Configurar a CMK (chave gerenciada pelo cliente) para criptografia de dados em repouso para um cluster do Azure DocumentDB

Neste artigo, você aprenderá a configurar a CMK (chave gerenciada pelo cliente) para criptografia de dados em repouso no Azure DocumentDB. As etapas neste guia configuram um novo cluster do Azure DocumentDB, um cluster de réplica ou um cluster restaurado. A instalação do CMK usa a chave gerenciada pelo cliente armazenada em um Azure Key Vault e uma identidade gerenciada atribuída pelo usuário.

Pré-requisitos

Uma assinatura do Azure
- Se você não tiver uma assinatura do Azure, crie uma conta gratuita

Utilize o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Introdução ao Azure Cloud Shell.
Se você preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se você estiver executando no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
- Se você estiver usando uma instalação local, entre na CLI do Azure usando o comando az login . Para concluir o processo de autenticação, siga as etapas exibidas em seu terminal. Para obter outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.
- Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar e gerenciar extensões com a CLI do Azure.
- Execute o comando az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para atualizar para a versão mais recente, execute az upgrade.

Preparar a identidade gerenciada atribuída pelo usuário e o Azure Key Vault

Para configurar a criptografia de chave gerenciada pelo cliente no cluster do Azure DocumentDB para MonogDB, você precisa de uma identidade gerenciada atribuída pelo usuário, uma instância do Azure Key Vault e permissões configuradas corretamente.

Importante

A identidade gerenciada atribuída pelo usuário e a instância do Azure Key Vault usada para configurar o CMK devem estar na mesma região do Azure em que o cluster do Azure DocumentDB está hospedado e todos pertencem ao mesmo locatário da Microsoft.

Usando o portal do Azure:

Crie uma identidade gerenciada atribuída pelo usuário na região do cluster, se você ainda não tiver uma.
Crie um Azure Key Vault na região do cluster, se você ainda não tiver um repositório de chaves criado. Verifique se você atende aos requisitos. Além disso, siga as recomendações antes de configurar o repositório de chaves, criar a chave e atribuir as permissões necessárias à identidade gerenciada atribuída pelo usuário.
Crie uma chave no repositório de chaves.
Conceda permissões de identidade gerenciada atribuídas pelo usuário à instância do Azure Key Vault, conforme descrito nos requisitos.

Configurar a criptografia de dados com a chave gerenciada pelo cliente durante o provisionamento do cluster

Portal
APIs REST

Durante o provisionamento de um novo cluster do Azure DocumentDB, as chaves gerenciadas pelo serviço ou gerenciadas pelo cliente para criptografia de dados de cluster são configuradas na guia Criptografia . Selecione a chave gerenciada pelo cliente para criptografia de dados.
Na seção Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.
Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que o cluster use para acessar a chave de criptografia de dados armazenada em um cofre de chaves do Azure.
Selecione Adicionar.
Em Método de seleção de chave, escolha Selecionar uma chave.
Na seção Chave, selecione Alterar chave.
No painel Selecionar uma chave, escolha o Azure Key Vault em Cofre de chaves e a chave de criptografia em Chave e confirme as opções escolhendo Selecionar.

Importante

A instância do Azure Key Vault selecionada deve estar na mesma região do Azure em que o cluster do Azure DocumentDB será hospedado.
Confirme a identidade gerenciada atribuída pelo usuário selecionada e a chave de criptografia na guia Criptografia e escolha Revisar + criar para criar o cluster.

Você pode habilitar a criptografia de dados com a chave de criptografia atribuída pelo usuário, ao provisionar um novo cluster, por meio de um az rest comando.

Crie um arquivo JSON com o conteúdo a seguir. Substitua os espaços reservados que começam com o símbolo $ pelos valores reais e salve o arquivo.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "administrator": {
          "userName": "$adminName",
          "password": "$complexPassword"
        },
        "serverVersion": "8.0",
        "storage": {
          "sizeGb": 32
        },
        "compute": {
          "tier": "M40"
        },
        "sharding": {
          "shardCount": 1
        },
        "highAvailability": {
          "targetMode": "ZoneRedundantPreferred"
        },
      "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Observação

A keyEncryptionKeyUrl deve conter o nome da chave, mas não uma versão de chave específica.

Execute o seguinte comando da CLI do Azure para fazer uma chamada à API REST para criar um cluster do Azure DocumentDB. Substitua os espaços reservados na seção de variáveis e o nome de arquivo do parâmetro --body na linha de comando az rest pelos valores reais.

# Define your variables
$randomIdentifier = (New-Guid).ToString().Substring(0,8)
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="DocumentDB"
$mongoClustersName="msdocscr$randomIdentifier"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Atualizar as configurações de criptografia de dados no cluster com o CMK habilitado

No caso de clusters existentes que foram implantados com a criptografia de dados por meio de uma chave gerenciada pelo cliente, é possível fazer várias alterações de configuração. Você pode alterar o cofre de chaves em que a chave de criptografia está armazenada e a chave de criptografia usada como uma chave gerenciada pelo cliente. Você também pode alterar a identidade gerenciada atribuída pelo usuário usada pelo serviço para acessar a chave de criptografia mantida no repositório de chaves.

Portal
APIs REST

Na barra lateral do cluster, em Configurações, selecione Criptografia de dados.
Na seção Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.
Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que o cluster use para acessar a chave de criptografia de dados armazenada em um cofre de chaves do Azure.
Selecione Adicionar.
Em Método de seleção de chave, escolha Selecionar uma chave.
Na Chave, escolha Alterar chave.
No painel Selecionar uma chave, escolha o Azure Key Vault em Cofre de chaves e a chave de criptografia em Chave e confirme as opções escolhendo Selecionar.

Importante

A instância selecionada do Azure Key Vault deve estar na mesma região do Azure em que o cluster do Azure DocumentDB está hospedado.
Confirme a identidade gerenciada atribuída pelo usuário selecionada e a chave de criptografia na página criptografia de dados e selecione Salvar para confirmar suas seleções e criar cluster de réplica.

Você pode alterar a identidade gerenciada atribuída pelo usuário e a chave de criptografia para a criptografia de dados em um cluster existente por meio de uma chamada à API REST.

Crie um arquivo JSON com o conteúdo a seguir. Substitua os espaços reservados que começam com o símbolo $ pelos valores reais e salve o arquivo.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Observação

A keyEncryptionKeyUrl deve conter o nome da chave, mas não uma versão de chave específica.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Se você só quiser alterar a identidade gerenciada atribuída pelo usuário usada para acessar a chave, só alterar a chave usada para a criptografia de dados ou alterar as duas ao mesmo tempo, forneça todos os parâmetros listados no arquivo JSON.

Se a chave ou a identidade gerenciada atribuída pelo usuário especificada não existir, você receberá o erro.

As identidades passadas como parâmetros, se existirem e forem válidas, serão adicionadas automaticamente à lista de identidades gerenciadas atribuídas pelo usuário associadas ao cluster do Azure DocumentDB. Esse é o caso, mesmo que o comando falhe mais tarde com algum outro erro.

Alterar o modo de criptografia de dados em clusters existentes

A decisão de usar uma chave gerenciada pelo sistema ou uma CMK (chave gerenciada pelo cliente) para a criptografia de dados só pode ser tomada no momento da criação do cluster. Depois de tomar essa decisão e criar o cluster, você não poderá alternar entre essas duas opções. Para criar uma cópia do cluster do Azure DocumentDB com uma opção de criptografia diferente, você pode criar um cluster de réplica ou executar uma restauração de cluster e selecionar o novo modo de criptografia durante o cluster de réplica ou a criação do cluster restaurado.

Habilitar ou desabilitar a criptografia de dados cmk (chave gerenciada pelo cliente) durante a criação do cluster de réplica

Siga estas etapas para criar um cluster de réplica com criptografia de dados CMK ou SMK para habilitar ou desabilitar o CMK em um cluster de réplica.

Portal
APIs REST

Na barra lateral do cluster, em Configurações, selecione Distribuição global.
Selecione Adicionar nova réplica de leitura.
Dê um nome ao cluster de réplica no campo Nome da réplica de leitura.
Selecione uma região na região de réplica de leitura. O cluster de réplica é hospedado na região do Azure selecionada.

Observação

O cluster de réplica sempre é criado no mesmo grupo de recursos e na mesma assinatura do Azure do cluster primário (leitura/gravação).
Na seção Criptografia de dados , selecione a chave gerenciada pelo cliente para habilitar o CMK ou a chave gerenciada pelo serviço para desabilitar o CMK no cluster de réplica.
Na seção Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.
Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que o cluster use para acessar a chave de criptografia de dados armazenada em um cofre de chaves do Azure.
Selecione Adicionar.
Em Método de seleção de chave, escolha Selecionar uma chave.
Na Chave, escolha Alterar chave.
No painel Selecionar uma chave, escolha o Azure Key Vault em Cofre de chaves e a chave de criptografia em Chave e confirme as opções escolhendo Selecionar.
Confirme a identidade gerenciada atribuída pelo usuário selecionada e a chave de criptografia na página de distribuição global e selecione Salvar para confirmar suas seleções e criar cluster de réplica.

Para criar um cluster de réplica com o CMK habilitado na mesma região, siga estas etapas.

Crie um arquivo JSON com o conteúdo a seguir. Substitua os espaços reservados que começam com o símbolo $ pelos valores reais e salve o arquivo.

{
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
              "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
            }
          },
      "location": "$targetRegionName",
          "properties": {
          	"createMode": "GeoReplica",
                "replicaParameters": {
                  "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$sourceClusterName",
                  "sourceLocation": "sourceRegionName"
                },
                "encryption": {
                  "customerManagedKeyEncryption": {
                    "keyEncryptionKeyIdentity": {
                      "identityType": "UserAssignedIdentity",
                      "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                    },
                    "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                  }
                }
          }
    }

Observação

A keyEncryptionKeyUrl deve conter o nome da chave, mas não uma versão de chave específica.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Habilitar ou desabilitar a criptografia de dados CMK (chave gerenciada pelo cliente) durante a restauração do cluster

O processo de restauração cria um novo cluster com a mesma configuração na mesma região, assinatura e grupo de recursos do Azure que o original. Siga estas etapas para criar um cluster restaurado com CMK ou SMK habilitado.

Portal
APIs REST

Selecione um cluster existente do Azure DocumentDB.
Na barra lateral do cluster, em Configurações, selecione Restauração Pontual.
Selecione uma data e forneça uma hora (no fuso horário UTC) nos campos de data e hora.
Insira um nome de cluster no campo Restaurar nome do cluster de destino .
Insira um nome de administrador de cluster para o cluster restaurado no campo nome de usuário administrador.
Insira uma senha para a função de administrador nos campos Senha e Confirmação de senha .
Na seção Criptografia de dados , selecione a chave gerenciada pelo cliente para habilitar o CMK. Se você precisar ter o CMK desabilitado no cluster restaurado, selecione a chave gerenciada pelo serviço.
Na seção Identidade gerenciada atribuída pelo usuário, selecione Alterar identidade.
Na lista de identidades gerenciadas atribuídas pelo usuário, selecione aquela que você deseja que o cluster use para acessar a chave de criptografia de dados armazenada em um cofre de chaves do Azure.
Selecione Adicionar.
Em Método de seleção de chave, escolha Selecionar uma chave.
Na Chave, escolha Alterar chave.
No painel Selecionar uma chave, escolha o Azure Key Vault em Cofre de chaves e a chave de criptografia em Chave e confirme as opções escolhendo Selecionar.
Selecione Enviar para iniciar a restauração do cluster.

Para restaurar um cluster com o CMK habilitado, siga estas etapas.

Crie um arquivo JSON com o conteúdo a seguir. Substitua os espaços reservados que começam com o símbolo $ pelos valores reais e salve o arquivo.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
            "administrator": {
              "userName": "$adminName"
            },
      	"createMode": "PointInTimeRestore",
            "restoreParameters": {
              "pointInTimeUTC": "yyyy-mm-ddThh:mm:ssZ",
              "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$restoredClusterName"
            },
            "encryption": {
              "customerManagedKeyEncryption": {
                "keyEncryptionKeyIdentity": {
                  "identityType": "UserAssignedIdentity",
                  "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                },
                "keyEncryptionKeyUrl": "$encryptionKeyUrl"
              }
            }
      }
}

Observação

A keyEncryptionKeyUrl deve conter o nome da chave, mas não uma versão de chave específica.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Depois que o cluster restaurado for criado, examine a lista de tarefas pós-restauração.

Comentários

Esta página foi útil?

Last updated on 2025-11-19

Compartilhar via

Configurar a CMK (chave gerenciada pelo cliente) para criptografia de dados em repouso para um cluster do Azure DocumentDB

Pré-requisitos

Preparar a identidade gerenciada atribuída pelo usuário e o Azure Key Vault

Configurar a criptografia de dados com a chave gerenciada pelo cliente durante o provisionamento do cluster

Atualizar as configurações de criptografia de dados no cluster com o CMK habilitado

Alterar o modo de criptografia de dados em clusters existentes

Habilitar ou desabilitar a criptografia de dados cmk (chave gerenciada pelo cliente) durante a criação do cluster de réplica

Habilitar ou desabilitar a criptografia de dados CMK (chave gerenciada pelo cliente) durante a restauração do cluster

Conteúdo relacionado

Comentários

Recursos adicionais