Herstelbeheer van Azure Key Vault met zachte verwijdering en verwijderingsbeveiliging

Dit artikel bespreekt twee herstelmogelijkheden van Azure Key Vault, soft delete en zuiverbescherming. Dit document bevat een overzicht van deze functies en laat zien hoe u deze kunt beheren via Azure Portal, Azure CLI en Azure PowerShell.

Belangrijk

Als voor een sleutelkluis geen beveiliging voor voorlopig verwijderen is ingeschakeld, verwijdert u deze definitief door een sleutel te verwijderen. Klanten worden sterk aangeraden om het afdwingen van soft-delete in te schakelen voor hun kluizen via Azure Policy.

Overzicht van herstelopties

Azure Key Vault biedt meerdere opties om de beschikbaarheid en herstelbaarheid van uw kluisgegevens te garanderen:

Automatische redundantie en failover: Key Vault repliceert automatisch gegevens in verschillende regio's en verwerkt failover tijdens storingen - zie beschikbaarheid en redundantie van Azure Key Vault
Soft delete en bescherming tegen opschoning (beschreven in dit artikel): Voorkomt onbedoelde of schadelijke verwijdering van uw kluis of kluisobjecten
Handmatige back-up en herstel: voor afzonderlijke geheimen, sleutels en certificaten - zie Back-up van Azure Key Vault

Dit artikel is gericht op de beveiligingsfuncties voor voorlopig verwijderen en opschonen die u helpen beschermen tegen onbedoelde of schadelijke verwijdering.

Vereisten

Een Azure-abonnement - Een gratis abonnement maken
Azure PowerShell.
Azure-CLI
Een sleutelkluis kunt u maken met behulp van de Azure Portal, Azure CLI of Azure PowerShell.

De gebruiker heeft de volgende machtigingen (op abonnementsniveau) nodig om bewerkingen uit te voeren op voorlopig verwijderde kluizen:

Machtiging	Beschrijving
Microsoft.KeyVault/locations/deletedVaults/read	De eigenschappen van een voorlopig verwijderde sleutelkluis weergeven
Microsoft.KeyVault/locations/deletedVaults/purge/action	Een voorlopig verwijderde sleutelkluis leegmaken
Microsoft.KeyVault/locations/operationResults/read	De zuiveringsstatus van de kluis controleren
Key Vault-beheerder	Voorlopig verwijderde kluis herstellen

Wat zijn beveiliging tegen voorlopig verwijderen en opschonen

Zacht verwijderen en zuiveringsbescherming zijn twee verschillende functies voor sleutelkluisherstel.

Voorlopig verwijderen is bedoeld om te voorkomen dat uw sleutelkluis en de daarin opgeslagen sleutels, geheimen en certificaten per ongeluk worden verwijderd. U kunt voorlopig verwijderen beschouwen als een prullenbak. Wanneer u een sleutelkluis of een sleutelkluisobject verwijdert, blijft het herstelbaar voor een door de gebruiker configureerbare bewaarperiode of een standaardperiode van 90 dagen. Sleutelkluizen met de status Voorlopig verwijderd kunnen ook worden verwijderd (permanent verwijderd), zodat u sleutelkluizen en sleutelkluisobjecten met dezelfde naam opnieuw kunt maken. Voor zowel het herstellen als verwijderen van sleutelkluizen en objecten zijn verhoogde toegangsbeleidsmachtigingen vereist. Zodra voorlopig verwijderen is ingeschakeld, kan deze niet worden uitgeschakeld.

Het is belangrijk te weten dat sleutelkluisnamen wereldwijd uniek zijn, dus u kunt geen sleutelkluis maken met dezelfde naam als een sleutelkluis die in de status soft deleted verkeert. Op dezelfde manier zijn de namen van sleutels, geheimen en certificaten uniek binnen een sleutelkluis. U kunt geen geheim, sleutel of certificaat maken met dezelfde naam als een andere met de status Voorlopig verwijderd.

Beveiliging tegen opschonen is ontworpen om te voorkomen dat uw sleutelkluis, sleutels, geheimen en certificaten door een kwaadwillende insider worden verwijderd. U kunt het beschouwen als een prullenbak met een tijdvergrendeling. U kunt items op elk gewenst moment herstellen tijdens de configureerbare bewaarperiode. U kunt een sleutelkluis pas definitief verwijderen of leegmaken als de bewaarperiode is verstreken. Zodra de bewaarperiode is verstreken, wordt de sleutelkluis of het sleutelkluisobject automatisch geschoond.

Notitie

Beveiliging tegen opschonen is zodanig ontworpen dat geen beheerdersrol of -machtiging de beveiliging tegen opschonen kan overschrijven, uitschakelen of omzeilen. Wanneer beveiliging tegen opschonen is ingeschakeld, kan deze niet worden uitgeschakeld of overschreven door iedereen, waaronder Microsoft. Dit betekent dat u een verwijderde sleutelkluis moet herstellen of moet wachten tot de retentieperiode is verstreken voordat u de naam van de sleutelkluis opnieuw gebruikt.

Deze functies worden sterk aanbevolen voor productieomgevingen.

Zie het overzicht van voorlopig verwijderen in Azure Key Vault voor meer informatie over voorlopig verwijderen

Controleren of voorlopig verwijderen is ingeschakeld in een sleutelkluis en voorlopig verwijderen inschakelen

Meld u aan bij het Azure-portaal.
Selecteer uw sleutelkluis.
Selecteer de eigenschappen-blade.
Controleer of het keuzerondje naast 'soft-delete' is ingesteld op "Herstel inschakelen".
Als soft-delete niet is ingeschakeld in de sleutelkluis, selecteert u het keuzerondje om soft-delete in te schakelen en selecteert u "Opslaan".

On Properties, Soft-delete is highlighted, as is the value to enable it. Bij Eigenschappen is Voorlopig verwijderen gemarkeerd, net zoals de waarde die u wilt inschakelen.

Toegang verlenen tot een service-principal voor het verwijderen en herstellen van verwijderde geheime gegevens.

Meld u aan bij het Azure-portaal.
Selecteer uw sleutelkluis.
Selecteer de blade Toegangsbeleid.
Zoek in de tabel de rij van de beveiligingsprincipaal waaraan u toegang wilt verlenen (of voeg een nieuwe beveiligingsprincipaal toe).
Selecteer de vervolgkeuzelijst voor sleutels, certificaten en geheimen.
Scroll naar beneden in de vervolgkeuzelijst en selecteer 'Herstellen' en 'Leegmaken'
Beveiligingsprinciplen hebben ook de functionaliteit 'get' en 'list' nodig om de meeste bewerkingen uit te voeren.

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge. In het linkernavigatiedeelvenster is Toegangsbeleid gemarkeerd. In het toegangsbeleid wordt de vervolgkeuzelijst Geheime posities weergegeven en zijn er vier items geselecteerd: Ophalen, Weergeven, Herstellen en Leegmaken.

Een voorlopig verwijderde sleutelkluis weergeven, herstellen of opschonen

Meld u aan bij het Azure-portaal.
Selecteer de zoekbalk boven aan de pagina.
Zoek naar de service 'Key Vault'. Selecteer geen individuele sleutelkluis.
Selecteer bovenaan het scherm de optie Verwijderde kluizen beheren
Aan de rechterkant van het scherm wordt een contextvenster geopend.
Selecteer uw abonnement.
Als uw sleutelkluis voorlopig is verwijderd, wordt deze weergegeven in het contextvenster aan de rechterkant.
Als er te veel kluizen zijn, kunt u onderaan het contextvenster 'Meer laden' selecteren of CLI of PowerShell gebruiken om de resultaten op te halen.
Zodra u de kluis hebt gevonden die u wilt herstellen of opschonen, schakelt u het selectievakje ernaast in.
Selecteer de optie 'Herstellen' onderaan het contextvenster als je de sleutelkluis wilt herstellen.
Selecteer de optie voor opschonen als u de sleutelkluis definitief wilt verwijderen.

Op Sleutelkluizen is de optie 'Verwijderde kluizen beheren' gemarkeerd.

On Manage deleted key vaults, the only listed key vault is highlighted and selected, and the Recover button is highlighted. Bij Verwijderde sleutelkluizen beheren is de enige vermelde sleutelkluis gemarkeerd en geselecteerd en is de knop Herstellen gemarkeerd.

Voorlopig verwijderde geheimen, sleutels en certificaten weergeven, herstellen of opschonen

Meld u aan bij het Azure-portaal.
Selecteer uw sleutelkluis.
Selecteer de blade die overeenkomt met het geheime type dat u wilt beheren (sleutels, geheimen of certificaten).
Selecteer bovenaan het scherm 'Verwijderde beheren (sleutels, geheimen of certificaten)
Aan de rechterkant van het scherm wordt een contextvenster weergegeven.
Als uw geheim, sleutel of certificaat niet in de lijst verschijnt, is het niet in de zacht verwijderd status.
Selecteer het geheim, de sleutel of het certificaat dat u wilt beheren.
Selecteer de optie om onder aan het contextvenster te herstellen of leeg te maken.

In het gedeelte Sleutels is de optie "Verwijderde sleutels beheren" zichtbaar gemarkeerd.

Key Vault (CLI)

Controleren of soft-delete is ingeschakeld voor een sleutelkluis

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Zacht verwijderen inschakelen voor key-vault

Alle nieuwe sleutelkluizen hebben standaard 'soft delete' ingeschakeld. Als u momenteel een sleutelkluis hebt waarvoor voorlopig verwijderen niet is ingeschakeld, gebruikt u de volgende opdracht om voorlopig verwijderen in te schakelen.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```

Sleutelkluis verwijderen (kan worden hersteld als zachte verwijdering is ingeschakeld)

az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Alle voorlopig verwijderde sleutelkluizen weergeven

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Voorlopig verwijderde sleutelkluis herstellen

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Voorlopig verwijderde sleutelkluis opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTELKLUIS DEFINITIEF VERWIJDERD)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Beveiliging tegen opschonen inschakelen voor key-vault

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certificaten (CLI)

Toegang verlenen tot het opschonen en herstellen van certificaten

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Certificaat verwijderen (verplaatsen naar voorlopig verwijderde status)

Notitie

De az keyvault certificate delete opdracht is afgeschaft. Wanneer voorlopig verwijderen is ingeschakeld voor uw sleutelkluis (dit is nu de standaardinstelling), wordt het certificaat met deze opdracht verplaatst naar een voorlopig verwijderde status in plaats van het permanent te verwijderen. Vervolgens kunt u az keyvault certificate recover deze herstellen of az keyvault certificate purge deze permanent verwijderen. Zie Azure Key Vault: overzicht van voorlopig verwijderen voor meer informatie.
```
az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
```

Verwijderde certificaten weergeven

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Verwijderd certificaat herstellen

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Gedeeltelijk verwijderd certificaat verwijderen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW CERTIFICAAT DEFINITIEF VERWIJDERD)
```
az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
```

Sleutels (CLI)

Toegang verlenen tot opschonen en herstellen van sleutels

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Delete-toets

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Verwijderde sleutels vermelden

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Verwijderde sleutel herstellen

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Voorlopig verwijderde sleutel opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTEL DEFINITIEF VERWIJDERD)
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
```

Geheimen (CLI)

Toegang verlenen tot zuiveren en herstellen van geheime gegevens

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Geheim verwijderen (verplaatsen naar zacht-verwijderde status)

Notitie

De az keyvault secret delete opdracht is afgeschaft. Wanneer voorlopig verwijderen is ingeschakeld voor uw sleutelkluis (dit is nu de standaardinstelling), verplaatst deze opdracht het geheim naar een voorlopig verwijderde status in plaats van het permanent verwijderen. Vervolgens kunt u az keyvault secret recover deze herstellen of az keyvault secret purge deze permanent verwijderen. Zie Azure Key Vault: overzicht van voorlopig verwijderen voor meer informatie.
```
az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Verwijderde geheimen weergeven

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Verwijderd geheim herstellen

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Het voorlopig verwijderde geheim opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW GEHEIM DEFINITIEF VERWIJDERD)
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Key Vault (PowerShell)

Controleren of soft-delete is ingeschakeld voor een sleutelkluis
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Sleutelkluis verwijderen

Remove-AzKeyVault -VaultName 'ContosoVault'

Alle voorlopig verwijderde sleutelkluizen weergeven
```
Get-AzKeyVault -InRemovedState
```

Voorlopig verwijderde sleutelkluis herstellen

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Maak tijdelijk verwijderde sleutelkluis leeg (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTELKLUIS DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Beveiliging tegen opschonen inschakelen voor key-vault

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certificaten (PowerShell)

Machtigingen verlenen voor het herstellen en opschonen van certificaten

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Een certificaat verwijderen

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Alle verwijderde certificaten in een sleutelkluis weergeven

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Een certificaat herstellen met de status Verwijderd

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Een voorlopig verwijderd certificaat opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW CERTIFICAAT DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Sleutels (PowerShell)

Machtigingen verlenen voor het herstellen en opschonen van sleutels

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Een sleutel verwijderen

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Alle verwijderde sleutels in een sleutelkluis weergeven

Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState

Een voorlopig verwijderde sleutel terughalen

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Een voorlopig verwijderde sleutel opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTEL DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Geheimen (PowerShell)

Machtigingen verlenen voor het herstellen en opschonen van geheimen

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Een geheim met de naam SQLPassword verwijderen

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Alle verwijderde geheimen in een sleutelkluis weergeven

Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState

Een geheim herstellen met de status Verwijderd

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Verwijder een geheim met de status Verwijderd (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTEL DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

Volgende stappen

Feedback

Is deze pagina nuttig?

Last updated on 2026-01-06