Criar uma conta que ofereça suporte a chaves gerenciadas pelo cliente para tabelas e filas

2025-04-09

O Armazenamento do Azure criptografa todos os dados em uma conta de armazenamento em repouso. Por padrão, o armazenamento em fila e o armazenamento de tabela usam uma chave que tem como escopo o serviço e é gerenciada pela Microsoft. Você também pode optar por usar chaves gerenciadas pelo cliente para criptografar dados de fila ou tabela. Para usar chaves geridas pelo cliente com filas e tabelas, deve-se primeiro criar uma conta de armazenamento que use uma chave de criptografia com escopo para a conta, em vez de para o serviço. Depois de criar uma conta que usa a chave de criptografia de conta para dados de fila e tabela, você pode configurar chaves gerenciadas pelo cliente para essa conta de armazenamento.

Este artigo descreve como criar uma conta de armazenamento que depende de uma chave associada à conta. Quando a conta é criada pela primeira vez, a Microsoft usa a chave de conta para criptografar os dados na conta e a Microsoft gerencia a chave. Posteriormente, você pode configurar chaves gerenciadas pelo cliente para que a conta aproveite esses benefícios, incluindo a capacidade de fornecer suas próprias chaves, atualizar a versão da chave, girar as chaves e revogar os controles de acesso.

Criar uma conta que use a chave de criptografia de conta

Você deve configurar uma nova conta de armazenamento para usar a chave de criptografia de conta para filas e tabelas no momento em que criar a conta de armazenamento. O escopo da chave de criptografia não pode ser alterado após a criação da conta.

A conta de armazenamento deve ser do tipo de uso geral v2. Você pode criar a conta de armazenamento e configurá-la para confiar na chave de criptografia da conta usando o portal do Azure, PowerShell, CLI do Azure ou um modelo do Azure Resource Manager.

Para saber mais sobre como criar uma conta de armazenamento, consulte Criar uma conta de armazenamento.

Observação

Somente o armazenamento de Fila e Tabela pode ser configurado opcionalmente para criptografar dados com a chave de criptografia de conta quando a conta de armazenamento é criada. O armazenamento de Blob e os Arquivos do Azure sempre usam a chave de criptografia de conta para criptografar dados.

Para criar uma conta de armazenamento que dependa da chave de criptografia de conta com o portal do Azure, siga estas etapas:

No menu esquerdo do portal, selecione Contas de armazenamento para exibir uma lista de suas contas de armazenamento.
Na página Contas de armazenamento, selecione Novo.
Preencha os campos na guia Noções básicas .
Na guia Avançado, localize a seção Tabelas e Filas e selecione Habilitar suporte para chaves gerenciadas pelo cliente.

Para usar o PowerShell para criar uma conta de armazenamento que dependa da chave de criptografia de conta, verifique se você instalou o módulo do Azure PowerShell, versão 3.4.0 ou posterior. Para obter mais informações, consulte Instalar o módulo do Azure PowerShell.

Em seguida, crie uma conta de armazenamento v2 de uso geral chamando o comando New-AzStorageAccount , com os parâmetros apropriados:

Inclua a -EncryptionKeyTypeForQueue opção e defina o seu valor para Account para utilizar a chave de criptografia da conta para criptografar dados no armazenamento em fila.
Inclua a opção -EncryptionKeyTypeForTable e defina o seu valor como Account para usar a chave de criptografia de conta para criptografar dados no armazenamento de Tabela.

O exemplo a seguir mostra como criar uma conta de armazenamento v2 de uso geral, configurada para armazenamento com redundância geográfica de acesso de leitura (RA-GRS) e que utiliza a chave de encriptação da conta para encriptar dados para armazenamento de filas e tabelas. Lembre-se de substituir os valores preenchidos entre colchetes pelos seus próprios valores:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <___location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -EncryptionKeyTypeForTable Account `
    -EncryptionKeyTypeForQueue Account

Para usar a CLI do Azure para criar uma conta de armazenamento que dependa da chave de criptografia da conta, verifique se você instalou a CLI do Azure versão 2.0.80 ou posterior. Para obter mais informações, consulte Instalar a CLI do Azure.

Em seguida, crie uma conta de armazenamento v2 de uso geral chamando o comando az storage account create , com os parâmetros apropriados:

Inclua a opção --encryption-key-type-for-queue e defina o seu valor para Account para usar a chave de encriptação de conta para encriptar dados no armazenamento de filas.
Inclua a opção --encryption-key-type-for-table e defina o seu valor para Account usar a chave de criptografia da conta para criptografar dados no armazenamento de tabelas.

O exemplo a seguir mostra como criar uma conta de armazenamento v2 de uso geral configurada para armazenamento com redundância geográfica de acesso de leitura (RA-GRS) e que usa a chave de criptografia de conta para criptografar dados para armazenamento de fila e tabela. Lembre-se de substituir os valores preenchidos entre colchetes pelos seus próprios valores:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --___location <___location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --encryption-key-type-for-table Account \
    --encryption-key-type-for-queue Account

O exemplo JSON a seguir cria uma conta de armazenamento v2 de uso geral que está configurada para armazenamento com redundância geográfica de leitura (RA-GRS) e que utiliza a chave de criptografia da conta para criptografar dados tanto para o armazenamento de fila quanto para o armazenamento de tabela. Lembre-se de substituir os valores de espaço reservado entre colchetes angulares pelos seus próprios valores:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "___location": "[parameters('<___location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "services": {
                    "queue": {
                        "keyType": "Account"
                    },
                    "table": {
                        "keyType": "Account"
                    }
                },
                "keySource": "Microsoft.Storage"
            }
        }
    }
],

Depois de criar uma conta que depende da chave de criptografia de conta, você pode configurar chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure ou no HSM (Modelo de Segurança de Hardware Gerenciado) do Cofre de Chaves. Para saber como armazenar chaves gerenciadas pelo cliente em um cofre de chaves, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure. Para saber como armazenar chaves gerenciadas pelo cliente em um HSM gerenciado, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado do Cofre de Chaves do Azure.

Verifique a chave de criptografia da conta

Depois de criar a conta, você pode verificar se a conta de armazenamento está usando uma chave de criptografia com escopo para a conta usando o portal do Azure, o PowerShell ou a CLI do Azure.

Para verificar se um serviço em uma conta de armazenamento está usando uma chave de criptografia com escopo para a conta com o portal do Azure, siga estas etapas:

No portal do Azure, navegue para a sua nova conta de armazenamento.
Na seção Segurança + Rede , selecione Criptografia.
Se a conta de armazenamento tiver sido criada para confiar na chave de criptografia da conta, você verá na guia Criptografia que as chaves gerenciadas pelo cliente podem ser habilitadas para todos os quatro serviços de Armazenamento do Azure: blobs, arquivos, tabelas e filas.

Para verificar se um serviço em uma conta de armazenamento está usando a chave de criptografia de conta com o PowerShell, chame o comando Get-AzStorageAccount . Este comando retorna um conjunto de propriedades da conta de armazenamento e seus valores. Procure o KeyType campo para cada serviço dentro da Encryption propriedade e verifique se ele está definido como Account.

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.Services.Queue
$account.Encryption.Services.Table

Para verificar se um serviço em uma conta de armazenamento está usando a chave de criptografia de conta com a CLI do Azure, chame o comando az storage account show . Este comando retorna um conjunto de propriedades da conta de armazenamento e seus valores. Procure o keyType campo para cada serviço dentro da propriedade de criptografia e verifique se ele está definido como Account.

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group>

Depois de verificar se a conta de armazenamento está usando uma chave de criptografia com escopo para a conta, você pode habilitar chaves gerenciadas pelo cliente para a conta. Todos os quatro serviços de Armazenamento do Azure — blobs, arquivos, tabelas e filas — usarão a chave gerenciada pelo cliente para criptografia.

Preços e faturação

Uma conta de armazenamento criada para usar uma chave de criptografia com escopo para a conta é cobrada pela capacidade de armazenamento da tabela e pelas transações a uma taxa diferente de uma conta que usa a chave padrão com escopo de serviço. Para obter detalhes, consulte Preços do Armazenamento de Tabela do Azure.

Próximos passos

Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure
Configurar a encriptação com chaves geridas pelo cliente armazenadas no Azure Key Vault
Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no HSM gerenciado do Azure Key Vault

Comentários

Esta página foi útil?