Configure as chaves geridas pelo cliente inter-inquilino para uma conta de armazenamento existente

Inicie sessão no portal do Azure e siga estes passos.

O prestador de serviços configura identidades

Os passos seguintes são executados pelo fornecedor de serviços no inquilino do fornecedor de serviços Tenant1.

O fornecedor de serviço cria um novo registo de aplicação multi-inquilino.

Pode criar um novo registo de aplicação Microsoft Entra multicliente ou começar com um registo de aplicação multicliente existente. Se começar com um registo de aplicação existente, anote o ID da aplicação (ID do cliente) da aplicação.

Para criar um novo registo:

1. Pesquise por Microsoft Entra ID na caixa de pesquisa. Localize e selecione a extensão Microsoft Entra ID.

2. Selecione Gerir > Registos de Aplicações no painel à esquerda.

3. Selecione + Novo registo.

4. Forneça o nome para o registo da aplicação e selecione Conta em qualquer diretório organizacional (Qualquer diretório do Microsoft Entra – Multi-inquilino).

5. Select Register.

6. Tome nota do ApplicationId/ClientId da aplicação.

   

O fornecedor de serviços cria uma identidade gerida atribuída ao utilizador

Crie uma identidade gerida atribuída ao utilizador para ser usada como credencial de identidade federada.

1. Pesquise por Managed Identities na caixa de pesquisa. Localize e selecione a extensão Managed Identities.

2. Select + Create.

3. Forneça o grupo de recursos, a região e o nome para a identidade gerida.

4. Select Review + create.

5. Após a implementação bem-sucedida, anote o ID de recurso do Azure da identidade gerida atribuída pelo utilizador, que está disponível em Propriedades. For example:

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

O fornecedor de serviços configura a identidade gerida atribuída pelo utilizador como uma credencial federada na aplicação.

Configure uma identidade gerida atribuída ao utilizador como uma credencial de identidade federada na aplicação, para que possa assumir a identidade da aplicação.

1. Navegue até Microsoft Entra ID > Registros de Aplicações > a sua aplicação.

2. Selecione Certificados e segredos.

3. Selecione Federated credentials.

   

4. Select + Add credential.

5. Em Cenário de credenciais federadas, selecione Identidade gerenciada.

6. Clique em Select a managed identity. A partir do painel, selecione a subscrição. Sob Identidade gerida, selecione Identidade gerida atribuída ao utilizador. Na caixa Select, procure a identidade gerida que criou anteriormente e, em seguida, clique em Select na parte inferior do painel.

   

7. Sob Detalhes das Credenciais, forneça um nome e uma descrição opcional para a credencial e selecione Adicionar.

   

Para usar o Azure PowerShell para configurar o inquilino do ISV, instale o módulo Az mais recente. Para mais informações sobre a instalação do PowerShell, consulte Instalar Azure PowerShell no Windows com PowerShellGet.

• Se optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo Az PowerShell.
  • Connect to your Azure account using the Connect-AzAccount cmdlet.
• Se optar por usar o Azure Cloud Shell:
  • Consulte Overview of Azure Cloud Shell para mais informações.

O fornecedor de serviços configura identidades

Os passos seguintes são realizados pelo fornecedor de serviços (ISV) no inquilino do fornecedor de serviços, Tenant1.

O fornecedor de serviços inicia sessão no Azure

No Azure PowerShell, inicie sessão no inquilino do ISV e defina a assinatura ativa para a assinatura do ISV.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

O fornecedor de serviços cria um novo registo de aplicação multi-inquilino

Escolha um nome para a sua aplicação registada multi-inquilino em Tenant1 e crie a aplicação multi-inquilino no portal do Azure.

O nome que fornecer para a aplicação de múltiplos inquilinos é usado pelo cliente para identificar a aplicação em Tenant2. Observe o ID do objeto da aplicação e o ID da aplicação. Vai precisar destes valores nos passos seguintes.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

O fornecedor de serviços cria uma identidade gerida atribuída pelo utilizador

Inicie sessão no inquilino da ISV e, em seguida, crie uma identidade gerida atribuída pelo utilizador para ser utilizada como credencial de identidade federada. Para criar uma nova identidade gerida atribuída pelo utilizador, deve ser atribuído a um cargo que inclua a ação Microsoft.ManagedIdentity/userAssignedIdentities/write.

$isvRgName="<isv-resource-group>"
$isvLocation="<___location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

O fornecedor de serviços configura a identidade gerida atribuída pelo utilizador como uma credencial federada na aplicação.

Configure uma identidade gerida atribuída pelo utilizador como uma credencial de identidade federada na aplicação, para que possa se fazer passar pela identidade da aplicação.

Para configurar a credencial de identidade federada no PowerShell, primeiro instale a versão 6.3.0 ou posterior do módulo Az.Resources.

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

• Utilize o ambiente Bash no Azure Cloud Shell. Para mais informações, veja Get started with Azure Cloud Shell.

  

• Se preferir correr comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a usar Windows ou macOS, considere executar o Azure CLI num contentor Docker. Para mais informações, consulte How to run the Azure CLI in a Docker container.

  • Se estiver a usar uma instalação local, inicie sessão no Azure CLI utilizando o comando az login. Para concluir o processo de autenticação, siga os passos exibidos no seu terminal. Para outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.

  • Quando solicitado, instale a extensão do Azure CLI na primeira utilização. Para obter mais informações sobre extensões, consulte Usar e gerenciar extensões com a CLI do Azure.

  • Execute az version para encontrar a versão e as bibliotecas dependentes que estão instaladas. Para atualizar para a versão mais recente, execute az upgrade.

O fornecedor de serviços configura identidades.

Os seguintes passos são realizados pelo prestador de serviços no arrendatário do prestador de serviços Tenant1.

O fornecedor de serviços inicia sessão no Azure

Inicie sessão no Azure para usar o Azure CLI.

az login

O fornecedor de serviços cria um novo registo de aplicação multi-inquilino

Escolha um nome para a sua aplicação multi-inquilinos em Tenant1 e crie a aplicação multi-inquilinos no portal do Azure.

O nome que você fornecer para a aplicação multi-tenant é usado pelo cliente para identificar a aplicação no Tenant2. Copie o ID da aplicação (ou ID do cliente), o ID do objeto da aplicação e também o ID do inquilino para a aplicação. Vai precisar destes valores nos passos seguintes.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

O fornecedor de serviços cria uma identidade gerida atribuída ao utilizador

Inicie sessão no locatário do ISV e, em seguida, crie uma identidade gerida atribuída ao usuário para ser utilizada como uma credencial de identidade federada. Para criar uma nova identidade gerida atribuída ao utilizador, deve ser-lhe atribuída uma função que inclua a ação Microsoft.ManagedIdentity/userAssignedIdentities/write.

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<___location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --___location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --___location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

O fornecedor de serviços configura a identidade gerida atribuída pelo utilizador como uma credencial federada na aplicação.

Execute o método az ad app federated-credential create para configurar uma credencial de identidade federada numa aplicação e criar uma relação de confiança com um fornecedor de identidade externo.

Utilize api://AzureADTokenExchange como o valor de audience na credencial de identidade federada. Consulte a referência de API para mais detalhes.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Inicie sessão no Azure portal e siga estes passos.

O cliente instala a aplicação do fornecedor de serviços no espaço reservado ao cliente.

Para instalar a aplicação registada do prestador de serviço no cliente do inquilino, cria um principal de serviço com o ID da aplicação a partir da aplicação registada. Pode criar o principal do serviço de uma das seguintes maneiras:

• Utilize Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell ou Azure CLI para criar manualmente o principal de serviço.
• Construa um URL de consentimento de administração e conceda consentimento a nível de inquilino para criar o principal de serviço. Terá de lhes fornecer o seu AppId.

O cliente cria um cofre de chaves

Para criar o cofre de chaves, a conta do utilizador deve ser atribuída ao cargo de Key Vault Contributor ou a outro cargo que permita a criação de um cofre de chaves.

1. A partir do menu do portal Azure ou da página inicial, selecione + Criar um recurso. Na caixa de pesquisa, introduza Key vaults. Na lista de resultados, selecione Cofres de chaves. On the Key vaults page, select Create.

2. Na aba Início, escolha uma subscrição. Sob Grupo de Recursos, selecione Criar novo e introduza um nome para o grupo de recursos.

3. Insira um nome único para o cofre de chaves.

4. Selecione uma região e um nível de preços.

5. Ativar a proteção de eliminação para o novo cofre de chaves.

6. Na aba Política de Acesso, selecione controle de acesso baseado em função do Azure para Modelo de Permissão.

7. Selecione Revise + crie e depois Crie.

   

Tome nota do nome e do URI do cofre de chaves. As aplicações que acedem ao seu cofre de chaves devem utilizar este URI.

Para mais informações, consulte Início rápido - Criar um Cofre de Chaves Azure com o portal Azure.

O cliente atribui a função de Oficial de Criptografia do Key Vault a uma conta de utilizador

Este passo garante que pode criar chaves de encriptação.

1. Navegue até o seu cofre de chaves e selecione Access Control (IAM) no painel à esquerda.
2. Em Conceder acesso a este recurso, selecione Adicionar atribuição de função.
3. Procure por e selecione Key Vault Crypto Officer.
4. Em Membros, selecione Utilizador, grupo ou principal de serviço.
5. Selecione Membros e procure a sua conta de utilizador.
6. Select Review + Assign.

O cliente cria uma chave de encriptação

Para criar a chave de encriptação, a conta do utilizador deve ser atribuída à função de Oficial Cripto do Cofre de Chaves ou a outra função que permita a criação de uma chave.

1. Na página de propriedades do Key Vault, selecione Chaves.
2. Select Generate/Import.
3. Na tela Criar uma chave, especifique um nome para a chave. Deixe os outros valores nos seus valores padrão.
4. Select Create.
5. Copie o URI chave.

O cliente concede ao fornecedor de serviços acesso à aplicação ao cofre de chaves

Atribua o papel "Azure RBAC" Utilizador de Criptografia de Serviço da Key Vault à aplicação registada do fornecedor de serviços, para que possa aceder ao Key Vault.

1. Navegue até o seu cofre de chaves e selecione Controlo de Acesso (IAM) no painel à esquerda.
2. Em Conceder acesso a este recurso, selecione Adicionar atribuição de função.
3. Procure e selecione Key Vault Crypto Service Encryption User.
4. Em Membros, selecione Utilizador, grupo ou entidade de serviço.
5. Selecione Membros e procure o nome da aplicação que instalou do fornecedor de serviços.
6. Select Review + Assign.

Agora pode configurar chaves geridas pelo cliente com o URI do cofre de chaves e a chave.

Para usar o Azure PowerShell para configurar o inquilino do cliente, instale o módulo Az mais recente. Para mais informações sobre a instalação do PowerShell, consulte Install Azure PowerShell on Windows with PowerShellGet.

• Se optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo Az PowerShell.
  • Connect to your Azure account using the Connect-AzAccount cmdlet.
• Se optar por usar o Azure Cloud Shell:
  • Consulte Visão Geral do Azure Cloud Shell para mais informações.

O cliente entra no Azure

No Azure PowerShell, inicie sessão no inquilino do cliente e defina a subscrição ativa para a subscrição do cliente.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

O cliente instala a aplicação do fornecedor de serviços no locatário do cliente

Assim que receber o ID da aplicação multi-inquilino do fornecedor de serviços, instale a aplicação no seu inquilino, Tenant2, criando um principal de serviço.

Execute os seguintes comandos no inquilino onde planeia criar o cofre de chaves.

$customerRgName="<customer-resource-group>"
$customerLocation="<___location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

O cliente cria um cofre de chaves

Para criar o cofre de chaves, a conta do cliente deve ter atribuído o papel de Colaborador do Cofre de Chaves ou outro papel que permita a criação de um cofre de chaves.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

O cliente atribui a função de Key Vault Crypto Officer a uma conta de utilizador.

Atribuir a função de Key Vault Crypto Officer a uma conta de usuário. Este passo garante que o utilizador possa criar o cofre de chaves e as chaves de encriptação. O exemplo abaixo atribui o papel ao utilizador atualmente autenticado.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

O cliente cria uma chave de encriptação

Para criar a chave de encriptação, a conta do utilizador deve ser atribuída ao papel de Key Vault Crypto Officer ou a outro papel que permita a criação de uma chave.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

O cliente concede ao prestador de serviços acesso à aplicação ao cofre de chaves.

Atribua a função RBAC do Azure Key Vault Crypto Service Encryption User à aplicação registada do fornecedor de serviços, através do principal de serviço que criou anteriormente, para que possa aceder ao cofre de chaves.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Agora pode configurar chaves geridas pelo cliente com o URI do cofre de chaves e a chave.

• Utilize o ambiente Bash no Azure Cloud Shell. Para mais informações, veja Get started with Azure Cloud Shell.

  

• Se preferir executar comandos de referência do CLI localmente, instale o Azure CLI. Se estiver a usar Windows ou macOS, considere executar o Azure CLI num contentor Docker. Para mais informações, consulte Como executar o Azure CLI num contentor Docker.

  • Se estiver a usar uma instalação local, inicie sessão no Azure CLI utilizando o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.

  • Quando solicitado, instale a extensão Azure CLI na primeira utilização. Para obter mais informações sobre extensões, consulte Usar e gerenciar extensões com a CLI do Azure.

  • Execute az version para encontrar a versão e as bibliotecas dependentes que estão instaladas. Para atualizar para a versão mais recente, execute az upgrade.

O cliente inicia sessão no Azure

Inicie sessão no Azure para usar o Azure CLI.

az login

O cliente instala a aplicação do fornecedor de serviços no inquilino do cliente.

Assim que receber o ID da aplicação da aplicação multi-inquilino do fornecedor de serviços, instale a aplicação no seu inquilino Tenant2 usando o seguinte comando. A instalação da aplicação cria um principal de serviço no seu inquilino.

Execute os seguintes comandos no locatário onde pretende criar o cofre de chaves.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

O cliente cria um cofre de chaves

Para criar o cofre de chaves, a conta do cliente deve ser atribuída à função de Contribuidor do Cofre de Chaves ou outra função que permita a criação de um cofre de chaves.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<___location>"
kvName="<key-vault>"

az group create --___location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --___location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

O cliente atribui o papel de Gestor Criptográfico do Key Vault a uma conta de utilizador

Esta etapa garante que possa criar o cofre de chaves e as chaves de encriptação.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

O cliente cria uma chave de encriptação

Para criar a chave de encriptação, a conta do utilizador deve ser atribuída ao papel de Key Vault Crypto Officer ou outro papel que permita a criação de uma chave.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

O cliente concede à aplicação do prestador de serviços acesso ao cofre de chaves

Atribua o papel do Azure RBAC Key Vault Crypto Service Encryption User à aplicação registada do fornecedor de serviços, através do principal de serviço que criou previamente, para que a aplicação registada possa aceder ao cofre de chaves.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Agora pode configurar chaves geridas pelo cliente com o URI do cofre de chaves e chave.

Para configurar chaves geridas pelo cliente entre inquilinos para uma conta de armazenamento existente no portal do Azure, siga estes passos:

1. Navegue para a sua conta de armazenamento.

2. Em Segurança + rede, selecione Encriptação. Por predefinição, a gestão de chaves está definida para chaves geridas pela Microsoft, como mostrado na imagem seguinte.

   

3. Selecione a opção Customer-managed keys.

4. Escolha a opção Select from Key Vault.

5. Selecione Introduzir URI de chave e especifique o URI de chave. Omita a versão da chave do URI se quiser que o Azure Storage verifique automaticamente uma nova versão da chave e a atualize.

6. Selecione a subscrição que contém o cofre de chaves e a chave.

7. No campo Tipo de Identidade, selecione Atribuído pelo Usuário, e depois especifique a identidade gerida com a credencial de identidade federada que criou anteriormente.

8. Expanda a secção Avançado e selecione a aplicação registada multi-inquilino que criou anteriormente no inquilino da ISV.

   

9. Guarde as suas alterações.

Depois de especificar a chave do cofre de chaves no inquilino do cliente, o portal Azure indica que as chaves geridas pelo cliente estão configuradas com essa chave. Também indica que a atualização automática da versão da chave está ativada e exibe a versão da chave atualmente em uso para encriptação. O portal também exibe o tipo de identidade gerida usada para autorizar o acesso ao cofre de chaves, o ID principal para a identidade gerida, e o ID da aplicação da aplicação multi-tenant.

Para configurar chaves geridas pelo cliente entre tenants para uma nova conta de armazenamento com PowerShell, comece por instalar o módulo Az.Storage PowerShell, versão 5.1.0 ou posterior. Este módulo é instalado com o módulo Az PowerShell, versão 9.1.0 ou posterior.

Em seguida, chame Set-AzStorageAccount, fornecendo o ID do recurso para a identidade gerida atribuída ao utilizador que configurou anteriormente na subscrição do fornecedor de software independente (ISV), e o ID da aplicação (cliente) para a aplicação multi-inquilino que configurou anteriormente na subscrição do ISV. Forneça o URI do Cofre de Chaves e o nome da chave do cofre de chaves do cliente.

Lembre-se de substituir os valores de espaço reservado entre parênteses pelos seus próprios valores e de utilizar as variáveis definidas nos exemplos anteriores.

$accountName = "<storage-account>"
$kvUri = "<key-vault-uri>"
$keyName = "<key-name>"
$multiTenantAppId = "<multi-tenant-app-id>"

Set-AzStorageAccount -ResourceGroupName $isvRgName `
    -Name $accountName `
    -KeyvaultEncryption `
    -UserAssignedIdentityId $userIdentity.Id `
    -IdentityType SystemAssignedUserAssigned `
    -KeyName $keyName `
    -KeyVaultUri $kvUri `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id `
    -KeyVaultFederatedClientId $multiTenantAppId 

Para configurar chaves geridas pelo cliente entre inquilinos para uma conta de armazenamento existente com o Azure CLI, primeiro instale o Azure CLI, versão 2.42.0 ou superior. Para obter mais informações sobre a instalação do Azure CLI, consulte Como instalar o Azure CLI.

Em seguida, execute az storage account update, fornecendo o ID do recurso para a identidade gerida atribuída ao usuário que configurou anteriormente na subscrição do ISV, e o ID da aplicação (cliente) para a aplicação multi-inquilino que configurou anteriormente na subscrição do ISV. Forneça o URI do cofre de chaves e o nome da chave do cofre de chaves do cliente.

Lembre-se de substituir os valores de espaço reservado entre parênteses pelos seus próprios valores e de usar as variáveis definidas nos exemplos anteriores.

accountName="<storage-account>"
kvUri="<key-vault-uri>"
keyName="<key-name>"
multiTenantAppId="<multi-tenant-app-id>" # appId value from multi-tenant app

# Get the resource ID for the user-assigned managed identity.
identityResourceId=$(az identity show --name $userIdentityName \
    --resource-group $isvRgName \
    --query id \
    --output tsv)

az storage account update --name $accountName \
    --resource-group $isvRgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-vault $kvUri \
    --encryption-key-name $keyName \
    --encryption-key-source Microsoft.Keyvault \
    --key-vault-user-identity-id $identityResourceId \
    --key-vault-federated-client-id $multiTenantAppId

Para alterar a chave no portal do Azure, siga estas etapas:

1. Navegue até à sua conta de armazenamento e exiba as definições de Encriptação.
2. Selecione o cofre de chaves e escolha uma nova chave.
3. Guarde as suas alterações.

Para alterar a chave com o PowerShell, chame Set-AzStorageAccount e forneça o novo nome da chave e a versão. Se a nova chave estiver num cofre de chaves diferente, então deve também atualizar o URI do cofre de chaves.

Para alterar a chave com o Azure CLI, execute o comando az storage account update e forneça o novo nome e a versão da chave. Se a nova chave estiver num cofre de chaves diferente, então também deve atualizar o URI do cofre de chaves.

Para desativar uma chave gerida pelo cliente no portal do Azure, siga estes passos:

1. Navegue até o cofre de chaves que contém a chave.

2. Em Objetos, selecione Chaves.

3. Clique com o botão direito do rato na chave e selecione Desativar.

   

Para revogar uma chave gerida pelo cliente com o PowerShell, execute o comando Update-AzKeyVaultKey, como demonstrado no exemplo seguinte. Lembre-se de substituir os valores de espaço reservado entre parênteses pelos seus próprios para definir as variáveis, ou use as variáveis definidas nos exemplos anteriores.

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Para revogar uma chave gerida pelo cliente com o Azure CLI, chame o comando az keyvault key set-attributes, conforme mostrado no exemplo seguinte. Não se esqueça de substituir os valores de espaço reservado entre parênteses pelos seus próprios valores para definir as variáveis, ou utilize as variáveis definidas nos exemplos anteriores.

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Para alternar de chaves geridas pelo cliente para chaves geridas pela Microsoft no portal Azure, siga estes passos:

1. Aceda à sua conta de armazenamento.

2. Under Security + networking, select Encryption.

3. Altere Tipo de encriptação para Chaves geridas pela Microsoft.

   

Para alternar de chaves geridas pelo cliente para chaves geridas pela Microsoft com o PowerShell, execute Set-AzStorageAccount com a opção -StorageEncryption, como mostrado no exemplo abaixo. Lembre-se de substituir os valores de espaço reservado entre parênteses pelos seus próprios valores e de usar as variáveis definidas nos exemplos anteriores.

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Para alternar de chaves geridas pelo cliente de volta para chaves geridas pela Microsoft usando o Azure CLI, execute az storage account update e defina o --encryption-key-source parameter para Microsoft.Storage, conforme mostrado no exemplo seguinte. Lembre-se de substituir os valores de espaço reservado entre parênteses pelos seus próprios valores e de usar as variáveis definidas nos exemplos anteriores.

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage