إدارة استرداد Azure Key Vault مع الحماية من الحذف الناعم والمسح

مقالة
02/20/2024

تتناول هذه المقالة ميزتين لاسترداد Azure Key Vault، وهما الحماية من الحذف الناعم والتطهير. يوفر هذا المستند نظرة عامة على هذه الميزات، ويوضح لك كيفية إدارتها من خلال مدخل Microsoft Azure وAzure CLI وAzure PowerShell.

لمزيد من المعلومات حول Key Vault، راجع

المتطلبات الأساسية

اشتراك Azure - أنشئ اشتراكاً مجاناً
Azure PowerShell.
Azure CLI
Key Vault - يمكنك إنشاء واحد باستخدام مدخل Azure Azure CLI، أو Azure PowerShell

سيحتاج المستخدم إلى الأذونات التالية (على مستوى الاشتراك) لإجراء العمليات على الخزائن المحذوفة مؤقتاً:

الإذن	الوصف
Microsoft.KeyVault/locations/deletedVaults/read	عرض خصائص خزنة المفاتيح المحذوفة بشكل بسيط
Microsoft.KeyVault/locations/deletedVaults/purge/action	تطهير مخزن مفتاح محذوف
Microsoft.KeyVault/locations/operationResults/read	للتحقق من حالة تطهير الخزنة
Key Vault Contributor	لاستعادة الخزنة المحذوفة

ما هي الحماية من الحذف الناعم والتطهير

الحذف الناعم والحماية من التطهير هما ميزتان مختلفتان لاستعادة المخزن الأساسي.

تم تصميمSoft delete لمنع الحذف العرضي لمخزن المفاتيح والمفاتيح والأسرار والشهادات المخزنة داخل خزنة المفاتيح. فكر في الحذف الناعم مثل سلة المحذوفات. عندما تحذف مخزن مفاتيح أو كائن خزنة مفاتيح، سيظل قابلاً للاسترداد لفترة احتفاظ قابلة للتكوين للمستخدم أو فترة افتراضية تبلغ 90 يوماً. يمكن أيضاً purged خزائن المفاتيح في حالة حذفها الناعم ما يعني حذفها نهائيّاً. يتيح لك ذلك إعادة إنشاء خزائن المفاتيح وكائنات خزينة المفاتيح التي تحمل الاسم نفسه. يتطلب كل من استعادة وحذف خزائن المفاتيح والكائنات أذونات نهج وصول مرتفعة. بمجرد تمكين الحذف الناعم، لا يمكن تعطيله.

هام

يجب عليك تمكين الحذف المبدئي في مخازن المفاتيح الخاصة بك على الفور. تم إيقاف القدرة على إلغاء الاشتراك في الحذف المبدئي وستتم إزالتها في فبراير 2025. شاهد التفاصيل الكاملة هنا

من المهم ملاحظة أن أسماء خزينة المفاتيح فريدة بشكل عام، لذلك لن تتمكن من إنشاء خزنة مفاتيح تحمل نفس اسم خزنة المفاتيح في حالة الحذف الناعم. وبالمثل، فإن أسماء المفاتيح والأسرار والشهادات فريدة داخل خزنة المفاتيح. لن تتمكن من إنشاء سر أو مفتاح أو شهادة بنفس اسم آخر في حالة حذف بسيط.

تم تصميمPurge protection لمنع حذف خزنة المفاتيح والمفاتيح والأسرار والشهادات بواسطة مستخدم ضار من الداخل. فكر في هذا على أنه سلة محذوفات ذات قفل زمني. يمكنك استرداد العناصر في أي وقت خلال فترة الاحتفاظ القابلة للتكوين. لن تتمكن من حذف أو مسح خزنة مفاتيح بشكل دائم حتى انقضاء فترة الاحتفاظ. بمجرد انقضاء فترة الاستبقاء، سيتم مسح مخزن المفاتيح أو عنصر مخزن المفاتيح تلقائيّاً.

ملاحظة

صُمِمت حماية المسح بحيث لا يمكن لأي دور أو إذن مسؤول منح الحماية من المسح أو تعطيلها أو التحايل عليها. بمجرد تمكين الحماية من المسح، لا يمكن لأي شخص بما في ذلك Microsoft تعطيلها أو تجاوزها. هذا يعني أنه يجب عليك استعادة مخزن مفاتيح محذوف أو الانتظار حتى انقضاء فترة الاحتفاظ قبل إعادة استخدام اسم مخزن المفاتيح.

لمزيد من المعلومات حول الحذف الناعم، راجع نظرة عامة على الحذف الناعم في Azure Key Vault

التحقق من تمكين الحذف الناعم في مخزن المفاتيح وتمكين الحذف الناعم

سجِّل الدخول إلى مدخل Microsoft Azure.
حدد خزنة المفاتيح الخاصة بك.
انقر فوق شفرة "خصائص".
تحقق مما إذا كان زر الاختيار الموجود بجوار الحذف الناعم مضبوطاً على "تمكين الاسترداد".
إذا لم يتم تمكين الحذف الناعم في خزنة المفاتيح، فانقر فوق زر الاختيار لتمكين الحذف الناعم وانقر فوق "حفظ".

في الخصائص، يتم تمييز الحذف الناعم، وكذلك قيمة تمكينه.

منح حق الوصول إلى مدير الخدمة لتطهير واستعادة الأسرار المحذوفة

سجِّل الدخول إلى مدخل Microsoft Azure.
حدد خزنة المفاتيح الخاصة بك.
انقر فوق شفرة "نهج الوصول".
في الجدول، ابحث عن صف أساس الأمان الذي ترغب في منح حق الوصول إليه (أو قم بإضافة أساس أمان جديد).
انقر فوق القائمة المنسدلة للمفاتيح والشهادات والأسرار.
مرر إلى أسفل القائمة المنسدلة وانقر على "استرداد" و"تطهير"
ستحتاج أساسيات الأمان أيضاً إلى الحصول على وظائف قائمة لأداء معظم العمليات.

في جزء التنقل الأيمن، يتم تمييز نُهج الوصول. في نُهج الوصول، يتم عرض القائمة المنسدلة للمواضع السرية، ويتم تحديد أربعة عناصر: الحصول، والقائمة، والاسترداد، والمسح.

سرد أو استرداد أو مسح خزنة المفاتيح المحذوفة بشكل بسيط

سجِّل الدخول إلى مدخل Microsoft Azure.
انقر فوق شريط البحث في أعلى الصفحة.
ابحث عن خدمة "Key Vault". لا تنقر فوق خزنة مفاتيح فردية.
في الجزء العلوي من الشاشة انقر على خيار "إدارة الخزائن المحذوفة"
سيتم فتح جزء السياق على الجانب الأيمن من الشاشة.
حدد اشتراكك.
إذا تم حذف خزنة المفاتيح بشكل بسيط، فستظهر في جزء السياق على اليمين.
إذا كان هناك عدد كبير جدّاً من الخزائن، فيمكنك إما النقر فوق "تحميل المزيد" أسفل جزء السياق أو استخدام CLI أو PowerShell للحصول على النتائج.
بمجرد العثور على الخزنة التي ترغب في استردادها أو إزالتها، حدد خانة الاختيار المجاورة لها.
حدد خيار الاسترداد في الجزء السفلي من جزء السياق إذا كنت ترغب في استرداد خزنة المفاتيح.
حدد خيار المسح إذا كنت ترغب في حذف خزنة المفاتيح نهائيّاً.

في خزانات المفاتيح، يتم تمييز خيار

عند إدارة خزانات المفاتيح المحذوفة، يتم تمييز مخزن المفاتيح المدرج الوحيد وتحديده، ويتم تمييز الزر

سرد الأسرار والمفاتيح والشهادات المحذوفة أو استعادتها أو حذفها

سجِّل الدخول إلى مدخل Microsoft Azure.
حدد خزنة المفاتيح الخاصة بك.
حدد التعليمة البرمجية المطابقة لنوع السر الذي تريد إدارته (مفاتيح أو أسرار أو شهادات).
في الجزء العلوي من الشاشة، انقر فوق "إدارة المحذوفة (مفاتيح أو أسرار أو شهادات)
سيظهر جزء السياق على الجانب الأيمن من الشاشة.
إذا لم يظهر سرك أو مفتاحك أو شهادتك في القائمة، فهذا يعني أنها ليست في حالة الحذف الأولى.
حدد السر أو المفتاح أو الشهادة التي ترغب في إدارتها.
حدد خيار الاسترداد أو المسح في الجزء السفلي من جزء السياق.

في المفاتيح، تم تمييز خيار إدارة المفاتيح المحذوفة.

Key Vault - مفتاح

التحقق من تمكين الحذف الناعم في مخزن المفاتيح

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

تفعيل الحذف الناعم في خزنة المفاتيح

يتم تمكين الحذف الناعم افتراضيّاً في جميع خزائن المفاتيح الجديدة. إذا كان لديك حاليّاً خزنة مفاتيح لم يتم تمكين الحذف الناعم بها، فاستخدم الأمر التالي لتمكين الحذف الناعم.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```
حذف خزنة المفاتيح (قابل للاسترداد إذا تم تمكين الحذف الناعم)
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
```
قائمة بجميع خزائن المفاتيح المحذوفة بشكل بسيط
```
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault
```
استعادة خزنة المفاتيح المحذوفة بشكل بسيط
```
az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```
قم بإزالة خزنة المفاتيح المحذوفة بشكل بسيط (تحذير! ستحذف هذه العملية خزينتك الرئيسية نهائيّاً)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

تفعيل الحماية من التطهير على خزينة المفاتيح

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

الشهادات (CLI)

منح حق الوصول لإزالة الشهادات واستردادها

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

حذف الشهادة

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

سرد الشهادات المحذوفة

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

استعادة الشهادة المحذوفة

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

إزالة الشهادة المحذوفة نهائيّاً (تحذير! ستؤدي هذه العملية إلى حذف شهادتك نهائيّاً)
```
az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
```

مفاتيح (CLI)

منح حق الوصول لمسح المفاتيح واستعادتها

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

مفتاح الحذف

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

إدراج المفاتيح المحذوفة

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

استعادة المفتاح المحذوف

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

إزالة المفتاح المحذوف نهائيّاً (تحذير! ستحذف هذه العملية مفتاحك نهائيّاً)
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
```

الأسرار (CLI)

منح حق الوصول للتطهير واستعادة الأسرار

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

حذف السر

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

قائمة الأسرار المحذوفة

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

استعادة السر المحذوف

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

إزالة الأسرار المحذوفة نهائيّاً (تحذير! ستحذف هذه العملية سرّك نهائيّاً)
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Key Vault PowerShell cmdlets

التحقق من تمكين الحذف الناعم في مخزن المفاتيح
```
Get-AzKeyVault -VaultName "ContosoVault"
```

حذف مفتاح الخزنة

Remove-AzKeyVault -VaultName 'ContosoVault'

قائمة بجميع خزائن المفاتيح المحذوفة بشكل بسيط
```
Get-AzKeyVault -InRemovedState
```

استعادة خزنة المفاتيح المحذوفة بشكل بسيط

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

قم بإزالة خزينة المفاتيح المحذوفة بشكل بسيط (تحذير! ستحذف هذه العملية خزينتك الرئيسية نهائيّاً)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

تفعيل الحماية من التطهير على خزينة المفاتيح

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

الشهادات (بوويرشيل)

منح أذونات لاستعادة الشهادات ومسحها

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

حذف شهادة

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

قائمة بجميع الشهادات المحذوفة في مخزن المفاتيح
```
Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
```

استعادة شهادة في الحالة المحذوفة

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

إزالة شهادة محذوفة نهائيّاً (تحذير! ستؤدي هذه العملية إلى حذف شهادتك نهائيّاً)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

مفاتيح (بوويرشيل)

منح أذونات لاسترداد المفاتيح وتطهيرها

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

حذف مفتاح

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

قائمة بجميع المفاتيح المحذوفة في مخزن المفاتيح
```
Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
```

لاستعادة مفتاح تم حذفه مبدئيّاً

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

قم بإزالة مفتاح محذوف مبدئيّاً (تحذير! ستحذف هذه العملية مفتاحك نهائيّاً)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

أسرار (بوويرشيل)

منح أذونات لاستعادة الأسرار وتطهيرها

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

احذف سرّاً باسم SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

قائمة بجميع الأسرار المحذوفة في مخزن المفاتيح
```
Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
```

استعادة السر في الحالة المحذوفة

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

قم بإزالة سر في الحالة المحذوفة (تحذير! ستحذف هذه العملية مفتاحك نهائيّاً)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```