Udostępnij przez

Tworzenie i przywracanie kopii zapasowej usługi Azure Key Vault

W tym dokumencie pokazano, jak utworzyć kopię zapasową wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Kopia zapasowa jest przeznaczona do udostępnienia offline kopii wszystkich twoich sekretów w przypadku mało prawdopodobnym, że utracisz dostęp do magazynu kluczy.

Przegląd

Usługa Azure Key Vault oferuje wiele opcji dla zapewnienia dostępności i odzyskiwania danych w skarbcu.

Ten artykuł koncentruje się na ręcznych operacjach tworzenia kopii zapasowych i przywracania dla poszczególnych obiektów w usłudze Key Vault.

Kiedy należy używać kopii zapasowych

Usługa Azure Key Vault automatycznie udostępnia funkcje ułatwiające utrzymanie dostępności i zapobieganie utracie danych. Twórz kopie zapasowe tajemnic tylko wtedy, gdy istnieje krytyczne uzasadnienie biznesowe. Tworzenie kopii zapasowych wpisów tajnych w magazynie kluczy może powodować wyzwania operacyjne, takie jak utrzymywanie wielu zestawów dzienników, uprawnień i kopii zapasowych po wygaśnięciu lub rotacji wpisów tajnych.

Rozważ użycie kopii zapasowych w następujących scenariuszach:

  • Musisz przenieść obiekty między magazynami kluczy lub regionami platformy Azure
  • Chcesz mieć kopię offline swoich tajemnic ze względów prawnych lub zgodności.
  • Używasz regionu, który nie obsługuje automatycznej replikacji między regionami (Brazylia Południowa, Brazylia Południowo-Wschodnia lub Zachodnie stany USA 3)
  • Potrzebna jest ochrona przed przypadkowym usunięciem określonych obiektów

W większości scenariuszy wbudowane funkcje nadmiarowości i miękkiego usuwania usługi Key Vault zapewniają wystarczającą ochronę bez konieczności ręcznego wykonywania kopii zapasowych. Aby uzyskać więcej informacji, zobacz Dostępność i nadmiarowość usługi Azure Key Vault.

Ograniczenia

Ważne

Usługa Key Vault nie obsługuje możliwości tworzenia kopii zapasowych ponad 500 wcześniejszych wersji klucza, wpisu tajnego lub obiektu certyfikatu i próby wykonania tej czynności mogą spowodować wystąpienie błędu. Nie można usunąć poprzednich wersji klucza, wpisu tajnego lub certyfikatu.

Usługa Key Vault nie zapewnia obecnie możliwości tworzenia kopii zapasowej całego magazynu kluczy w ramach jednej operacji i kluczy, wpisów tajnych i certyfikatów muszą być kopiami zapasowymi osobno.

Rozważ również następujące problemy:

  • Tworzenie kopii zapasowych danych poufnych, które mają wiele wersji, może powodować błędy limitu czasu.
  • Kopia zapasowa tworzy migawkę punktu czasowego. Wpisy tajne mogą być odnawiane podczas tworzenia kopii zapasowej, co powoduje niezgodność kluczy szyfrowania.
  • Jeśli przekroczysz limity usługi magazynu kluczy dla żądań na sekundę, magazyn kluczy zostanie ograniczony, a kopia zapasowa zakończy się niepowodzeniem.

Uwagi dotyczące projektowania

Podczas tworzenia kopii zapasowej obiektu magazynu kluczy, takiego jak tajemnica, klucz lub certyfikat, procedura pobierze obiekt jako zaszyfrowany blob. Nie można odszyfrować tego blob poza platformą Azure. Aby uzyskać użyteczne dane z tego obiektu blob, musisz przywrócić obiekt blob do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure.

Wymagania wstępne

Aby utworzyć kopię zapasową obiektu Key Vault, wymagane jest posiadanie następujących:

  • Uprawnienia na poziomie współautora lub wyższym w subskrypcji platformy Azure.
  • Podstawowe repozytorium kluczy zawierające tajemnice, których kopię zapasową chcesz utworzyć.
  • Pomocniczy magazyn kluczy, w którym zostaną przywrócone tajemnice.

Tworzenie kopii zapasowej i przywracanie z witryny Azure Portal

Wykonaj kroki opisane w tej sekcji, aby utworzyć kopię zapasową i przywrócić obiekty przy użyciu witryny Azure Portal.

Zrób kopię zapasową

  1. Przejdź do witryny Azure Portal.

  2. Wybierz magazyn kluczy.

  3. Przejdź do obiektu (wpisu tajnego, klucza lub certyfikatu), którego kopię zapasową chcesz utworzyć.

    Zrzut ekranu przedstawiający, gdzie można wybrać opcję Klucze oraz obiekt w skarbcu kluczy.

  4. Wybierz obiekt.

  5. Wybierz Pobierz kopię zapasową.

    Zrzut ekranu przedstawiający, gdzie wybrać przycisk Pobierz kopię zapasową w magazynie kluczy.

  6. Wybierz Pobierz.

    Zrzut ekranu przedstawiający, gdzie wybrać przycisk Pobierz w magazynie kluczy.

  7. Zapisz zaszyfrowany blob w bezpiecznej lokalizacji.

Przywróć

  1. Przejdź do witryny Azure Portal.

  2. Wybierz magazyn kluczy.

  3. Przejdź do typu obiektu (wpisu tajnego, klucza lub certyfikatu), który chcesz przywrócić.

  4. Wybierz pozycję Przywróć kopię zapasową.

    Zrzut ekranu przedstawiający, gdzie wybrać pozycję Przywróć kopię zapasową w magazynie kluczy.

  5. Przejdź do lokalizacji, w której zapisano zaszyfrowany blob.

  6. Kliknij przycisk OK.

Tworzenie kopii zapasowej i przywracanie danych przy użyciu Azure CLI lub Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Następne kroki

  • Last updated on