Criptografar o Azure Data Factory com chaves gerenciadas pelo cliente

APLICA-SE A: Azure Data Factory Azure Synapse Analytics

O Azure Data Factory encripta dados inativos, incluindo definições de entidades e quaisquer dados em cache enquanto as execuções estão em curso. Por predefinição, os dados são encriptados com uma chave gerida pela Microsoft criada aleatoriamente e atribuída exclusivamente à sua fábrica de dados. Para obter garantias de segurança adicionais, agora você pode habilitar o recurso Bring Your Own Key (BYOK) com chaves gerenciadas pelo cliente no Azure Data Factory. Quando se especifica uma chave gerida pelo cliente (CMK), o Data Factory utiliza ambas a chave do sistema da fábrica e a CMK para encriptar os dados do cliente. Se algum dos dois estiver em falta, tal resultaria numa Recusa de Acesso aos dados e à fábrica.

O Azure Key Vault é necessário para armazenar chaves geridas pelo cliente. Você pode criar suas próprias chaves e armazená-las em um cofre de chaves ou pode usar as APIs do Cofre de Chaves do Azure para gerar chaves. O Key Vault e o Data Factory devem estar no mesmo tenant do Microsoft Entra e na mesma região, mas podem estar em assinaturas diferentes. Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault?

Sobre chaves gerenciadas pelo cliente

O diagrama a seguir mostra como o Data Factory usa o Microsoft Entra ID e o Azure Key Vault para fazer solicitações usando a chave gerenciada pelo cliente:

A lista a seguir explica as etapas numeradas no diagrama:

1. Um administrador do Cofre de Chaves do Azure concede permissões para chaves de criptografia para a identidade gerenciada associada ao Data Factory
2. Um administrador do Data Factory habilita o recurso-chave gerenciado pelo cliente na fábrica
3. O Data Factory usa a identidade gerenciada associada à fábrica para autenticar o acesso ao Azure Key Vault por meio da ID do Microsoft Entra
4. O Data Factory encapsula a chave de criptografia de fábrica com a chave do cliente no Cofre de Chaves do Azure
5. Para operações de leitura/gravação, o Data Factory envia solicitações ao Cofre de Chaves do Azure para desembrulhar a chave de criptografia de conta e executar operações de criptografia e descriptografia.

Há duas maneiras de adicionar a criptografia de Chave Gerenciada pelo Cliente às fábricas de dados. Um é durante a fase de criação da fábrica no portal do Azure e o outro é após a criação da fábrica, na interface de utilizador do Data Factory.

Pré-requisitos - configurar o Azure Key Vault e gerar chaves

Habilitar exclusão suave e não limpar no Cofre de Chaves do Azure

O uso de chaves gerenciadas pelo cliente com o Data Factory requer que duas propriedades sejam definidas no Cofre de Chaves, Exclusão Suave e Não Limpar. Essas propriedades podem ser habilitadas usando o PowerShell ou a CLI do Azure em um cofre de chaves novo ou existente. Para saber como habilitar essas propriedades em um cofre de chaves existente, consulte Gerenciamento de recuperação do Cofre de Chaves do Azure com proteção de exclusão e limpeza suave

Se estiver a criar um novo Cofre de Chaves do Azure através do portal do Azure, Eliminação Suave e Não Purgar podem ser ativados da seguinte maneira:

Conceder acesso do Data Factory ao Azure Key Vault

Verifique se o Azure Key Vault e o Azure Data Factory estão no mesmo locatário do Microsoft Entra e na mesma região. Você pode usar políticas de acesso ou permissões de controle de acesso:

1. Política de acesso - No cofre da chave, selecione Políticas de acesso ->Adicionar política de acesso -> procure sua identidade gerenciada do Azure Data Factory e conceda as permissões Get, Unwrap Key e Wrap Key no menu suspenso Permissões secretas.

2. Controle de acesso - Sua identidade gerenciada precisará de duas funções no controle de acesso: Usuário de criptografia do Key Vault Crypto Service e Usuário de segredos do Key Vault. No cofre de chaves, selecione Controle de acesso (IAM) ->+ Adicionar ->Adicionar atribuição de função. Selecione uma das funções e, em seguida, selecione Avançar. Em Membros , selecione Identidade gerenciada e, em seguida, selecione membros e procure sua identidade gerenciada do Azure Data Factory. Em seguida, selecione Rever + atribuir. Repita para o segundo papel.

• Se quiser adicionar criptografia de chave gerida pelo cliente após a criação na interface do utilizador do Data Factory, verifique se a identidade de serviço gerido (MSI) do Data Factory tem as permissões corretas para o Azure Key Vault.
• Se você quiser adicionar criptografia de chave gerenciada pelo cliente durante o tempo de criação de fábrica no portal do Azure, verifique se a identidade gerenciada atribuída pelo usuário (UA-MI) tenha as permissões corretas para o Cofre da Chave

Gerar ou carregar chave gerenciada pelo cliente no Azure Key Vault

Você pode criar suas próprias chaves e armazená-las em um cofre de chaves. Ou você pode usar as APIs do Azure Key Vault para gerar chaves. Apenas as chaves RSA são suportadas com encriptação Data Factory. O RSA-HSM também é suportado. Para obter mais informações, consulte Sobre chaves, segredos e certificados.

Ativar as chaves geridas pelo cliente

Operações após a criação da fábrica na interface do usuário do Data Factory

Esta seção percorre o processo para adicionar criptografia de chave gerenciada pelo cliente na interface do usuário do Data Factory, após a criação da fábrica.

1. Certifique-se de que a Identidade de Serviço Gerido (MSI) do Data Factory tenha Get, Unwrap Key e Wrap Key permissões para o Cofre de Chaves.

2. Verifique se o Data Factory está vazio. A fábrica de dados não pode conter recursos, como serviços vinculados, pipelines e fluxos de dados. Por enquanto, a implantação da chave gerenciada pelo cliente em uma fábrica não vazia resultará em um erro.

3. Para localizar o URI da chave no portal do Azure, navegue até o Cofre da Chave do Azure e selecione a configuração Chaves. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões. Selecione uma versão chave para visualizar as configurações

4. Copie o valor do campo Identificador de Chave, que fornece o URI

5. Inicie o portal do Azure Data Factory e, usando a barra de navegação à esquerda, vá para o Portal de Gerenciamento do Data Factory

6. Selecione o ícone de chave gerenciada pelo cliente

7. Insira o URI da chave gerenciada pelo cliente que você copiou antes

8. Selecione Salvar e a criptografia de chave gerenciada pelo cliente está habilitada para o Data Factory

Durante a criação de fábrica no portal do Azure

Esta seção apresenta etapas para adicionar criptografia de chave gerenciada pelo cliente no portal do Azure, durante a implantação de fábrica.

Para criptografar a fábrica, o Data Factory precisa primeiro recuperar a chave gerenciada pelo cliente do Cofre de Chaves. Como a implantação de fábrica ainda está em andamento, a Identidade de Serviço Gerenciado (MSI) ainda não está disponível para autenticação com o Cofre da Chave. Como tal, para usar esta abordagem, o cliente precisa atribuir uma identidade gerida atribuída pelo utilizador (UA-MI) à fábrica de dados. Assumiremos as funções definidas no UA-MI e autenticaremos com o Key Vault.

Para saber mais sobre a identidade gerenciada atribuída pelo usuário, consulte Tipos de identidade gerenciada e Atribuição de função para identidade gerenciada atribuída ao usuário.

1. Certifique-se de que a Identidade Gerenciada Atribuída pelo Usuário (UA-MI) tenha as permissões Get, Unwrap Key e Wrap Key para o Key Vault

2. No separador Avançado, marque a caixa Ativar criptografia usando uma chave gerida pelo cliente

3. Forneça o url para a chave gerenciada pelo cliente armazenada no Cofre da Chave

   Gorjeta

   Se não passar a versão da chave no URL após o '/' final (por exemplo: https://mykeyvault.vault.azure.net/keys/cmk/), a versão será sempre definida como a mais recente se a chave for atualizada no futuro.

   Atualmente, isso só é suportado usando o portal do Azure.

4. Selecione uma identidade gerenciada atribuída ao usuário apropriada para autenticar com o Cofre da Chave do Azure.

5. Continue com a implantação de fábrica.

Atualizar versão da chave

Ao criar uma nova versão de uma chave, atualize o data factory para usar a nova versão:

1. Localize o URI da nova versão de chave através do Portal do Cofre de Chaves do Azure:

   1. Navegue até o Azure Key Vault e selecione a opção Chaves.
   2. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões.
   3. Selecione uma versão chave para visualizar as configurações.

2. Copie o valor do campo Identificador de Chave, que fornece o URI.

3. Inicie o portal do Azure Data Factory e, usando a barra de navegação à esquerda, selecione o Portal de Gerenciamento do Data Factory.

4. Selecione a configuração Chave gerenciada pelo cliente .

5. Insira o URI da chave gerenciada pelo cliente que você copiou antes.

6. Selecione Salvar e o Data Factory agora será criptografado com a nova versão de chave.

Use uma chave diferente

Para alterar a chave usada para a criptografia do Data Factory, você precisa atualizar manualmente as configurações no Azure Data Factory:

1. Localize o URI da nova versão de chave através do Portal do Cofre de Chaves do Azure:

   1. Navegue até o Azure Key Vault e selecione a opção Chaves.
   2. Selecione a chave desejada e, em seguida, selecione a chave para visualizar suas versões.
   3. Selecione uma versão chave para visualizar as configurações.

2. Copie o valor do campo Identificador de Chave, que fornece o URI.

3. Inicie o portal do Azure Data Factory e, usando a barra de navegação à esquerda, selecione o Portal de Gerenciamento do Data Factory.

4. Selecione a configuração Chave gerenciada pelo cliente .

5. Insira o URI para selecionar que você copiou antes.

6. Selecione Salvar e o Data Factory agora será criptografado com a nova versão de chave.

Desativar chaves gerenciadas pelo cliente

Por design, uma vez que o recurso de seleção está ativado, você não pode remover a etapa de segurança extra. Sempre esperamos que uma chave fornecida pelo cliente criptografe a fábrica e os dados.

Chave gerida pelo cliente e integração contínua e entrega contínua

Por padrão, a configuração CMK não está incluída no modelo ARM (Azure Resource Manager) de fábrica. Para incluir as configurações de criptografia de chave gerenciada pelo cliente no modelo ARM para integração contínua (CI/CD):

1. Verifique se a fábrica está no modo Git
2. Navegue até o portal de gerenciamento - seção de chaves gerenciadas pelo cliente
3. Marque a opção Incluir no modelo ARM

As seguintes configurações serão adicionadas no modelo ARM. Essas propriedades podem ser parametrizadas em pipelines de Integração Contínua e Entrega editando a configuração de parâmetros do Azure Resource Manager

Conteúdos relacionados

Leia os tutoriais para saber como utilizar o Data Factory em mais cenários.