Configurar a criptografia de chave gerenciada pelo cliente em repouso na Solução VMware do Azure

Este artigo ilustra como criptografar chaves de criptografia de chave VMware vSAN (KEKs) com chaves gerenciadas pelo cliente (CMKs) gerenciadas por uma instância do Azure Key Vault de propriedade do cliente.

Quando as criptografias CMK são ativadas na sua nuvem privada do Azure VMware Solution, o Azure VMware Solution usa o CMK do seu cofre de chaves para criptografar os KEKs vSAN. Cada host ESXi que participa do cluster vSAN usa chaves de criptografia de disco (DEKs) geradas aleatoriamente que o ESXi usa para criptografar dados de disco em repouso. O vSAN criptografa todas as DEKs com um KEK fornecido pelo sistema de gerenciamento de chaves da Solução VMware do Azure. A nuvem privada da Solução VMware do Azure e o cofre de chaves não precisam estar na mesma assinatura.

Quando gere as suas próprias chaves de encriptação, pode:

Controle o acesso do Azure às chaves vSAN.
Gerencie centralmente o ciclo de vida das CMKs.
Revogue o acesso do Azure ao KEK.

O recurso CMKs suporta os seguintes tipos de chave e seus tamanhos de chave:

RSA: 2048, 3072, 4096
RSA-HSM: 2048, 3072, 4096

Topologia

The following diagram shows how Azure VMware Solution uses Microsoft Entra ID and a key vault to deliver the CMK.

Pré-requisitos

Antes de começar a habilitar a funcionalidade CMK, verifique se os seguintes requisitos são atendidos:

Você precisa de um cofre de chaves para usar a funcionalidade CMK. Se você não tiver um cofre de chaves, poderá criar um usando Guia de início rápido: criar um cofre de chaves usando o portal do Azure.
Se você habilitou o acesso restrito ao Cofre da Chave, precisará permitir que o Microsoft Trusted Services ignore o firewall do Cofre da Chave. Vá para Configurar configurações de rede do Azure Key Vault para saber mais.

Nota

After firewall rules are in effect, users can only perform Key Vault data plane operations when their requests originate from allowed VMs or IPv4 address ranges. Esta restrição também se aplica ao acesso ao Cofre da Chave a partir do portal do Azure. It also affects the Key Vault Picker by Azure VMware Solution. Os utilizadores poderão ver uma lista de cofres de chaves, mas não listar chaves, se as regras de firewall impedirem a máquina cliente ou se o utilizador não tiver permissão para listar no Cofre de Chaves.
Habilite a identidade atribuída pelo sistema em sua nuvem privada da Solução VMware do Azure se você não a habilitou durante o provisionamento de datacenter definido por software (SDDC).
- Portal
- Azure CLI
Para ativar a identidade atribuída pelo sistema:
1. Inicie sessão no portal do Azure.
2. Vá para Azure VMware Solution e localize sua nuvem privada.
3. No painel mais à esquerda, abra Gerenciar e selecione Identidade.
4. Em Sistema atribuído, selecione Ativar>Salvar. A identidade atribuída ao sistema agora deve ser habilitada.
After System Assigned identity is enabled, you see the tab for Object ID. Anote a ID do objeto para uso posterior.
Obtenha o ID do recurso da nuvem privada e salve-o em uma variável. Você precisa desse valor na próxima etapa para atualizar o recurso com a identidade Atribuída pelo Sistema.
```
privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
```
Para configurar a identidade atribuída ao sistema na nuvem privada da Solução VMware do Azure com a CLI do Azure, chame az-resource-update e forneça a variável para a ID de recurso de nuvem privada que você recuperou anteriormente.
```
az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
```
Configure a política de acesso ao cofre de chaves para conceder permissões à identidade gerenciada. You use it to authorize access to the key vault.
- Portal
- Azure CLI
1. Inicie sessão no portal do Azure.
2. Vá para Cofres de chaves e localize o cofre de chaves que pretendes usar.
3. No painel mais à esquerda, em Configurações, selecione Políticas de acesso.
4. Em Políticas de acesso, selecione Adicionar Política de Acesso e, em seguida:
  1. In the Key Permissions dropdown, choose Select, Get, Wrap Key, and Unwrap Key.
  2. Under Select principal, select None selected. Abre-se uma nova janela Principal com uma caixa de pesquisa.
  3. Na caixa de pesquisa, cole a ID do Objeto da etapa anterior. Ou procure o nome da nuvem privada que você deseja usar. Selecione Select quando terminar.
  4. Selecione ADD.
  5. Verifique se a nova política aparece na seção Aplicativo da política atual.
  6. Selecione Salvar para confirmar alterações.
Obtenha o ID principal para a identidade gerenciada atribuída ao sistema e salve-o em uma variável. You need this value in the next step to create the key vault access policy.
```
principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
```
Para configurar a política de acesso ao cofre de chaves com a CLI do Azure, chame az keyvault set-policy. Forneça a variável para o ID principal que você recuperou anteriormente para a identidade gerenciada.
```
az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
```
Learn more about how to assign a Key Vault access policy.

Ciclo de vida da versão chave gerenciada pelo cliente

Você pode alterar a CMK criando uma nova versão da chave. A criação de uma nova versão não interrompe o fluxo de trabalho da máquina virtual (VM).

Na Solução VMware do Azure, a rotação da versão da chave CMK depende da configuração de seleção de chaves escolhida durante a configuração da CMK.

Key selection setting 1

Um cliente permite a criptografia CMK sem fornecer uma versão de chave específica para CMK. A Solução VMware do Azure seleciona a versão de chave mais recente para CMK no cofre de chaves do cliente para criptografar os vSAN KEKs. Azure VMware Solution tracks the CMK for version rotation. Quando uma nova versão da chave CMK no Cofre da Chave é criada, ela é capturada automaticamente pela Solução VMware do Azure para criptografar vSAN KEKs.

Nota

A Solução VMware no Azure pode levar até 10 minutos para detetar uma nova versão de chave com rotação automática.

Key selection setting 2

Um cliente pode habilitar a criptografia CMK para uma versão de chave CMK especificada para fornecer o URI da versão completa da chave na opção Enter Key from URI . Quando a chave atual do cliente expirar, ele precisará estender a expiração da chave CMK ou desabilitar a CMK.

Enable CMK with system-assigned identity

A identidade atribuída ao sistema é restrita a uma por recurso e está vinculada ao ciclo de vida do recurso. Você pode conceder permissões para a identidade gerenciada no recurso do Azure. A identidade gerenciada é autenticada com o Microsoft Entra ID, portanto, você não precisa armazenar nenhuma credencial no código.

Important

Certifique-se de que o Key Vault está na mesma região que a nuvem privada da Solução VMware do Azure.

Portal
Azure CLI

Vá para a sua instância do Key Vault e forneça acesso ao SDDC no Key Vault usando o ID principal capturado no separador Ativar MSI.

Na nuvem privada da Solução VMware do Azure, em Gerenciar, selecione Criptografia. Em seguida, selecione Chaves gerenciadas pelo cliente (CMKs).
CMK provides two options for Key Selection from Key Vault:

Opção 1:
1. Under Encryption key, choose select from Key Vault.
2. Selecione o tipo de criptografia. Then select the Select Key Vault and key option.
3. Select the Key Vault and key from the dropdown. Em seguida, escolha Selecionar.
Opção 2:
1. Em Chave de criptografia, selecione Inserir chave do URI.
2. Insira um URI de chave específico na caixa URI de chave.
Important

Se desejar selecionar uma versão de chave específica em vez da versão mais recente selecionada automaticamente, será necessário especificar o URI da chave com a versão da chave. Essa escolha afeta o ciclo de vida da versão da chave CMK.

A opção Key Vault Managed Hardware Security Module (HSM) só é suportada com a opção Key URI.
Selecione Salvar para conceder acesso ao recurso.

Para configurar CMKs para uma nuvem privada do Azure VMware Solution com atualização automática da versão da chave, chame az vmware private-cloud enable-cmk-encryption. Obtenha o URL do cofre de chaves e salve-o em uma variável. Você precisa desse valor na próxima etapa para habilitar a CMK.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

As opções 1 e 2 a seguir demonstram a diferença entre não fornecer uma versão de chave específica e fornecer uma.

Opção 1

Este exemplo mostra que o cliente não fornece uma versão de chave específica.

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Opção 2

Forneça a versão da chave como um argumento para usar CMKs com uma versão de chave específica, conforme mencionado anteriormente na opção 2 do portal do Azure. O exemplo a seguir mostra o cliente fornecendo uma versão de chave específica.

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Mudar de uma chave gerenciada pelo cliente para uma chave gerenciada pela Microsoft

Quando um cliente deseja mudar de uma CMK para uma chave gerenciada pela Microsoft (MMK), a carga de trabalho da VM não é interrompida. Para fazer a alteração de uma CMK para uma MMK:

Em Gerir, selecione Encriptação a partir da nuvem privada da Solução VMware do Azure.
Selecione Chaves gerenciadas pela Microsoft (MMK).
Selecione Guardar.

Limitações

Key Vault must be configured as recoverable. You need to:

Configure o Key Vault com a opção Eliminação Suave.
Turn on Purge Protection to guard against force deletion of the secret vault, even after soft delete.

A atualização das configurações de CMK não funcionará se a chave tiver expirado ou se a chave de acesso da Solução VMware do Azure tiver sido revogada.

Resolução de problemas e melhores práticas

Aqui estão dicas de solução de problemas para alguns problemas comuns que você pode encontrar e também as práticas recomendadas a serem seguidas.

Eliminação acidental de uma chave

Se você excluir acidentalmente sua chave no cofre de chaves, a nuvem privada não poderá executar algumas operações de modificação de cluster. To avoid this scenario, we recommend that you keep soft deletes enabled in the key vault. Essa opção garante que, se uma chave for excluída, ela possa ser recuperada dentro de um período de 90 dias como parte da retenção padrão de exclusão suave. Se estiver dentro do período de 90 dias, pode restaurar a chave para resolver o problema.

Restore key vault permission

Se você tiver uma nuvem privada que perdeu o acesso à CMK, verifique se a Identidade do Sistema Gerenciado (MSI) requer permissões no cofre de chaves. The error notification returned from Azure might not correctly indicate MSI requiring permissions in the key vault as the root cause. Lembre-se, as permissões necessárias são get, wrapKeye unwrapKey. Consulte a etapa 4 em Pré-requisitos.

Corrigir uma chave expirada

If you aren't using the autorotate function and the CMK expired in Key Vault, you can change the expiration date on the key.

Restaurar o acesso ao cofre de chaves

Ensure that the MSI is used for providing private cloud access to the key vault.

Supressão do MSI

Se você excluir acidentalmente o MSI associado a uma nuvem privada, precisará desativar a CMK. Em seguida, siga as etapas para ativar a CMK desde o início.

Próximos passos

Saiba mais sobre o backup e a restauração do Azure Key Vault.
Saiba mais sobre a recuperação do Azure Key Vault.

Feedback

Esta página foi útil?

Last updated on 2025-04-13