Udostępnij przez

Zarządzanie odzyskiwaniem usługi Azure Key Vault przy użyciu funkcji miękkiego usuwania i ochrony przed trwałym usunięciem

W tym artykule opisano dwie funkcje odzyskiwania usługi Azure Key Vault, miękkie usuwanie i ochronę przed czyszczeniem. Ten dokument zawiera omówienie tych funkcji i pokazuje, jak zarządzać nimi za pośrednictwem witryny Azure Portal, interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell.

Ważne

Jeśli magazyn kluczy nie ma włączonej ochrony przed miękkim usunięciem, usunięcie klucza spowoduje jego usuniecie na stałe. Klienci są zdecydowanie zachęcani do włączania wymuszania usuwania nietrwałego dla swoich magazynów za pośrednictwem usługi Azure Policy.

Omówienie opcji odzyskiwania

Usługa Azure Key Vault oferuje wiele opcji zapewniających dostępność i możliwość odzyskiwania danych skarbca.

  • Automatyczna nadmiarowość i tryb failover: usługa Key Vault automatycznie replikuje dane między regionami i obsługuje tryb failover podczas przestojów — zobacz Dostępność i nadmiarowość usługi Azure Key Vault
  • Miękkie usuwanie i ochrona przed trwałym usunięciem (opisane w tym artykule): Zapobiega przypadkowemu lub złośliwemu usunięciu magazynu lub obiektów magazynu
  • Ręczne tworzenie kopii zapasowej i przywracanie: w przypadku poszczególnych wpisów tajnych, kluczy i certyfikatów — zobacz Tworzenie kopii zapasowej usługi Azure Key Vault

Ten artykuł koncentruje się na funkcjach miękkiego usuwania i ochrony przed trwałym usunięciem, które pomagają chronić przed przypadkowym lub złośliwym usunięciem.

Wymagania wstępne

Co to jest usuwanie miękkie i ochrona przed trwałym usunięciem

Usuwanie miękkie i ochrona przed usunięciem to dwie różne funkcje odzyskiwania magazynu kluczy.

Miękkie usunięcie zostało zaprojektowane, aby przeciwdziałać przypadkowemu usunięciu Twojego magazynu kluczy oraz kluczy, sekretów i certyfikatów przechowywanych w magazynie kluczy. Pomyśl o usunięciu tymczasowym, jak kosz na śmieci. Usunięcie magazynu kluczy lub obiektu magazynu kluczy pozostaje do odzyskania przez okres przechowywania konfigurowalny przez użytkownika lub domyślnie przez 90 dni. Magazyny kluczy w stanie usunięcia nietrwałego mogą być również przeczyszczane (trwale usunięte), co umożliwia ponowne utworzenie magazynów kluczy i obiektów magazynu kluczy o tej samej nazwie. Zarówno odzyskiwanie, jak i usuwanie skrytek kluczy i obiektów wymaga wyższych uprawnień dotyczących polityki dostępu. Po włączeniu funkcji usuwania miękkiego nie można jej wyłączyć.

Ważne jest, aby zauważyć, że nazwy magazynów kluczy są globalnie unikatowe, dlatego nie można utworzyć magazynu kluczy o takiej samej nazwie jak magazyn kluczy w stanie miękkiego usunięcia. Podobnie nazwy kluczy, wpisów tajnych i certyfikatów są unikatowe w skarbcu kluczy. Nie można utworzyć wpisu tajnego, klucza ani certyfikatu o takiej samej nazwie jak jakikolwiek inny znajdujący się w stanie miękkiego usunięcia.

Purge protection jest zaprojektowana w taki sposób, aby zapobiec usunięciu magazynu kluczy, kluczy, tajemnic i certyfikatów przez złośliwego wewnętrznego pracownika. Pomyśl o tym jako kosz z blokadą opartą na czasie. Elementy można odzyskać w dowolnym momencie w konfigurowalnym okresie przechowywania. Nie będzie można trwale usunąć ani oczyścić magazynu kluczy, dopóki nie upłynie okres przechowywania. Po upływie okresu przechowywania magazyn kluczy lub obiekt magazynu kluczy zostanie automatycznie przeczyszczone.

Uwaga

Ochrona przed przeczyszczeniem została zaprojektowana tak, aby żadna rola administratora ani uprawnienia nie mogły zastąpić, wyłączyć ani obejść ochrony przed przeczyszczeniem. Po włączeniu ochrony przed przeczyszczeniem nie można jej wyłączyć ani zastąpić przez nikogo, w tym firmę Microsoft. Oznacza to, że musisz odzyskać usunięty magazyn kluczy lub poczekać na upłynięcie okresu przechowywania przed ponownym użyciem nazwy magazynu kluczy.

Te funkcje są zdecydowanie zalecane w środowiskach produkcyjnych.

Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault

Sprawdź, czy miękkie usuwanie jest włączone w magazynie kluczy i włącz miękkie usuwanie

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Wybierz blok "Właściwości".
  4. Sprawdź, czy przycisk radiowy obok pozycji Usuwanie nietrwałe jest ustawiony na wartość "Włącz odzyskiwanie".
  5. Jeśli usuwanie nietrwałe nie jest włączone w magazynie kluczy, wybierz przycisk radiowy, aby włączyć usuwanie nietrwałe, a następnie wybierz pozycję "Zapisz".

W sekcji Właściwości wyróżniono usuwanie nietrwałe, jak również wartość, która umożliwia jego włączenie.

Udzielanie dostępu do jednostki usługi w celu przeczyszczania i odzyskiwania usuniętych wpisów tajnych

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Wybierz blok "Zasady dostępu".
  4. W tabeli znajdź wiersz podmiotu zabezpieczeń, do którego chcesz udzielić dostępu (lub dodaj nowego podmiotu zabezpieczeń).
  5. Wybierz listę rozwijaną kluczy, certyfikatów i wpisów tajnych.
  6. Przewiń do dołu listy rozwijanej i wybierz pozycję "Odzyskaj" i "Przeczyść"
  7. Podmioty zabezpieczeń wymagają również funkcji "get" i "list", aby wykonywać większość operacji.

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge.W okienku nawigacji po lewej stronie zasady dostępu są wyróżnione. W obszarze Zasady dostępu pokazano listę rozwijaną Pozycje tajne, a cztery elementy są zaznaczone: Pobierz, Lista, Odzyskaj i Wyczyść.

Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałego magazynu kluczy

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pasek wyszukiwania w górnej części strony.
  3. Wyszukaj usługę „Key Vault”. Nie wybieraj indywidualnego magazynu kluczy.
  4. W górnej części ekranu wybierz opcję "Zarządzaj usuniętymi magazynami"
  5. Po prawej stronie ekranu zostanie otwarte okienko kontekstowe.
  6. Wybierz subskrypcję.
  7. Jeśli magazyn kluczy został usunięty nietrwale, zostanie wyświetlony w okienku kontekstowym po prawej stronie.
  8. Jeśli istnieje zbyt wiele skarbców, możesz wybrać pozycję "Załaduj więcej" w dolnej części okna kontekstowego lub użyć interfejsu wiersza polecenia albo programu PowerShell, aby uzyskać wyniki.
  9. Gdy znajdziesz sejf, który chcesz odzyskać lub przeczyścić, zaznacz pole wyboru obok niego.
  10. Wybierz opcję odzyskiwania w dolnej części okienka kontekstowego, jeśli chcesz odzyskać magazyn kluczy.
  11. Wybierz opcję przeczyszczania, jeśli chcesz trwale usunąć magazyn kluczy.

On Key vaults, the Manage deleted vaults option is highlighted.W magazynach kluczy wyróżniono opcję Zarządzaj usuniętymi magazynami.

W obszarze zarządzania usuniętymi magazynami kluczy wyróżniony i zaznaczony jest jedyny magazyn kluczy na liście, a przycisk Odzyskaj również jest wyróżniony.

Wyświetlanie, odzyskiwanie lub usuwanie miękko usuniętych sekretów, kluczy i certyfikatów

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Wybierz panel odpowiadający typowi tajemnicy, którym chcesz zarządzać (klucze, tajemnice lub certyfikaty).
  4. W górnej części ekranu wybierz pozycję "Zarządzaj usuniętymi kluczami, wpisami tajnymi lub certyfikatami)
  5. Po prawej stronie ekranu zostanie wyświetlone okienko kontekstowe.
  6. Jeśli sekret, klucz lub certyfikat nie pojawia się na liście, nie jest on w stanie miękkiego usunięcia.
  7. Wybierz klucz tajny, klucz lub certyfikat, którym chcesz zarządzać.
  8. Wybierz opcję odzyskania lub przeczyszczenia w dolnej części okienka kontekstowego.

On Keys, the Manage deleted keys option is highlighted.W obszarze Klucze wyróżniono opcję Zarządzaj usuniętymi kluczami.

Następne kroki

  • Last updated on