Gerenciamento da recuperação do Azure Key Vault com exclusão temporária e proteção contra limpeza

Este artigo aborda dois recursos de recuperação do Azure Key Vault, exclusão temporária e proteção contra eliminação. Este documento fornece uma visão geral desses recursos e mostra como gerenciá-los por meio do portal do Azure, CLI do Azure e Azure PowerShell.

Importante

Se um cofre de chaves não tiver a proteção de exclusão temporária habilitada, excluir uma chave a excluirá permanentemente. Os clientes são fortemente encorajados a ligar a imposição de exclusão temporária para seus cofres por meio do Azure Policy.

Visão geral das opções de recuperação

O Azure Key Vault oferece várias opções para garantir a disponibilidade e a capacidade de recuperação dos dados do seu cofre:

Redundância automática e failover: o Key Vault replica automaticamente os dados entre regiões e manipula o failover durante interrupções – consulte a disponibilidade e a redundância do Azure Key Vault
Exclusão temporária e proteção contra limpeza (abordadas neste artigo): evitam a exclusão acidental ou mal-intencionada do seu cofre ou de seus objetos
Backup e restauração manuais: para segredos, chaves e certificados individuais - consulte o backup do Azure Key Vault

Este artigo aborda os recursos de exclusão temporária e proteção contra limpeza, que ajudam a proteger contra exclusões acidentais ou mal-intencionadas.

Pré-requisitos

Uma assinatura do Azure – crie uma gratuitamente
Azure PowerShell.
CLI do Azure
Um Key Vault – crie um usando o portal do Azure, a CLI do Azure ou o Azure PowerShell

O usuário precisa das seguintes permissões (no nível da assinatura) para executar operações em cofres com exclusão temporária:

Permissão	Descrição
Microsoft.KeyVault/locations/deletedVaults/read	Exibir as propriedades de um cofre de chaves com exclusão temporária
Microsoft.KeyVault/locations/deletedVaults/purge/action	Limpar um cofre de chaves com exclusão temporária
Microsoft.KeyVault/locations/operationResults/read	Para verificar o estado de limpeza do cofre
Colaborador do Key Vault	Para recuperar um cofre com exclusão temporária

O que são a exclusão temporária e a proteção contra limpeza

A exclusão temporária e a proteção contra limpeza são dois recursos diferentes de recuperação do cofre de chaves.

A função Soft delete é projetada para evitar a exclusão acidental de seu cofre de chaves e os itens armazenados nele, como chaves, segredos e certificados. Pense na exclusão temporária como uma lixeira. Quando você exclui um cofre de chaves ou um objeto de cofre de chaves, ele permanece recuperável por um período de retenção configurável pelo usuário ou, por padrão, por 90 dias. Os cofres de chaves no estado de exclusão temporária também podem ser limpos (excluídos permanentemente), permitindo recriar cofres de chaves e objetos de cofre de chaves com o mesmo nome. A recuperação e a exclusão de cofres de chaves e objetos exigem permissões elevadas da política de acesso. Depois que a exclusão reversível for habilitada, ela não poderá ser desabilitada.

É importante observar que os nomes do cofre de chaves são globalmente exclusivos, portanto, não é possível criar um cofre de chaves com o mesmo nome que um cofre de chaves no estado de exclusão temporária. Da mesma forma, os nomes de chaves, segredos e certificados são exclusivos em um cofre de chaves. Não é possível criar um segredo, chave ou certificado com o mesmo nome que outro no estado de exclusão temporária.

A proteção contra limpeza é projetada para impedir a exclusão de seu cofre de chaves, chaves, segredos e certificados por um indivíduo mal-intencionado dentro da organização. Considere como uma lixeira com um bloqueio baseado em tempo. É possível recuperar itens em qualquer ponto durante o período de retenção configurável. Não será possível excluir ou limpar permanentemente um cofre de chaves até que o período de retenção tenha decorrido. Depois que o período de retenção expirar, o cofre de chaves ou o objeto do cofre de chaves é limpo automaticamente.

Observação

A Proteção contra exclusão é projetada para garantir que nenhuma função de administrador ou permissão consiga substituir, desabilitar ou burlar a proteção contra exclusão. Quando a proteção contra limpeza estiver habilitada, ela não poderá ser desabilitada ou substituída por ninguém, incluindo a Microsoft. Isso significa que você deve recuperar um cofre de chaves excluído ou esperar até que o período de retenção termine antes de reutilizar o nome do cofre de chaves.

Esses recursos são altamente recomendados para ambientes de produção.

Para obter mais informações sobre a exclusão suave, confira Visão geral da exclusão suave do Azure Key Vault

Verifique se a exclusão suave está ativada em um cofre de chaves e habilite a exclusão suave

Entre no portal do Azure.
Selecione seu cofre de chaves.
Selecione a folha “Propriedades”.
Verifique se o botão de opção ao lado de exclusão temporária está definido como "Habilitar Recuperação".
Se a funcionalidade de "soft-delete" não estiver ativada no cofre de chaves, selecione o botão de rádio para habilitar o "soft-delete" e clique em "Salvar".

Em Propriedades, a exclusão temporária está realçada, assim como o valor para habilitá-la.

Conceder acesso a uma entidade de serviço para limpar e recuperar segredos excluídos

Entre no portal do Azure.
Selecione seu cofre de chaves.
Selecione a folha “Política de Acesso”.
Na tabela, localize a linha da entidade de segurança à qual deseja conceder acesso (ou adicione uma nova entidade de segurança).
Selecione a lista suspensa para chaves, certificados e segredos.
Role até a parte inferior da lista suspensa e selecione “Recuperar” e “Limpar”
As entidades de segurança também precisam das funcionalidades “obter” e “listar” para executar a maioria das operações.

No painel de navegação à esquerda, a opção Políticas de acesso está realçada. Em Políticas de acesso, a lista suspensa de Posições Secretas é mostrada e quatro itens são selecionados: Obter, Listar, Recuperar e Limpar.

Listar, recuperar ou limpar um cofre de chaves com exclusão temporária

Entre no portal do Azure.
Selecione a barra de pesquisa na parte superior da página.
Pesquise pelo serviço "Key Vault". Não selecione um cofre de chaves individual.
Na parte superior da tela, selecione a opção para “Gerenciar cofres excluídos”
Um painel de contexto é aberto no lado direito da tela.
Selecione sua assinatura.
Se o cofre de chaves foi excluído de forma temporária, ele será exibido no painel de contexto à direita.
Se houver muitos cofres, será possível selecionar “Carregar mais” na parte inferior do painel de contexto ou usar a CLI ou o PowerShell para obter os resultados.
Quando encontrar o cofre que deseja recuperar ou limpar, marque a caixa de seleção ao lado dele.
Selecione a opção recuperar na parte inferior do painel de contexto se desejar recuperar o cofre de chaves.
Selecione a opção limpar se desejar excluir permanentemente o cofre de chaves.

Em Key Vaults, a opção Gerenciar cofres excluídos está realçada.

Em Gerenciar cofres de chaves excluídos, o único cofre de chaves listado é realçado e selecionado e o botão Recuperar é realçado.

Listar, recuperar ou limpar segredos, chaves e certificados excluídos de forma temporária

Entre no portal do Azure.
Selecione seu cofre de chaves.
Selecione a folha correspondente ao tipo de segredo que deseja gerenciar (chaves, segredos ou certificados).
Na parte superior da tela, selecione “Gerenciar excluídos (chaves, segredos ou certificados)
Um painel de contexto é exibido no lado direito da tela.
Se seu segredo, chave ou certificado não aparecer na lista, ele não estará no estado de exclusão temporária.
Selecione o segredo, a chave ou o certificado que deseja gerenciar.
Selecione a opção para recuperar ou limpar na parte inferior do painel de contexto.

Em Chaves, a opção Gerenciar chaves excluídas está realçada.

Key Vault (CLI)

Verifique se o cofre de chaves tem a exclusão temporária habilitada

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Habilitar exclusão reversível no cofre de chaves

Todos os novos cofres de chaves têm exclusão temporária habilitada por padrão. Caso tenha atualmente um cofre de chaves que não tenha a exclusão reversível habilitada, use o comando a seguir para habilitar a exclusão reversível.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```

Excluir cofre de chaves (recuperável se a exclusão reversível estiver habilitada)

az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Listar todos os cofres de chaves com exclusão temporária

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Recuperar um cofre de chaves com exclusão temporária

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Limpar cofre de chaves com exclusão temporária (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SEU COFRE DE CHAVES)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Habilitar a proteção contra limpeza no cofre de chaves

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certificados (CLI)

Conceder acesso para limpar e recuperar certificados

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Excluir certificado

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Listar os certificados excluídos

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar certificado excluído

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Limpar certificado com exclusão temporária (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SEU CERTIFICADO)

az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Chaves (CLI)

Conceder acesso para limpar e recuperar chaves

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Excluir chave

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Listar chaves excluídas

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar chave excluída

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Limpar chave excluída de forma temporária (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SUA CHAVE)
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
```

Segredos (CLI)

Conceder acesso para limpar e recuperar segredos

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Excluir segredo

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Listar os segredos excluídos

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar segredo excluído

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Limpar segredo excluído de forma temporária (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SEU SEGREDO)
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Key Vault (PowerShell)

Verifique se o cofre de chaves tem a exclusão temporária habilitada
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Excluir o cofre de chaves

Remove-AzKeyVault -VaultName 'ContosoVault'

Listar todos os cofres de chaves com exclusão temporária
```
Get-AzKeyVault -InRemovedState
```

Recuperar um cofre de chaves com exclusão temporária

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Limpar cofre de chaves com exclusão temporária (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SEU COFRE DE CHAVES)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Habilitar a proteção contra limpeza no cofre de chaves

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certificados (PowerShell)

Conceder permissões para recuperar e limpar certificados

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Excluir um Certificado

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Listar todos os certificados excluídos em um cofre de chaves

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Recuperar um certificado no estado excluído

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Limpar um certificado excluído de forma temporária (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SEU CERTIFICADO)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Chaves (PowerShell)

Conceder permissões para recuperar e limpar chaves

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Excluir uma chave

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Listar todas as chaves excluídas em um cofre de chaves

Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState

Para recuperar uma chave excluída de forma temporária

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Limpar uma chave com exclusão temporária (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SUA CHAVE)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Segredos (PowerShell)

Conceder permissões para recuperar e limpar segredos

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Excluir um segredo chamado SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Listar todos os segredos excluídos em um cofre de chaves

Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState

Recuperar um segredo no estado excluído

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Limpar um segredo no estado excluído (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE SUA CHAVE)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

Próximas etapas

Comentários

Esta página foi útil?

Last updated on 2025-04-21