automation-cloud
latest
false
Importante :
A tradução automática foi aplicada parcialmente neste conteúdo. A localização de um conteúdo recém-publicado pode levar de 1 a 2 semanas para ficar disponível.
UiPath logo, featuring letters U and I in white

Guia de administração do Automation Cloud

Última atualização 18 de dez de 2025

ALE com chaves gerenciadas pelo cliente

Imagem 'Enterprise' Dependendo do seu plano de licenciamento , essa funcionalidade está disponível da seguinte forma:
  • Licenciamento Flex: essa funcionalidade está disponível para os planos de plataforma Padrão e Avançado.
  • Licenciamento Unified Pricing : essa funcionalidade está disponível apenas para o plano de plataforma Enterprise.
AVISO:

Habilitar a chave tem implicações sérias no que diz respeito ao acesso aos dados. Se surgirem problemas importantes, você corre o risco de perder acesso aos seus dados.

A tabela a seguir descreve cenários problemáticos comuns e suas soluções.

Cenário

Solução

Suas credenciais para acessar o Azure Key Vault (AKV) expiraram ou foram excluídas.

Se você ainda puder fazer login usando seu e-mail e senha (não SSO)...

... e se você for um Organization Administrator, poderá atualizar suas credenciais na seção Criptografia da página Admin da organização.

... e se você não for um Organization Administrator, poderá pedir, por meio de um ticket de suporte, para ser promovido a uma função Administrator; então, você poderá atualizar suas credenciais na seção Criptografia da página Admin da organização.

Se você não puder mais fazer login, forneça sua ID da organização por meio de um ticket de suporte, e poderemos convidá-lo e promovê-lo como administrator. Então, você poderá atualizar suas credenciais na seção Criptografia da página Admin da organização.

Após você recuperar o acesso de login, recomendamos que você crie uma nova chave do AKV e um conjunto de credenciais e, depois, configure a chave gerenciada pelo cliente usando essas novas informações, garantindo, assim, que ninguém mais tenha acesso às suas credenciais.

Sua chave do AKV expirou.

Sua chave gerenciada pelo cliente ainda funcionará, mas recomendamos que você mude para uma nova chave.

Sua chave do AKV foi excluída.

Você pode restaurar sua chave do AKV no portal do Azure durante o período de retenção.

Sua chave do AKV foi eliminada, mas ela tinha um backup.

Você pode restaurar a chave no backup do portal do Azure. Por padrão, a chave restaurada tem a mesma ID da original, que você não deve alterar.

Sua chave do AKV foi eliminada e ela não tinha um backup.
AVISO:

Não há solução para esse cenário. Nessa situação, os dados de seus clientes UiPath® foram perdidos.

Visão geral

Além do TDE padrão no nível de armazenamento, certos serviços também empregam a Criptografia Implícita no Nível do Aplicativo (ALE). Isso significa que os dados são criptografados na camada do aplicativo antes de serem armazenados, fornecendo uma camada adicional de segurança.

Além disso, alguns serviços/recursos oferecem uma criptografia opcional orientada pelo usuário, conhecida como ALE opcional (Opt in). Isso dá a você a opção de decidir se esses serviços/recursos devem empregar ALE ou não. Para obter a lista de serviços ou recursos e os tipos de criptografia relevantes para eles, consulte a página dados criptografados em nossa documentação.

Para serviços com ALE, implícitos ou com opção de entrada, você tem a possibilidade de escolher quem gerencia a chave de criptografia. Isso pode ser gerenciado pela UiPath ou por você mesmo. Para ajudar nisso, o Azure Key Vault é compatível com o versionamento secreto, permitindo que você gere um segredo para ser usado na configuração de sua chave no nível de organização.

Após você habilitar a chave gerenciada pelo cliente, dados cujo backup foi feito anteriormente não serão recriptografados, e quaisquer backups existentes serão removidos após expirarem. Apenas novos dados são criptografados usando essa opção.

Chaves gerenciadas pelo cliente explicadas

Na arquitetura de chaves gerenciadas pelo cliente, produtos ou serviços da plataforma do UiPath (como o UiPath Orchestrator ou o UiPath Identity Service) geralmente criptografam dados confidenciais do cliente antes de armazená-los. Quando é necessário o acesso aos dados, o produto ou serviço chama sua infraestrutura de gerenciamento de chaves para obter a chave de descriptografia. Isso proporciona a você controle sobre os dados criptografados no UiPath porque você tem a capacidade de se recusar a retornar a chave.

Esse processo envolve os seguintes componentes:

  • O serviço de gerenciamento de chaves (KMS) - essa é a ferramenta interna da UiPath, desenvolvida para fins de criptografia com chaves.
  • A chave de criptografia de dados (DEK ou KMS DEK) - usada para criptografar dados em texto simples. Em geral, a DEK é gerada pela KMS ou pelo cofre de chaves internos do UiPath e nunca é armazenado em nenhum outro lugar em texto não criptografado.
  • A chave de criptografia de chaves (KEK) - usada para criptografar a DEK. O processo de criptografar uma chave é conhecido como envolvimento da chave. Em geral, a KEK é gerada por você, é armazenada em seu cofre de chaves e constitui a chave real gerenciada pelo cliente, que é controlada por seu serviço de gerenciamento de chaves.
  • A chave de criptografia de dados (EDEK) - é a DEK que foi envolvida pela KEK. Em geral, essa chave é armazenada pelo provedor de serviços (como o Orchestrator); consequentemente, sempre que um serviço precisa acessar dados criptografados, o serviço chama o serviço de gerenciamento de chaves do cliente para obter a KEK necessária para descriptografar a EDEK e para produzir a DEK, que é usada, então, para descriptografar os dados.
  • A chave interna do UiPath - é usada para criptografar colunas de dados incluindo a CMK e a KMS DEK.

Esse diagrama ilustra como os vários componentes envolvidos na habilitação de chaves gerenciadas pelo cliente funcionam em conjunto:



Habilitação da chave gerenciada pelo cliente

Importante:

Habilitar chaves gerenciadas pelo cliente (CMK) tem implicações significativas para a acessibilidade de dados. Se a chave ficar indisponível ou for configurada incorretamente, você poderá perder acesso aos seus dados.

Se você perder sua chave, você não poderá mais se conectar ao cofre. Portanto, você deve sempre criar um backup da chave no portal do Azure ou em um cofre de chaves seguro separado do Azure, de acordo com as políticas de segurança de sua organização.

Para habilitar chaves gerenciadas pelo cliente, você deve configurar o aplicativo Microsoft Entra ID que representa o Automation CloudTM para acessar a chave de criptografia de chaves em seu Azure Key Vault.

Você pode escolher um dos seguintes métodos para configurar o aplicativo Microsoft Entra ID:
  • (Recomendado) Configuração automatizada: use o aplicativo Microsoft Entra ID gerenciado pela UiPath (modelo de vários tenants) para os seguintes benefícios:
    • Sem segredos ou certificados para gerenciar.
    • Configuração rápida e confiável.
    • A UiPath mantém o aplicativo Microsoft Entra ID para você.
  • Configuração manual com um registro de aplicativo Microsoft Entra ID personalizado: use seu próprio aplicativo Microsoft Entra ID e gerencie sua configuração manualmente, com as seguintes considerações:
    • Você precisa criar e gerenciar as credenciais dos aplicativos.
    • As credenciais expiram e exigem atualizações periódicas.
    • Se as credenciais não forem atualizadas antes de expirarem, os usuários serão impedidos de fazer logon.

Configuração automatizada com aplicativo Microsoft Entra ID gerenciado pela UiPath (Recomendado)

Use esse método se quiser simplificar a configuração e evitar o gerenciamento de segredos ou certificados. A UiPath recomenda essa abordagem para a maioria das organizações.

Se você for um administrador do Microsoft Entrada ID e do Automation CloudTM

Se você for um administrador do Microsoft Entrada ID e um administrador do Automation CloudTM , execute as seguintes etapas para configurar a integração usando o aplicativo de vários tenants gerenciado pela UiPath:

  1. No Automation CloudTM, acesse Admin > Segurança > Criptografia.
  2. Escolha Chave gerenciada pelo cliente e confirme a seleção inserindo o nome de sua organização na caixa de diálogo de confirmação.
  3. Selecione Aplicativo de vários tenants gerenciados pelo UiPath (Recomendado).

  4. Selecione Conceder consentimento e faça login com sua conta do Microsoft Entra ID.

    Depois de conceder consentimento, o Automation CloudTM cria um aplicativo Microsoft Entrada ID no Azure que representa sua organização.

  5. Crie sua chave de criptografia e configure o Azure Key Vault.
  6. Insira o URI da chave do Azure Key Vault da chave de criptografia de chaves.
    • Se você fornecer um URI de chave sem versão, o Automation CloudTM usará a versão da chave mais recente automaticamente (rotação de chave habilitada).
    • Se você fornecer um URI de chave com controle de versão, o Automation CloudTM criptografa todos os dados com essa versão de chave específica.

  7. Selecione Testar e salvar para ativar a integração.

    Se ocorrer um erro, verifique suas credenciais e tente novamente.

Apenas se você for um administrador do Automation CloudTM
Se você não tiver privilégios administrativos no Microsoft Entra ID, mas for um administrador do Automation CloudTM , siga as seguintes etapas para solicitar o consentimento do administrador e concluir a integração:
  1. No Automation CloudTM, acesse Admin > Segurança > Criptografia.
  2. Selecione Customer managed key e confirme a seleção inserindo o nome de sua organização na caixa de diálogo de confirmação.
  3. Selecione Aplicativo de vários tenants gerenciados pelo UiPath (Recomendado).

  4. Selecione Conceder consentimento e faça login com sua conta do Microsoft Entra ID.

    Como você não tem direitos de administrador do Microsoft Entra ID, você deve ver um dos seguintes prompts:

    1. Solicite a aprovação, conforme descrito na documentação da Microsoft: solicite a aprovação do administrador. Após o administrador do Microsoft Entra ID aprovar a solicitação, continue para a próxima etapa.
    2. Precisa de aprovação do administrador, conforme descrito na documentação da Microsoft: peça para seu administrador do Microsoft Entra ID executar as seguintes etapas:
      1. Navegue até esta URL para abrir a solicitação de consentimento do Microsoft Entra ID.
      2. Selecione Permissão em nome de sua organização e, em seguida, Aceitar.
  5. Depois de receber a confirmação de que o consentimento do administrador foi concedido, crie sua chave de criptografia e configure o Azure Key Vault e, em seguida, retorne ao Automation CloudTM e repita as etapas de 1 a 4.
    • Um login bem-sucedido indica que a integração foi configurada corretamente.
    • Se o login falhar, peça ao seu administrador do Microsoft Entra ID para verificar se o consentimento foi concedido corretamente.
  6. Insira o URI da chave do Azure Key Vault da chave de criptografia de chaves.
    • Se você fornecer um URI de chave sem versão, a rotação automática de chave será habilitada e o Automation CloudTM usará a versão da chave mais recente.
    • Se você fornecer um URI de chave com controle de versão, o Automation CloudTM criptografa todos os dados com essa versão de chave específica.

  7. Selecione Testar e salvar para ativar a integração.

    Se ocorrer um erro, verifique suas credenciais e tente novamente.

Configuração manual com registro do aplicativo de ID de entrada personalizado da Microsoft

Se você preferir configurar seu próprio aplicativo Microsoft Entra ID em vez de usar o aplicativo gerenciado UiPath para vários tenants, siga as seguintes etapas. Essa opção requer gerenciar suas próprias credenciais e mantê-las ao longo do tempo.
Importante: as credenciais criadas por meio de configuração manual expirarão periodicamente. Você deve renová-los antes da expiração para evitar interrupções do serviço. Para reduzir essa sobrecarga operacional, considere usar a configuração automatizada com o aplicativo de ID da Entrada gerenciado pelo UiPath.
  1. Crie o registro do aplicativo Microsoft Entra ID.
    1. No centro de administração do Microsoft Entra, acesse Registros de aplicativos > Novo registro.
    2. Insira um nome, como Automation Cloud ou use um nome de sua escolha.
    3. Defina Tipos de conta compatíveis como Apenas contas neste diretório organizacional.
    4. Conclua o registro.
  2. Crie credenciais.
    Acesse Certificados e segredos no registro do seu aplicativo e escolha um dos seguintes métodos:
    • Para usar um segredo do cliente:
      1. Selecione Novo segredo do cliente.
      2. Salve o valor do segredo gerado. Você precisará disso mais tarde.
    • Para usar um certificado:
      1. Em uma nova guia do navegador, acesse o Azure Key Vault.
      2. Crie um certificado:
        • Assunto: CN=uipath.com
        • Tipo de conteúdo: PEM
        • Tamanho máximo: menos de 10 KB
      3. Baixe o certificado no formato .pem .
      4. Abra o arquivo .pem em um editor de texto. Ele deve conter as seguintes seções:
        • -----BEGIN PRIVATE KEY----- / -----END KEY PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
      5. Crie um novo arquivo .pem contendo apenas as linhas entre BEGIN CERTIFICATE e END CERTIFICATE.
      6. Na seção Certificados e segredos do registro de seu aplicativo, carregue esse novo arquivo .pem .
      7. Mantenha uma cópia do certificado. Você precisará dele mais tarde para concluir a integração.
    Importante:

    A maioria dos tipos de credenciais expira. Para evitar problemas de login do usuário, atualize a configuração antes que as credenciais expirem.

  3. Colete detalhes da integração.
    Reúna os seguintes valores e forneça-os ao administrador do Automation CloudTM :
    • ID do aplicativo (cliente)
    • ID do Diretório (tenant)
    • Segredo ou certificado do cliente
  4. Crie sua chave de criptografia e configure o Azure Key Vault.
    Prepare sua chave de criptografia e anote o identificador de chave do Azure Key Vault. Escolha um dos seguintes formatos:
    • URI da chave sem versão: permite a rotação automática da chave. O Automation CloudTM sempre usa a versão da chave mais recente.
    • URI da chave com controle de versão: bloqueia a criptografia para uma versão de chave específica. O Automation CloudTM criptografa todos os dados usando essa versão.
  5. Ative a integração no Automation CloudTM.
    1. Faça login no Automation CloudTM como administrador.
    2. Acesse Admin > Segurança > Criptografia.
    3. Selecione Chave gerenciada pelo cliente e confirme a seleção inserindo o nome de sua organização.
    4. Selecione ID e segredo de registro do aplicativo personalizado.
    5. Insira os seguintes detalhes coletados anteriormente:
      • ID do Diretório (tenant)
      • ID do aplicativo (cliente)
      • Segredo ou certificado do cliente
      • Identificador de chave do Azure Key Vault

    6. Selecione Testar e salvar para ativar a integração.

      Se você receber uma mensagem de erro, verifique suas credenciais e tente novamente.

Criação da chave de criptografia e configuração do Azure Key Vault

Antes de começar, revise os seguintes requisitos e recomendações para usar o Azure Key Vault com o Automation CloudTM.
  • Você pode criar o cofre de chaves em qualquer região, mas recomendamos usar a mesma região que sua organização do Automation CloudTM .
  • A UiPath requer acesso ao Cofre de Chaves usado para a chave gerenciada pelo cliente. Para limitar o escopo, recomendamos criar um cofre dedicado para essa finalidade.
  • A funcionalidade funciona com qualquer tamanho de chave suportado pelo Azure Key Vault.
  • Para executar operações criptográficas, você deve conceder as permissões de Envolver Chave e Desencapsular Chave . Essas permissões são necessárias independentemente de você usar o Azure RBAC (Controle de Acesso Baseado em Funções) ou as políticas de acesso do Key Vault para gerenciar o acesso.
Para criar uma chave de criptografia e configurar o Azure Key Vault, execute as seguintes etapas:
  1. No portal do Microsoft Azure, acesse o Azure Key Vault e selecione um cofre existente ou crie um novo.
  2. Crie uma nova chave e copie o URI da chave. Você precisa do URI para configurá-lo no Automation CloudTM.
    Escolha uma das seguintes opções para o URI da chave:
    • URI da chave sem versão: permite a rotação automática da chave. O Automation CloudTM sempre usa a versão mais recente da chave.
    • URI da chave com controle de versão: bloqueia a criptografia para uma versão de chave específica. O Automation CloudTM criptografa todos os dados usando essa versão.
  3. Conceda acesso ao aplicativo de ID do Microsoft Entra criado anteriormente.
    Use as políticas de acesso do Azure RBAC ou do Key Vault para conceder as permissões necessárias.
  4. Retorne ao Automation CloudTM para concluir a configuração.

Editando a Chave gerenciada pelo Cliente

Depois de habilitar essa opção, você também poderá editar quaisquer detalhes relacionados à conexão. Para esse fim, selecione Editar conexão na opção Chave gerenciada pelo cliente e altere quaisquer informações conforme a necessidade.

Rodízio de chaves

É uma boa prática fazer um rodízio rotineiro de suas chaves, de modo a garantir a proteção contínua de seus dados criptografados contra quaisquer possíveis violações.

Rotação manual da chave

A rotação manual de chaves envolve alterar toda a configuração do CMK. Embora você possa alterar toda a configuração, é recomendável alterar apenas o identificador da chave ou a versão da chave, para minimizar alterações interruptivas.

Para executar a rotação manual de chaves, siga as seguintes etapas:

  1. Crie uma nova chave no Azure Key Vault que você configurou anteriormente.

  2. Em sua organização da Automation CloudTM , vá para Admin > Segurança.

  3. Em Chave gerenciada pelo cliente, selecione Editar conexão.

  4. Substitua o identificador de chave existente pelo novo URI da chave.
Observação: a rotação de chaves funciona apenas se a chave antiga e a nova permanecerem válidas.

Rotação automática da chave

A rotação automática de chaves permite que o Automation CloudTM use a versão mais recente da sua chave automaticamente, com base na política de rotação definida no Azure Key Vault. Essa abordagem reduz o esforço manual e melhora a segurança.

Para habilitar o processo de rotação automática de chaves, siga as seguintes etapas:

  1. No Azure Key Vault, crie uma política de rotação para sua chave.

  2. No Automation Cloud, acesse Configuração da chave gerenciada pelo cliente e forneça o identificador da chave sem versão.

    Para ver as etapas de configuração, consulte Habilitação da chave gerenciada pelo cliente.

  3. Após cada rotação de chave no Azure Key Vault, o Automation CloudTM busca e aplica automaticamente a versão da chave mais recente.

    O Automation CloudTM verifica automaticamente novas versões de chave a cada hora. Quando uma nova versão fica disponível, ela é recuperada e aplicada sem exigir atualizações manuais.

Importante:
  • Não desabilite ou modifique as permissões de acesso para versões de chaves mais antigas. Tanto a versão da chave anterior quanto a atual devem permanecer acessíveis para manter o acesso ininterrupto aos dados criptografados durante o processo de rotação.
  • Você pode visualizar alterações manuais na configuração de chaves gerenciadas pelo cliente, como atualizações no identificador de chaves e eventos de rotação automática de chaves na seção Logs de auditoria em Administrador no Automation CloudTM .

Downgrade do licenciamento

Se seu plano Enterprise expirar, você receberá automaticamente um downgrade para o plano Free. Isso é o que você pode esperar em termos de criptografia de dados:

  • A opção Chave gerenciada pelo cliente ainda está habilitada para você, mas ela está acinzentada na interface. Dessa forma, você não pode mais editar seus valores, como alterar os detalhes do cofre de chaves.
  • Você pode mudar para a Chave gerenciada pelo UiPath (padrão), mas você não poderá reverter para a Chave gerenciada pelo cliente até seu plano receber um upgrade para Enterprise.

Melhores práticas para usar chaves gerenciadas pelo cliente

Você deve ter em mente alguns detalhes importantes antes de começar a usar chaves gerenciadas pelo cliente:

  • Após você começar a usar uma nova chave como parte do processo de rodízio de chaves, a antiga não poderá mais ser usada para acessar e criptografar dados. Portanto, é importante manter quaisquer chaves antigas no cofre de chaves, ou seja, para desabilitá-las em vez de excluí-las. Isso é especialmente importante em cenários de recuperação de desastres, onde o UiPath pode ter que reverter para um backup de uma versão mais antiga do banco de dados. Se esse backup usar uma de suas chaves antigas, você poderá fazer o rodízio delas para retomar o acesso aos dados.

    Se você optar por remover uma chave, é importante que você use a funcionalidade exclusão reversível.

  • Se você perder sua chave, você não poderá mais se conectar ao cofre. Portanto, você deve sempre criar um backup da chave no portal do Azure ou em um cofre de chaves seguro separado do Azure, de acordo com as políticas de segurança de sua organização.
  • Se você estiver utilizando o Logon Único para acessar os serviços do UiPath, você poderá considerar a criação de uma conta local para funcionar como uma conta para "quebrar o vidro". Como as informações do provedor de identidade externo são incluídas nos dados criptografados pela chave gerenciada pelo cliente, contas SSO estarão inacessíveis caso seu cofre de chaves se torne inacessível.
  • Para fins de segurança, usuários que não possuem privilégios de administrator de nível superior não devem ter direitos de eliminação sobre a chave gerenciada pelo cliente.

  • Se você não quiser mais que o UiPath tenha acesso a seus dados, você poderá desabilitar a chave no Azure Key Vault, conforme mostrado na imagem a seguir:



    Descubra mais sobre as ações de recuperação do Azure Key Vault.

Esta página foi útil?

Suporte e serviços
Obtenha a ajuda que você precisa
UiPath Academy
Aprendendo RPA - Cursos de automação
Fórum do UiPath
Fórum da comunidade da Uipath
Uipath Logo
Confiança e segurança
Termos de Uso
Política de Privacidade
Política de cookies
© 2005-2026 UiPath. Todos os direitos reservados.