Backup e restauro completos e restauração seletiva de chaves

O HSM gerido suporta a criação de uma cópia de segurança completa de todo o conteúdo do HSM, incluindo todas as chaves, versões, atributos, etiquetas e atribuições de funções. O backup é encriptado com chaves criptográficas associadas ao domínio de segurança do HSM.

O backup é uma operação de plano de dados. O chamador que inicia a operação de backup deve ter permissão para executar dataAction Microsoft.KeyVault/managedHsm/backup/start/action.

Apenas as seguintes funções incorporadas têm permissão para realizar backup completo.

• Administrador de HSM Gerenciado
• Cópia de Segurança do HSM Gerido

Existem duas formas de executar uma cópia de segurança/restauração completa:

1. Atribuição de uma Identidade Gerida Atribuída pelo Utilizador (UAMI) ao serviço HSM Gerido. Pode fazer backup e restaurar o seu MHSM usando uma identidade gerida atribuída pelo utilizador, independentemente de a sua conta de armazenamento ter acesso à rede pública ou privada ativado. Se a conta de armazenamento estiver atrás de um endpoint privado, o método UAMI utiliza o bypass de serviço confiável para permitir o backup e a restauração.
2. Usando token SAS do contentor de armazenamento com permissões crdw. Fazer backup e restaurar usando o token SAS do contentor de armazenamento requer que a sua conta de armazenamento tenha acesso à rede pública ativado.

Deve fornecer as seguintes informações para executar uma cópia de segurança completa:

• Nome ou URL do HSM
• Nome da conta de armazenamento
• Contentor de blobs da conta de armazenamento
• Identidade gerida atribuída pelo utilizador ou token SAS do contentor de armazenamento com permissões crdw

Azure Cloud Shell

O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Você pode usar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção	Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell.
Vá para https://shell.azure.com, ou selecione o botão Iniciar o Cloud Shell para abrir o Cloud Shell no navegador.
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure.

Para usar o Azure Cloud Shell:

1. Inicie o Cloud Shell.

2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

4. Selecione Enter para executar o código ou comando.

Pré-requisitos para fazer backup e restaurar usando a identidade gerida atribuída pelo utilizador:

1. Certifique-se de que tem a CLI do Azure versão 2.56.0 ou posterior. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, veja Instalar a CLI do Azure.
2. Crie uma identidade gerida atribuída pelo utilizador.
3. Crie uma conta de armazenamento (ou use uma conta de armazenamento existente). A conta de armazenamento não pode ter uma política de imutabilidade aplicada.
4. Se o acesso à rede pública estiver desativado na sua conta de armazenamento, ative o bypass de serviço confiável na conta de armazenamento no separador "Rede", em "Exceções".
5. Fornecer acesso à função de 'Storage Blob Data Contributor' à identidade gerida pelo utilizador criada no passo 2, indo ao separador "Controlo de Acesso" no portal e selecionando "Adicionar Atribuição de Funções". Depois seleciona "identidade gerida" e seleciona a identidade gerida criada no passo 2 -> Rever + Atribuir
6. Crie o HSM gerido e associe a identidade gerida:

   az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 
   

Se tiver um HSM Gerido existente, associe a identidade gerida atualizando o MHSM com o comando abaixo.

 az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 

Backup completo

O backup é uma operação de longa duração, mas devolve imediatamente um ID de Trabalho. Pode verificar o estado do processo de backup usando este ID de Trabalho. O processo de backup cria uma pasta dentro do contentor designado com o seguinte padrão mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}de nomenclatura , onde HSM_NAME é o nome do HSM gerido que está a ser guardado e YYYY, MM, DD, HH, MM, MM, SS SÃO O ANO, MÊS, DATA, HORA, MINUTOS E SEGUNDOS DE DATA/HORA EM UTC QUANDO O COMANDO DE BACKUP FOI RECEBIDO.

Enquanto a cópia de segurança está em curso, o HSM pode não operar a pleno rendimento, pois algumas partições HSM estão ocupadas a realizar a operação de backup.

Backup de HSM usando identidade gerida atribuída pelo utilizador

az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer

Backup HSM usando token SAS

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}

Restauração completa

A restauração completa permite-lhe restaurar completamente o conteúdo do HSM com uma cópia de segurança anterior, incluindo todas as chaves, versões, atributos, etiquetas e atribuições de funções. Tudo o que está atualmente armazenado no HSM é apagado e volta ao mesmo estado em que estava quando o backup de origem foi criado.

A restauração é uma operação do plano de dados. O chamador que inicia a operação de restauro deve ter permissão para executar dataAction Microsoft.KeyVault/managedHsm/restore/start/action. O HSM de origem onde o backup foi criado e o HSM de destino onde a restauração será realizada devem ter o mesmo Domínio de Segurança. Veja mais sobre o Domínio Gerido de Segurança HSM.

Existem duas formas de executar uma restauração completa. Deve fornecer as seguintes informações para executar uma restauração completa:

• Nome ou URL do HSM
• Nome da conta de armazenamento
• Contentor de blob da conta de armazenamento
• Identidade gerida atribuída ao utilizador OU token SAS de contentor de armazenamento com permissões rl
• Nome da pasta do contentor de armazenamento onde está guardado o backup de origem

A restauração é uma operação de longa duração, mas devolve imediatamente um ID de Trabalho. Pode verificar o estado do processo de restauro usando este ID de Trabalho. Quando o processo de restauração está em andamento, o HSM entra em modo de restauração e todos os comandos do plano de dados (exceto verificar o estado de restauro) são desativados.

Restaurar HSM usando identidade gerida atribuída pelo utilizador

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true

Restaurar o HSM usando o token SAS

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Restore HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Restauração seletiva de chaves

A restauração seletiva de chaves permite-lhe restaurar uma chave individual com todas as suas versões de chave a partir de uma cópia de segurança anterior para um HSM. A chave deve ser eliminada para que a restauração seletiva da chave funcione. Caso esteja a tentar recuperar uma chave eliminada temporariamente, utilize o comando key recover. Saiba mais sobre a recuperação de chaves.

Restauro seletivo de chave usando identidade gerida atribuída pelo utilizador

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2

Restauro seletivo de chaves usando token SAS

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2

Próximas Etapas

• Veja Gerenciar um HSM Gerido usando a Azure CLI.
• Saiba mais sobre o Domínio de Segurança HSM Gerido