Procura e seleciona a tua própria conta, depois escolhe Selecionar.
Selecione Rever + atribuir, e depois Rever + atribuir novamente.

Para atribuir a função Key Vault Oficial de Cripto a si próprio usando Azure PowerShell, execute o seguinte cmdlet. Substitua <key-vault-name> pelo seu próprio valor.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$currentUser = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment `
    -ObjectId $currentUser `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

Para atribuir a função Key Vault Oficial de Cripto a si próprio usando CLI do Azure, execute os seguintes comandos. Substitua <key-vault-name> pelo seu próprio valor.

KV_RESOURCE_ID=$(az keyvault show --name <key-vault-name> --query id -o tsv)
CURRENT_USER=$(az ad signed-in-user show --query id -o tsv)

az role assignment create \
    --assignee-object-id $CURRENT_USER \
    --assignee-principal-type User \
    --role "Key Vault Crypto Officer" \
    --scope $KV_RESOURCE_ID

Passo 2: Criar ou importar uma chave de encriptação

Precisa de uma chave RSA ou RSA-HSM do tamanho 2048, 3072 ou 4096. Gera ou importa uma chave RSA no teu cofre de chaves. Antes de gerares uma chave, certifica-te de que tens a função Oficial de Criptografia do Cofre de Chaves no cofre de chaves.

Para gerar uma nova chave de encriptação RSA utilizando o portal Azure, siga estes passos.

Vá ao seu cofre de chaves no portal do Azure.
No menu de serviço, em Objetos, selecione Chaves.
Selecione Gerar/Importar. Em Opções, selecione Gerar.
Introduza um nome para a chave. Os nomes-chave só podem conter caracteres alfanuméricos e traços.
Defina o tipo de chave para RSA e o tamanho da chave RSApara 2048 (ou 3072/4096).
Selecione Criar.

Para importar uma chave de encriptação RSA existente usando o portal Azure, siga estes passos.

Vá ao seu cofre de chaves no portal do Azure.
No menu de serviço, em Objetos, selecione Chaves.
Selecione Gerar/Importar. Em Opções, selecione Importar.
Selecione a sua chave para carregar.
Introduza um nome para a chave. Os nomes-chave só podem conter caracteres alfanuméricos e traços.
Defina Tipo de chave como RSA.
Selecione Criar.

Para criar uma chave RSA usando Azure PowerShell, execute o seguinte cmdlet. Substitua <key-vault-name> e <key-name> pelos seus próprios valores. Para -Size, pode especificar 2048, 3072 ou 4096.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination Software `
    -KeyType RSA `
    -Size 2048

Para importar uma chave de encriptação RSA existente usando Azure PowerShell, execute o seguinte cmdlet. Substitua <key-vault-name>, <key-name> e <key-path> pelos seus próprios valores. Se o ficheiro da chave não tiver palavra-passe, omita o -KeyFilePassword parâmetro.

Add-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -KeyFilePath <key-path> `
    -KeyFilePassword $password

Para criar uma chave RSA usando CLI do Azure, execute o seguinte comando. Substitua <key-vault-name> e <key-name> pelos seus próprios valores. Para --size, pode especificar 2048, 3072 ou 4096.

az keyvault key create \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --kty RSA \
    --size 2048

Para importar uma chave de encriptação RSA existente usando o CLI do Azure, execute o seguinte comando. Substitua <key-vault-name>, <key-name> e <key-path> pelos seus próprios valores. Se o ficheiro da chave não tiver palavra-passe, omita o --password parâmetro.

az keyvault key import \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --pem-file <key-path> \
    --password <key-password>

Passo 3: Criar uma identidade gerida e atribuir permissões

A conta de armazenamento precisa de uma identidade gerida para se autenticar no cofre de chaves. Ao usar uma identidade gerida, a conta de armazenamento pode aceder de forma segura à chave de encriptação no seu cofre de chaves sem armazenar credenciais.

Crie uma identidade gerida atribuída ao utilizador e conceda a essa identidade a função Key Vault Crypto Service Encryption User no Key Vault.

Criar uma identidade gerenciada atribuída pelo usuário

Crie uma identidade gerida atribuída pelo utilizador usando o portal Azure, Azure PowerShell ou CLI do Azure.

Para criar uma identidade gerida atribuída pelo utilizador através do portal Azure, siga estes passos.

Procure Identidades Geridas e selecione Criar.
Escolha uma subscrição, grupo de recursos, região e nome.
Selecione Rever + criar e, em seguida, selecione Criar.

Para criar uma identidade gerida atribuída pelo utilizador usando Azure PowerShell, execute o seguinte cmdlet. Substitua <resource-group>, <identity-name> e <region> pelos seus próprios valores.

New-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name> `
    -Location <region>

Para criar uma identidade gerida atribuída pelo utilizador usando o CLI do Azure, execute o seguinte comando. Substitua <resource-group>, <identity-name> e <region> pelos seus próprios valores.

az identity create \
    --name <identity-name> \
    --resource-group <resource-group> \
    --location <region>

Atribuir o papel de utilizador de encriptação do Key Vault Crypto Service à identidade gerida

Atribua o papel de Utilizador de Encriptação do Serviço Cripto Key Vault à identidade gerida que criou no portal Azure, no PowerShell ou no CLI do Azure.

Para atribuir o papel Key Vault Crypto Service Encryption User à identidade gerida usando o portal Azure, siga estes passos:

Vá ao seu cofre de chaves no portal do Azure.
No menu de serviço, selecione Controlo de Acesso (IAM).
Em Conceder acesso a este recurso, selecione Adicionar atribuição de função.
Procure e selecione Utilizador de Encriptação do Serviço Cripto do Key Vault, e depois selecione Seguinte.
Em Atribuir acesso a, selecione Identidade gerenciada.
Em Membros, escolha +Selecionar membros.
A janela Selecionar identidades gerenciadas é aberta. Sob Identidade gerida, selecione Identidade gerida atribuída ao utilizador.
Selecione a identidade gerida que criou e depois escolha Selecionar.
Selecione Rever + atribuir, e depois Rever + atribuir novamente.

Para atribuir o papel Key Vault Crypto Service Encryption User à identidade gerida atribuída pelo utilizador usando Azure PowerShell, execute o seguinte cmdlet. Substitua <resource-group>, <identity-name> e <key-vault-name> pelos seus próprios valores.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>

New-AzRoleAssignment `
    -ObjectId $identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

Para atribuir o papel Key Vault Crypto Service Encryption User à identidade gerida atribuída pelo utilizador usando CLI do Azure, execute os seguintes comandos. Substitua <resource-group>, <identity-name> e <key-vault-name> pelos seus próprios valores.

# Get the principal ID of the user-assigned managed identity
IDENTITY_PRINCIPAL_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query principalId -o tsv)

# Get the key vault resource ID
KV_RESOURCE_ID=$(az keyvault show \
    --name <key-vault-name> \
    --query id -o tsv)

# Assign the Key Vault Crypto Service Encryption User role to the user-assigned managed identity
az role assignment create \
    --assignee-object-id $IDENTITY_PRINCIPAL_ID \
    --assignee-principal-type ServicePrincipal \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $KV_RESOURCE_ID

Passo 4: Configurar chaves geridas pelo cliente na conta de armazenamento

Com o cofre de chaves, a chave e a identidade gerida prontos, pode ativar chaves geridas pelo próprio cliente na conta de armazenamento.

Siga estes passos para configurar a conta de armazenamento para usar a sua chave para encriptação. O portal do Azure utiliza sempre a atualização automática das versões da chave. Para usar a gestão manual de versões de chaves, use Azure PowerShell ou CLI do Azure e especifique uma versão de chave.

Importante

Para contas de armazenamento associadas a um perímetro de segurança de rede, o cofre de chaves deve idealmente estar no mesmo perímetro de segurança de rede. Se não estiver, então deve configurar o perfil do perímetro de segurança da rede do cofre de chaves para permitir que a conta de armazenamento comunique com ele.

Configurar chaves geridas pelo cliente para uma conta de armazenamento existente

Pode configurar chaves geridas pelo cliente numa conta de armazenamento existente usando o portal Azure, Azure PowerShell ou CLI do Azure.

Para configurar chaves geridas pelo cliente numa conta de armazenamento existente usando o portal Azure, siga estes passos. O portal utiliza a atualização automática da versão da chave por padrão. Não podes especificar uma versão de chave.

Aceda à sua conta de armazenamento.
No menu de serviço, em Segurança + rede, selecione Encriptação.
Para o tipo de encriptação, selecione Chaves Geridas pelo Cliente. Se a conta de armazenamento já estiver configurada para CMK, selecione a chave Alterar.
Para chave de encriptação, selecione Selecionar do cofre de chaves.
Seleciona Selecionar um cofre de chaves e uma chave, e depois escolhe o cofre de chaves e a chave.
Para o tipo de Identidade, escolha Atribuido pelo Utilizador para usar a sua identidade gerida previamente atribuída pelo utilizador.
Procure e selecione a identidade gerida atribuída pelo utilizador e depois selecione Adicionar.
Selecione Guardar.

Captura de ecrã que mostra a seleção de encriptação e a seleção de chave para configurar chaves geridas pelo cliente.

Para configurar chaves geridas pelo cliente numa conta de armazenamento existente usando Azure PowerShell com atualização automática da versão da chave (recomendado), execute o seguinte cmdlet. Substitua <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, e <key-name> pelos teus próprios valores.

O seguinte cmdlet utiliza a sua identidade gerida previamente atribuída pelo utilizador. Se quiser usar a identidade do sistema da conta de armazenamento em vez disso, defina IdentityType para SystemAssigned e omita a variável $identity, UserAssignedIdentityId e KeyVaultUserAssignedIdentityId.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption `
    -KeyVaultUserAssignedIdentityId $identity.Id

Para usar a atualização manual da versão da tecla em vez da atualização automática, adicione o -KeyVersion $key.Version parâmetro ao Set-AzStorageAccount cmdlet.

Para configurar chaves geridas pelo cliente numa conta de armazenamento existente usando CLI do Azure com atualização automática da versão da chave (recomendado), execute os seguintes comandos. Substitua <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, e <key-name> pelos teus próprios valores.

O comando seguinte utiliza a sua identidade gerida previamente atribuída pelo utilizador. Se quiser usar a identidade do sistema da conta de armazenamento em vez disso, defina --identity-type para SystemAssigned e omita a variável IDENTITY_RESOURCE_ID, --user-identity-id e --key-vault-user-identity-id.

# Using user-assigned managed identity. Omit for system assigned.
IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID

Para usar a atualização manual da versão da tecla em vez da atualização automática, adicione --encryption-key-version <key-version> ao az storage account update comando.

Configurar chaves gerenciadas pelo cliente para uma nova conta de armazenamento

Pode configurar chaves geridas pelo cliente ao criar uma nova conta de armazenamento usando o portal Azure, Azure PowerShell ou CLI do Azure.

Não podes usar uma identidade atribuída pelo sistema durante a criação da conta de armazenamento porque a identidade não existe até a conta de armazenamento ser criada. Deve usar uma identidade gerida atribuída pelo utilizador.

Para configurar chaves geridas pelo cliente para uma nova conta de armazenamento utilizando o portal Azure, siga estes passos. O portal utiliza a atualização automática da versão da chave por padrão. Não é possível especificar uma versão de chave.

No separador Encriptação durante a criação da conta de armazenamento, selecione Chaves geridas pelo cliente (CMK) para o tipo de Encriptação.
Em chave de encriptação, escolha Selecionar um cofre de chaves e chave, depois selecione o seu cofre de chaves e a chave.
Em Identidade atribuída pelo utilizador, escolha Selecionar uma identidade. A janela Select user assigned managed identity (Identidade gerida atribuída ao utilizador) abre-se.
Procure e selecione a sua identidade gerida pré-criada atribuída pelo utilizador. Novas contas de armazenamento não podem usar uma identidade gerida atribuída pelo sistema.
Selecione Adicionar.
Complete as abas restantes e selecione Rever + criar.

Para criar uma nova conta de armazenamento com chaves geridas pelo cliente usando Azure PowerShell, execute o seguinte cmdlet. Substitui <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name>, , e <region> pelos teus próprios valores. Pode especificar diferentes valores para -Kind e -SkuName se quiser.

$identity = Get-AzUserAssignedIdentity `
    -ResourceGroupName <resource-group> `
    -Name <identity-name>

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

New-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -Location <region> `
    -SkuName Standard_LRS `
    -Kind StorageV2 `
    -IdentityType UserAssigned `
    -UserAssignedIdentityId $identity.Id `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultUserAssignedIdentityId $identity.Id

Para usar a atualização manual da versão da tecla em vez de automática, adicione o -KeyVersion $key.Version parâmetro ao New-AzStorageAccount cmdlet.

Para criar uma nova conta de armazenamento com chaves geridas pelo cliente usando o CLI do Azure, execute os seguintes comandos. Substitui <resource-group>, <identity-name>, <storage-account-name>, <key-vault-name>, <key-name>, , e <region> pelos teus próprios valores. Pode especificar diferentes valores para --kind e --sku se quiser.

IDENTITY_RESOURCE_ID=$(az identity show \
    --name <identity-name> \
    --resource-group <resource-group> \
    --query id -o tsv)

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account create \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --location <region> \
    --sku Standard_LRS \
    --kind StorageV2 \
    --identity-type UserAssigned \
    --user-identity-id $IDENTITY_RESOURCE_ID \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $IDENTITY_RESOURCE_ID

Para usar a atualização manual da versão da tecla em vez de automática, adicione --encryption-key-version <key-version> ao az storage account create comando.

Passo 5: Verificar a configuração

Depois de ativar as chaves geridas pelo cliente, confirme que a encriptação está devidamente configurada na sua conta de armazenamento. Pode fazer isto usando o portal Azure, Azure PowerShell ou CLI do Azure.

Para verificar a configuração da conta de armazenamento utilizando o portal Azure, siga estes passos:

Aceda à sua conta de armazenamento no Portal do Azure.
No menu de serviço, em Segurança + rede, selecione Encriptação.
Confirme que o tipo de encriptação mostra chaves geridas pelo cliente.
Verifique se a informação na seleção de Chave está correta.

Para verificar a configuração da conta de armazenamento usando o Azure PowerShell, execute o seguinte cmdlet. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

$account = Get-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name>

$account.Encryption.KeySource
$account.Encryption.KeyVaultProperties

Confirma que KeySource é Microsoft.Keyvault e que KeyVaultProperties mostra o URI do cofre de chaves e o nome da chave.

Para verificar a configuração usando o CLI do Azure, execute o seguinte comando. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

az storage account show \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --query encryption

Confirme que keySource é Microsoft.Keyvault e que a secção keyVaultProperties exibe o URI do cofre de chaves e o nome da chave.

Rotação de chaves

Rodar regularmente a sua chave de encriptação limita a exposição caso uma chave seja comprometida. Existem duas formas de rodar a encriptação para uma conta de armazenamento que utiliza chaves geridas pelo cliente:

Atualizar a versão da chave - Criar uma nova versão da mesma chave no repositório de chaves. O nome da chave mantém-se, mas a versão muda.
Muda a chave - Muda a conta de armazenamento para usar uma chave completamente diferente (com um nome diferente) no mesmo ou num cofre de chaves diferente.

Importante

O Azure verifica o cofre de chaves para uma nova versão de chave apenas uma vez por dia. Depois de alterar uma chave, espere 24 horas antes de desativar a versão anterior da chave.

Rodar a versão da chave

Para as melhores práticas de segurança, rode a versão da chave pelo menos uma vez a cada dois anos.

Rotação automática das versões de chaves (recomendado)

Se configurou chaves geridas pelo cliente sem especificar uma versão de chave (o padrão ao usar o portal Azure), o Azure verifica automaticamente novas versões de chave diariamente. Se criares uma nova versão da chave no Key Vault, o Azure recolhe-a dentro de 24 horas. Também pode configurar a rotação automática no Azure Key Vault para gerar novas versões de chave num agendamento.

Rotação manual de versões de chave

Se especificaste uma versão de chave ao configurar chaves geridas pelo cliente usando PowerShell ou CLI do Azure, o Azure usa essa versão específica e não verifica automaticamente novas versões. Deve atualizar manualmente a configuração da conta de armazenamento para apontar para a nova versão da chave.

A rotação manual de versões de chaves não é suportada no portal do Azure. Para girar manualmente a versão da chave, use Azure PowerShell ou CLI do Azure.

Para rodar manualmente a versão da chave usando o Azure PowerShell, execute o seguinte cmdlet. Substitua <resource-group>, <storage-account-name>, <key-vault-name>, e <key-name> pelos seus próprios valores.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultEncryption

Para rotacionar manualmente a versão da chave utilizando o CLI do Azure, execute os seguintes comandos. Substitua <storage-account-name>, <resource-group>, <key-vault-name>, e <key-name> pelos seus próprios valores.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

# Get the latest key version
KEY_VERSION=$(az keyvault key show \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --query key.kid -o tsv | sed -e 's|.*/||')

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <key-name> \
    --encryption-key-version $KEY_VERSION \
    --encryption-key-source Microsoft.Keyvault

Alterar a chave

Para mudar a conta de armazenamento para usar uma chave totalmente diferente, crie ou importe uma nova chave no seu cofre de chaves (veja Criar ou importar uma chave de encriptação) e depois atualize a configuração de encriptação da conta de armazenamento para usar a nova chave.

Para alterar a chave usando o portal Azure, siga estes passos:

Aceda à sua conta de armazenamento.
No menu de serviço, em Segurança + rede, selecione Encriptação.
Selecione Alterar chave.
Selecione um cofre de chaves e chave, em seguida, escolha o seu cofre de chaves e nova chave.
Selecione Guardar.

Para alterar a chave usando o Azure PowerShell, execute o seguinte cmdlet. Substitua <resource-group>, <storage-account-name>, <key-vault-name>, e <new-key-name> pelos seus próprios valores. Para usar a atualização automática da versão da chave (recomendado), omita o -KeyVersion parâmetro.

$keyVault = Get-AzKeyVault -VaultName <key-vault-name>
$key = Get-AzKeyVaultKey -VaultName <key-vault-name> -Name <new-key-name>

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVaultEncryption

Para alterar a chave usando o CLI do Azure, execute os seguintes comandos. Substitua <storage-account-name>, <resource-group>, <key-vault-name>, e <new-key-name> pelos seus próprios valores. Para usar a atualização automática da versão da chave (recomendado), omita o --encryption-key-version parâmetro.

# Get the key vault URI
KEY_VAULT_URI=$(az keyvault show \
    --name <key-vault-name> \
    --query properties.vaultUri -o tsv)

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-vault $KEY_VAULT_URI \
    --encryption-key-name <new-key-name> \
    --encryption-key-source Microsoft.Keyvault

Pode bloquear imediatamente o acesso a dados encriptados de partilha de ficheiros desativando ou eliminando a chave gerida pelo cliente. Enquanto a chave está desativada, todas as operações do plano de dados do Ficheiros do Azure falham com HTTP 403 (Proibido), incluindo:

Diretórios e ficheiros de listas
Criar/obter/definir diretório ou ficheiro
Obter/definir metadados do ficheiro
Colocar o intervalo, copiar o ficheiro, renomear o ficheiro

Para revogar o acesso aos seus dados de partilha de ficheiros, desative a chave no cofre de chaves usando o portal Azure, Azure PowerShell ou CLI do Azure. Reative a chave para restaurar o acesso.

Para desativar a chave usando o portal Azure, siga estes passos:

Vá ao seu cofre de chaves no portal do Azure.
No menu de serviço, em Objetos, selecione Chaves.
Clique com o botão direito do rato na tecla e selecione Desativar.

Para desativar a chave usando o Azure PowerShell, execute o seguinte cmdlet. Substitua <key-vault-name> e <key-name> pelos seus próprios valores.

Update-AzKeyVaultKey `
    -VaultName <key-vault-name> `
    -Name <key-name> `
    -Enable $false

Para desativar a chave usando o CLI do Azure, execute o seguinte comando. Substitua <key-vault-name> e <key-name> pelos seus próprios valores.

az keyvault key set-attributes \
    --vault-name <key-vault-name> \
    --name <key-name> \
    --enabled false

Voltar para chaves gerenciadas pela Microsoft

Se já não precisar de chaves geridas pelo cliente, pode voltar a mudar a conta de armazenamento para o uso de chaves geridas pela Microsoft para encriptação, utilizando o portal Azure, Azure PowerShell ou CLI do Azure.

Para voltar às chaves geridas pela Microsoft usando o portal Azure, siga estes passos:

Aceda à sua conta de armazenamento no Portal do Azure.
No menu de serviço, em Segurança + rede, selecione Encriptação.
Alterar tipo de encriptação para Chaves Geridas pela Microsoft.
Selecione Guardar.

Para voltar às chaves geridas pela Microsoft usando Azure PowerShell, execute o seguinte cmdlet. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

Set-AzStorageAccount `
    -ResourceGroupName <resource-group> `
    -Name <storage-account-name> `
    -StorageEncryption

Para voltar às chaves geridas pela Microsoft usando o CLI do Azure, execute o seguinte comando. Substitua <resource-group> e <storage-account-name> pelos seus próprios valores.

az storage account update \
    --name <storage-account-name> \
    --resource-group <resource-group> \
    --encryption-key-source Microsoft.Storage

Para mais informações sobre encriptação e gestão de chaves, consulte os seguintes artigos.

Comentários

Esta página foi útil?

Last updated on 2026-05-08