Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit document ziet u hoe u een back-up maakt van geheimen, sleutels en certificaten die zijn opgeslagen in uw sleutelkluis. Een back-up is bedoeld om u een offlinekopie van al uw geheimen te bieden in het onwaarschijnlijke geval dat u geen toegang meer hebt tot uw sleutelkluis.
Overzicht
Azure Key Vault biedt meerdere opties voor het garanderen van de beschikbaarheid en herstelbaarheid van uw kluisgegevens:
- Automatische redundantie en failover: Key Vault repliceert automatisch gegevens in verschillende regio's en verwerkt failover tijdens storingen - zie beschikbaarheid en redundantie van Azure Key Vault
- Beveiliging tegen tijdelijke en permanente verwijdering: voorkomt onbedoelde of schadelijke verwijdering van uw kluis of kluisobjecten - zie Azure Key Vault herstelbeheer met tijdelijke en permanente verwijderingsbeveiliging
- Handmatige back-up en herstel (beschreven in dit artikel): Voor afzonderlijke geheimen, sleutels en certificaten
Dit artikel is gericht op handmatige back-up- en herstelbewerkingen voor afzonderlijke objecten in Key Vault.
Wanneer back-ups worden gebruikt
Azure Key Vault biedt automatisch functies om u te helpen de beschikbaarheid te behouden en gegevensverlies te voorkomen. Maak alleen een back-up van geheimen als u een kritieke zakelijke reden hebt. Het maken van back-ups van geheimen in uw sleutelkluis kan operationele uitdagingen met zich meebrengen, zoals het bijhouden van meerdere sets logregistraties, toestemmingen en back-ups wanneer geheimen vervallen of roteren.
Overweeg het gebruik van back-ups in deze scenario's:
- U moet ervoor zorgen dat u de objecten verplaatst van de ene sleutelkluis naar de andere, of tussen Azure-regio's.
- U wilt een offlinekopie van uw geheimen om redenen van regelgeving of naleving
- U gebruikt een regio die geen automatische replicatie tussen regio's ondersteunt (Brazilië - zuid, Brazilië - zuidoost of VS - west 3)
- U hebt bescherming nodig tegen onbedoeld verwijderen van specifieke objecten
Voor de meeste scenario's bieden de ingebouwde redundantie- en voorlopig verwijderen-functies van Key Vault voldoende beveiliging zonder handmatige back-ups. Zie beschikbaarheid en redundantie van Azure Key Vaultvoor meer informatie.
Beperkingen
Belangrijk
Key Vault biedt geen ondersteuning voor de mogelijkheid om een back-up te maken van meer dan 500 eerdere versies van een sleutel, geheim of certificaatobject en dit kan leiden tot een fout. Het is niet mogelijk om eerdere versies van een sleutel, geheim of certificaat te verwijderen.
Key Vault biedt momenteel geen manier om een back-up te maken van een volledige sleutelkluis in één bewerking en sleutels, geheimen en certificaten moeten afzonderlijk worden back-up.
Houd ook rekening met de volgende problemen:
- Het maken van back-ups van geheimen met meerdere versies kan timeoutfouten veroorzaken.
- Een back-up maakt een momentopname van een bepaald tijdstip. Geheimen kunnen tijdens een back-up worden vernieuwd, waardoor versleutelingssleutels niet overeenkomen.
- Als u de servicelimieten voor de sleutelkluis voor aanvragen per seconde overschrijdt, wordt uw sleutelkluis beperkt en mislukt de back-up.
Ontwerpoverwegingen
Wanneer u een back-up maakt van een sleutelkluisobject, zoals een geheim, sleutel of certificaat, wordt het object gedownload als een versleutelde blob. Deze blob kan niet buiten Azure worden ontsleuteld. Als u bruikbare gegevens uit deze blob wilt ophalen, moet u de blob herstellen in een sleutelkluis binnen hetzelfde Azure-abonnement en azure-geografie.
Vereiste voorwaarden
Als u een back-up wilt maken van een sleutelkluisobject, moet u het volgende hebben:
- Machtigingen op inzenderniveau of hoger voor een Azure-abonnement.
- Een primaire sleutelkluis die de geheimen bevat waarvoor u een back-up wilt maken.
- Een secundaire sleutelkluis waar geheimen worden hersteld.
Back-ups maken en herstellen vanuit Azure Portal
Volg de stappen in deze sectie om een back-up te maken van objecten en deze te herstellen met behulp van Azure Portal.
Een back-up maken
Ga naar de Azure-portal.
Selecteer uw sleutelkluis.
Ga naar het object (geheim, sleutel of certificaat) waarnaar u een back-up wilt maken.
Selecteer het object.
Selecteer Backup downloaden.
Klik op Downloaden.
Sla de versleutelde blob op een veilige locatie op.
Herstellen
Ga naar de Azure-portal.
Selecteer uw sleutelkluis.
Ga naar het type object (geheim, sleutel of certificaat) dat u wilt herstellen.
Selecteer Backup herstellen.
Ga naar de locatie waar u de versleutelde blob hebt opgeslagen.
Kies OK.
Back-ups maken en herstellen vanuit de Azure CLI of Azure PowerShell
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}