Usar chaves gerenciadas pelo cliente no Azure Key Vault for Azure Data Box

Os dispositivos do Azure Data Box são protegidos com uma senha para evitar invasões indesejadas. Esta palavra-passe é formalmente conhecida como a chave de desbloqueio do dispositivo e é protegida através de uma chave de encriptação. Por padrão, a chave de criptografia é uma chave gerenciada pela Microsoft. Para um controlo mais direto, pode fornecer a sua própria chave gerida.

Usar sua própria chave gerenciada pelo cliente afeta apenas como a chave de desbloqueio do dispositivo é criptografada. Isso não afeta como os dados armazenados no dispositivo são criptografados.

Para manter este nível de controlo durante todo o processo de encomenda, utilize uma chave gerida pelo cliente quando criar a encomenda. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.

Este artigo descreve como você pode usar chaves gerenciadas pelo cliente com um pedido existente do Azure Data Box por meio do portal do Azure. Este artigo aplica-se aos dispositivos Azure Data Box, Data Box Next-gen e Data Box Heavy.

Requisitos

A chave gerenciada pelo cliente para um pedido Data Box deve atender aos seguintes requisitos:

A chave deve ser uma chave RSA de 2.048 bits ou maior.
A chave deve ser criada e armazenada num Cofre de Chaves do Azure que tenha os comportamentos de Eliminação temporária e Não eliminar habilitados. Você pode criar um cofre de chaves e uma chave ao criar ou atualizar seu pedido. Para obter mais informações, consulte O que é o Azure Key Vault?.
As permissões Get, UnwrapKey e WrapKey para a chave devem ser ativadas no Cofre de Chaves do Azure associado. Essas permissões devem permanecer em vigor durante o tempo de vida do pedido. A modificação dessas permissões impede que a chave gerenciada pelo cliente fique acessível durante o processo de Cópia de Dados.

Ativar chave

Para habilitar uma chave gerenciada pelo cliente para um pedido existente do Data Box no portal do Azure, siga estas etapas:

Navegue até a página Visão geral para obter um pedido do Data Box.
No grupo Configurações , selecione Criptografia. No painel Tipo de criptografia , selecione a opção Chave gerenciada pelo cliente . Em seguida, selecione Selecionar uma chave e cofre de chaves para abrir a página Selecionar chave do Cofre de Chaves do Azure .
The Select key from Azure Key Vault page opens, and your subscription is automatically populated in the drop-down list. Selecione um cofre de chaves existente na lista suspensa Cofre de chaves ou selecione Criar novo para criar um novo cofre de chaves.

To create a new key vault, select your subscription and resource group form the corresponding Subscription and Resource group drop-down lists. Como alternativa, você pode criar um novo grupo de recursos selecionando Criar novo em vez de preencher a opção Grupo de recursos .

Select the desired values for the Key vault name, Region, and Pricing tier drop-down lists. In the Recovery options group, ensure that Soft delete and Purge protection are enabled. Provide a value for the Days to retain deleted vaults field, and then select Review + Create.

Reveja as informações do cofre de chaves e, em seguida, selecione Criar. Você será notificado de que a criação do cofre de chaves foi concluída.
Na tela Selecionar chave do Cofre de Chaves do Azure, você pode selecionar uma chave existente no cofre de chaves ou criar uma nova.

Se quiser criar uma nova chave, selecione Criar nova. Tem de utilizar uma chave RSA igual ou superior a 2.048 bits.

Insira um nome para sua chave, aceite os outros padrões e selecione Criar. Você será notificado de que uma chave foi criada no cofre de chaves.
For Version, you can select an existing key version from the drop-down list.

Se quiser gerar uma nova versão de chave, selecione Criar nova.

Escolha as configurações para a nova versão da chave e selecione Criar.
After selecting a key vault, key, and key version, choose Select.

As configurações de tipo de criptografia mostram o cofre de chaves e a chave que escolheste.
Selecione o tipo de identidade a ser usado para gerenciar a chave gerenciada pelo cliente para este recurso. Você pode usar a identidade atribuída ao sistema que foi gerada durante a criação do pedido ou escolher uma identidade atribuída pelo usuário.

Uma identidade atribuída ao usuário é um recurso independente que você pode usar para gerenciar o acesso aos recursos. Para obter mais informações, consulte Tipos de identidade gerenciados.

Para atribuir uma identidade de usuário, selecione Usuário atribuído. Em seguida, selecione Selecionar uma identidade de usuário e selecione a identidade gerenciada que você deseja usar.

Não é possível criar uma nova identidade de usuário aqui. Para saber como criar uma, consulte Criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure.

A identidade de usuário selecionada é mostrada nas configurações de tipo de criptografia.
Selecione Salvar para salvar as configurações atualizadas do tipo de criptografia.

O URL da chave é exibido em Tipo de criptografia.

Important

Você deve habilitar as permissões Get, UnwrapKey e WrapKey na chave. Para definir as permissões na CLI do Azure, consulte az keyvault set-policy.

Alterar chave

To change the key vault, key, and key version for the customer-managed key you're currently using, follow these steps:

Na tela Visão geral do seu pedido Data Box, vá para Criptografia de configurações> e selecione Alterar chave.
Escolha Selecionar um cofre de chaves diferente e uma chave diferente.
O ecrã Selecionar chave do cofre de chaves mostra a subscrição, mas não mostra nenhum cofre de chaves, chave ou versão da chave. Você pode fazer qualquer uma das seguintes alterações:
- Selecione uma chave diferente no mesmo cofre de chaves. Selecione o repositório de chaves antes de selecionar a chave e a versão.
- Selecione um cofre de chaves diferente e atribua uma nova chave.
- Altere a versão da chave atual.
Quando terminar as alterações, escolha Selecionar.
Selecione Guardar.

Important

Você deve habilitar as permissões Get, UnwrapKey e WrapKey na chave. Para definir as permissões na CLI do Azure, consulte az keyvault set-policy.

Alterar identidade

Use as seguintes etapas para atualizar a identidade que gerencia o acesso à chave gerenciada pelo cliente para este pedido:

Na tela Visão geral do seu pedido de Data Box concluído, vá para Configurações>Criptografia.
Faça uma das seguintes alterações:
- Para alterar para uma identidade de usuário diferente, selecione Selecionar uma identidade de usuário diferente. Em seguida, selecione uma identidade diferente no painel do lado direito da tela e escolha Selecionar.
- Para alternar para a identidade atribuída pelo sistema gerada durante a criação do pedido, selecione Sistema atribuído por Selecionar tipo de identidade.
Selecione Guardar.

Usar chave gerenciada da Microsoft

Para mudar de usar uma chave gerenciada pelo cliente para a chave gerenciada pela Microsoft para seu pedido, siga estas etapas:

Na tela Visão geral do seu pedido de Data Box concluído, vá para Configurações>Criptografia.
Por Selecionar tipo, selecione Chave gerenciada pela Microsoft.
Selecione Guardar.

Depurar erros

If you receive any errors related to your customer-managed key, use the following table to troubleshoot.

Código de erro	Detalhes do erro	Resolução
SsemUserErrorEncryptionKeyDisabled	Não foi possível buscar a chave de acesso: a chave gerenciada pelo cliente está desativada.	Enable the key version.
SsemUserErrorEncryptionKeyExpired	Não foi possível buscar a chave de acesso: a chave gerenciada pelo cliente expirou.	Enabling the key version.
SsemUserErrorKeyDetailsNotFound	Não foi possível buscar a chave de acesso: a chave gerenciada pelo cliente não pode ser encontrada.	If the key vault is deleted: If the deletion occurred within the purge-protection duration period, use the steps at Recover a key vault. Se a proteção contra limpeza estiver desativada ou se a exclusão tiver ocorrido além da duração da proteção contra limpeza, a chave gerenciada pelo cliente não poderá ser recuperada. Se o cofre de chaves tiver passado por uma migração de locatário, ele pode ser recuperado utilizando um dos seguintes métodos: Revert the key vault back to the old tenant. Defina `Identity = None`e, em seguida, reverta o valor para `Identity = SystemAssigned`. This action deletes and recreates the identity. Habilite as permissões `Get`, `WrapKey` e `UnwrapKey` para a nova identidade dentro da política de acesso do cofre de chaves.
SsemUserErrorKeyVaultBadRequestException	Applied a customer-managed key but the key access hasn't been granted or has been revoked, or unable to access key vault due to firewall being enabled.	Para habilitar o acesso à chave gerenciada pelo cliente, adicione a identidade selecionada ao seu cofre de chaves. Se o cofre de chaves tiver o firewall habilitado, alterne para uma identidade atribuída ao sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKeyVaultDetailsNotFound	Não foi possível buscar a chave de acesso, pois o cofre de chaves associado para a chave gerenciada pelo cliente não pôde ser encontrado.	Se você excluiu o cofre de chaves, não poderá recuperar a chave gerenciada pelo cliente. If you migrated the key vault to a different tenant, see Change a key vault tenant ID after a subscription move. If you deleted the key vault: Yes, if it is in the purge-protection duration, using the steps at Recover a key vault. No, if it is beyond the purge-protection duration. Else if the key vault underwent a tenant migration, yes, it can be recovered using one of the below steps: Revert the key vault back to the old tenant. Defina `Identity = None` e restabeleça o valor para `Identity = SystemAssigned`. Changing the identity value deletes and recreates the identity after the new identity has been created. Enable `Get`, `WrapKey`, and `UnwrapKey` permissions to the new identity in the key vault's Access policy.
SsemUserErrorSystemAssignedIdentityAbsent	Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada.	Yes, check if: Key vault still has the MSI in the access policy. Identity is of type System assigned. Enable `Get`, `WrapKey`, and `UnwrapKey` permissions to the identity in the key vault’s access policy. Essas permissões devem permanecer durante o tempo de vida do pedido. Eles são usados durante a criação do pedido e no início da fase de cópia de dados.
SsemUserErrorUserAssignedLimitReached	A adição de nova Identidade Atribuída ao Usuário falhou quando você atingiu o limite do número total de identidades atribuídas ao usuário que podem ser adicionadas.	Tente novamente a operação com menos identidades de usuário ou remova algumas identidades atribuídas pelo usuário do recurso antes de tentar novamente.
SsemUserErrorCrossTenantIdentityAccessForbidden	Managed identity access operation failed. Nota: Este erro pode ocorrer quando uma subscrição é movida para um inquilino diferente. O cliente tem de mover manualmente a identidade para o novo locatário.	Try adding a different user-assigned identity to your key vault to enable access to the customer-managed key. Or move the identity to the new tenant under which the subscription is present. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorKekUserIdentityNotFound	Aplicou uma chave gerenciada pelo cliente, mas a identidade atribuída ao usuário que tem acesso à chave não foi encontrada no diretório ativo. Observação: esse erro pode ocorrer quando uma identidade de usuário é excluída do Azure.	Try adding a different user-assigned identity to your key vault to enable access to the customer-managed key. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorUserAssignedIdentityAbsent	Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada.	Não foi possível acessar a chave gerenciada pelo cliente. A Identidade Atribuída ao Usuário (UAI) associada à chave é excluída ou o tipo de UAI foi alterado.
SsemUserErrorKeyVaultBadRequestException	Aplicou uma chave gerenciada pelo cliente, mas o acesso à chave não foi concedido ou revogado, ou o cofre de chaves não pôde ser acessado porque um firewall está habilitado.	Para habilitar o acesso à chave gerenciada pelo cliente, adicione a identidade selecionada ao seu cofre de chaves. Se o cofre de chaves tiver um firewall habilitado, alterne para uma identidade atribuída ao sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave.
SsemUserErrorEncryptionKeyTypeNotSupported	O tipo de chave de criptografia não é suportado para a operação.	Habilite um tipo de criptografia suportado na chave - por exemplo, RSA ou RSA-HSM. Para obter mais informações, consulte Tipos de chave, algoritmos e operações.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled	Key vault doesn't have soft delete or purge protection enabled.	Ensure that both soft delete and purge protection are enabled on the key vault.
SsemUserErrorInvalidKeyVaultUrl (Command-line only)	Um URI de cofre de chave inválido foi usado.	Obtenha o URI correto do cofre de chaves. Para obter o URI do cofre de chaves, use Get-AzKeyVault no PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme	Somente HTTPS é suportado para passar o URI do cofre de chaves.	Pass the key vault URI over HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost	O host URI do cofre de chaves não é um host permitido na região geográfica.	Na nuvem pública, o URI do cofre de chaves deve terminar com `vault.azure.net`. Na nuvem do Azure Government, o URI do cofre de chaves deve terminar com `vault.usgovcloudapi.net`.
Erro genérico	Não foi possível buscar a chave de acesso.	Este erro é um erro genérico. Entre em contato com o Suporte da Microsoft para solucionar o erro e determinar as próximas etapas.

Próximos passos

Feedback

Esta página foi útil?

Last updated on 2025-04-12