Partager via

Sauvegarde et restauration d’Azure Key Vault

Ce document vous montre comment sauvegarder des secrets, des clés et des certificats stockés dans votre coffre de clés. Une sauvegarde est destinée à vous fournir une copie hors connexion de tous vos secrets dans le cas peu probable où vous perdez l’accès à votre coffre de clés.

Aperçu

Azure Key Vault fournit automatiquement des fonctionnalités pour vous aider à maintenir la disponibilité et à empêcher la perte de données. Sauvegardez les secrets uniquement si vous avez une justification métier critique. La sauvegarde des secrets dans votre coffre de clés peut entraîner des défis opérationnels tels que la gestion de plusieurs ensembles de journaux, de permissions et de sauvegardes lorsque les secrets expirent ou sont renouvelés.

Key Vault maintient la disponibilité dans les scénarios de sinistre et bascule automatiquement les demandes vers une région jumelée sans intervention d’un utilisateur. Pour plus d’informations, consultez Disponibilité et redondance d’Azure Key Vault.

Si vous souhaitez une protection contre la suppression accidentelle ou malveillante de vos secrets, configurez les fonctionnalités de suppression réversible et de protection contre la purge sur votre coffre à clés. Pour plus d’informations, consultez Vue d’ensemble de la suppression douce d’Azure Key Vault.

Limites

Important

Key Vault ne prend pas en charge la possibilité de sauvegarder plus de 500 versions antérieures d’une clé, d’un secret ou d’un objet de certificat et de tenter de le faire peut entraîner une erreur. Il est impossible de supprimer les versions précédentes d’une clé, d’un secret ou d’un certificat.

Key Vault ne fournit actuellement pas de moyen de sauvegarder un coffre de clés entier dans une seule opération et clés, secrets et certificats doit être sauvegardé individuellement.

Tenez également compte des problèmes suivants :

  • La sauvegarde de secrets ayant plusieurs versions peut entraîner des erreurs de délai d’attente.
  • Une sauvegarde crée un instantané d'un moment précis. Les secrets peuvent être renouvelés pendant une sauvegarde, ce qui entraîne une incompatibilité des clés de chiffrement.
  • Le dépassement des limites du service de coffre de clés pour les requêtes par seconde entraîne la limitation de votre coffre de clés et l’échec de la sauvegarde.

Considérations relatives à la conception

Lorsque vous sauvegardez un objet key vault, tel qu’un secret, une clé ou un certificat, l’opération de sauvegarde télécharge l’objet en tant qu’objet blob chiffré. Cet objet blob ne peut pas être déchiffré en dehors d’Azure. Pour obtenir des données utilisables à partir de cet objet blob, vous devez restaurer le blob dans un Azure Key Vault au sein du même abonnement Azure et dans la même zone géographique Azure.

Conditions préalables

Pour sauvegarder un objet key vault, vous devez disposer des éléments suivants :

  • Autorisations de niveau contributeur ou supérieure sur un abonnement Azure.
  • Un coffre de clés primaire qui contient les secrets que vous souhaitez sauvegarder.
  • Un coffre de clés secondaire où les secrets seront restaurés.

Sauvegarde et restauration depuis le portail Azure

Suivez les étapes de cette section pour sauvegarder et restaurer des objets à l’aide du portail Azure.

Sauvegarder

  1. Accédez au portail Azure.

  2. Sélectionnez votre coffre-fort de clés.

  3. Accédez à l’objet (secret, clé ou certificat) que vous souhaitez sauvegarder.

    Capture d’écran montrant où sélectionner le paramètre Clés et un objet dans un coffre de clés.

  4. Sélectionnez l’objet.

  5. Sélectionnez Téléchargez la sauvegarde.

    Capture d’écran montrant où sélectionner le bouton Télécharger la sauvegarde dans un coffre de clés.

  6. Sélectionnez Télécharger.

    Capture d’écran montrant où sélectionner le bouton Télécharger dans un coffre de clés.

  7. Stockez l’objet blob chiffré dans un emplacement sécurisé.

Restaurer

  1. Accédez au portail Azure.

  2. Sélectionnez votre coffre-fort de clés.

  3. Accédez au type d’objet (secret, clé ou certificat) que vous souhaitez restaurer.

  4. Sélectionnez restaurer la sauvegarde.

    Capture d’écran montrant où sélectionner Restaurer la sauvegarde dans un coffre de clés.

  5. Accédez à l’emplacement où vous avez stocké l’objet blob chiffré.

  6. Cliquez sur OK.

Sauvegarder et restaurer à partir d’Azure CLI ou d’Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Étapes suivantes

  • Last updated on