نظرة عامة على الحذف الناعم لـ Azure Key Vault

هام

إذا لم يتم تمكين حماية الحذف المبدئي لمخزن المفاتيح، فإن حذف مفتاح يؤدي إلى حذفه نهائيا. يتم تشجيع العملاء بشدة على تشغيل فرض الحذف المبدئي لخزائنهم عبر Azure Policy.

هام

عندما يتم حذف Key Vault بشكل مبدئي، سيتم حذف الخدمات المدمجة مع Key Vault. على سبيل المثال: تعيينات أدوار التحكم في الوصول استناداً إلى الدور في Azure واشتراكات شبكة الأحداث. استرداد Key Vault تم حذفها بشكل مبدئي لن يُعيد هذه الخدمات. سيتعين عليك إعادة إنشائها.

تتيح ميزة الحذف المبدئي في Key Vault استعادة الخزائن المحذوفة وعناصر خزنة المفاتيح المحذوفة (على سبيل المثال: المفاتيح، والأسرار، والشهادات)، والمعروفة باسم الحذف المبدئي. على وجه التحديد، نتناول السيناريوهات التالية: توفر هذه الحماية خدمات الحماية التالية:

• بمجرد حذف سر أو مفتاح أو شهادة أو مخزن مفاتيح، يظل قابلا للاسترداد لفترة قابلة للتكوين من 7 إلى 90 يوما تقويميا. إذا لم يتم تحديد أي تكوين، يتم تعيين فترة الاسترداد الافتراضية إلى 90 يوما لتزويد المستخدمين بوقت كاف لملاحظة الحذف السري العرضي والاستجابة.
• يجب إجراء عمليتين لحذف السر نهائيًّا. أولًا- يجب على المستخدم حذف العنصر، مما يضعه في حالة الحذف المبدئي. ثانيًا- يجب على المستخدم مسح العنصر في حالة الحذف المبدئي. تقلل هذه الحماية من مخاطر حذف مستخدم عن طريق الخطأ أو بشكل ضار لسر أو مخزن مفاتيح.
• لإزالة سر، مفتاح، شهادة في حالة الحذف المبدئي، يجب منح أساس الأمان إذن عملية "التطهير" (مع الدور المضمن في Key Vault"عامل تشغيل إزالة Key Vault"، على سبيل المثال).

الواجهات الداعمة

تتوفر ميزة الحذف المبدئي من خلال واجهات REST API وAzure CLI وAzure PowerShell و.NET/C#، بالإضافة إلى قوالب ARM.

السيناريوهات

Azure Key Vaults هي موارد متعقبة يديرها Azure Resource Manager. يحدد Azure Resource Manager أيضًا سلوكًا محددًا جيدًا للحذف، والذي يتطلب أن تؤدي عملية DELETE الناجحة إلى عدم إمكانية الوصول إلى هذا المورد بعد الآن. تتناول ميزة الحذف المبدئي استرداد العنصر المحذوف؛ سواء كان الحذف عرضيًّا أو متعمدًا.

1. في السيناريو النموذجي، يحذف المستخدم دون قصد خزنة مفاتيح أو كائن مخزن مفاتيح؛ إذا كان مخزن المفاتيح أو عنصر مخزن المفاتيح هذا قابلا للاسترداد لفترة محددة مسبقا، يمكن للمستخدم التراجع عن الحذف واسترداد بياناته.

2. في سيناريو مختلف، يمكن للمستخدم المخادع محاولة حذف مخزن مفاتيح أو عنصر مخزن مفاتيح، مثل مفتاح داخل مخزن، للتسبب في تعطيل العمل. يمكن استخدام فصل حذف مخزن المفاتيح أو عنصر خزنة المفاتيح عن الحذف الفعلي للبيانات الأساسية كإجراء أمان، على سبيل المثال، من خلال تقييد أذونات حذف البيانات إلى دور مختلف وموثوق. يتطلب هذا النهج بشكل فعال النِّصاب القانوني للعملية التي قد تؤدي بخلاف ذلك إلى فقدان البيانات على الفور.

سلوك الحذف المبدئي

عند تمكين الحذف المبدئي يتم الاحتفاظ بالموارد التي تم تمييزها كموارد محذوفة لفترة محددة (90 يومًا افتراضيًّا). توفر الخدمة كذلك آلية لاستعادة العنصر المحذوف، بشكل أساسي التراجع عن الحذف.

عند إنشاء خزنة مفاتيح جديدة، يتم تشغيل ميزة الحذف المبدئي افتراضيًّا. بمجرد تمكين الحذف المبدئي على خزنة المفاتيح، لا يمكن تعطيله.

يمكن تكوين الفاصل الزمني لنهج الاستبقاء فقط أثناء إنشاء مخزن المفاتيح ولا يمكن تغييره بعد ذلك. يمكنك تعيينه في أي مكان من 7 إلى 90 يوما، مع 90 يوما يكون الافتراضي. ينطبق نفس الفاصل الزمني على كل من الحذف المبدئي ونهج استبقاء الحماية من المسح.

لا يمكنك إعادة استخدام اسم خزنة المفاتيح التي تم حذفها بشكل مبدئي، حتى تنتهي فترة الاستبقاء.

حماية المسح

تعد الحماية من المسح أحد سلوكيات Key Vault الاختيارية و لا يتم تمكينها افتراضيًّا. لا يمكن تمكين الحماية من المسح إلا بعد تمكين الحذف المبدئي. يوصى بحماية المسح عند استخدام مفاتيح التشفير لمنع فقدان البيانات. تتطلب معظم خدمات Azure التي تتكامل مع Azure Key Vault، مثل التخزين، حماية المسح لمنع فقدان البيانات.

عند تشغيل الحماية من الإزالة، لا يمكن إزالة مخزن أو كائن في الحالة المحذوفة حتى تمر فترة الاستبقاء. لا يزال من الممكن استرداد الخزائن والعناصر المحذوفة مبدئيا، مما يضمن اتباع نهج الاستبقاء.

فترة الاستبقاء الافتراضية هي 90 يوما، ولكن من الممكن تعيين الفاصل الزمني لنهج الاستبقاء على قيمة من 7 إلى 90 يوما من خلال مدخل Microsoft Azure. بمجرد تعيين الفاصل الزمني لنهج الاستبقاء وحفظه، لا يمكن تغييره لهذا المخزن.

يمكن تشغيل الحماية من الإزالة عبر CLI أو PowerShell أو المدخل.

المسح المسموح به

يمكن حذف خزنة المفاتيح أو مسحها نهائيًّا من خلال عملية POST على مورد الوكيل وتتطلب امتيازات خاصة. بشكل عام، يمكن فقط لمالك الاشتراك أو المستخدم الذي لديه دور التحكم في الوصول استنادا إلى الدور "Key Vault Purge Operator" إزالة مخزن مفاتيح. تؤدي عملية POST إلى الحذف الفوري وغير القابل للاسترداد لهذا المخزن.

الاستثناءات هي:

• عندما يتم وضع علامة على اشتراك Azure على أنه غير قابل للإلغاء. في هذه الحالة، يمكن للخدمة فقط تنفيذ الحذف الفعلي، وتفعل ذلك كعملية مجدولة.
• عندما يتم تمكين الوسيطة --enable-purge-protection في المخزن نفسه. في هذه الحالة، سينتظر Key Vault لمدة من 7 إلى 90 يوما من الوقت الذي تم فيه وضع علامة على الكائن السري الأصلي للحذف لحذف الكائن نهائيا.

لمعرفة الخطوات، راجع كيفية استخدام الحذف المبدئي في Key Vault باستخدام CLI: مسح key vault أو كيفية استخدام الحذف المبدئي في Key Vault باستخدام PowerShell: مسح key vault.

استعادة خزنة المفاتيح

عند حذف مخزن مفاتيح، تنشئ الخدمة مورد وكيل ضمن الاشتراك، مع إضافة بيانات تعريف كافية للاسترداد. المورد الوكيل هو عنصر مخزن، متاح في نفس الموقع مثل خزنة المفاتيح المحذوفة.

استعادة عنصر المخزن الرئيسي

عند حذف عنصر key vault، مثل مفتاح، تضع الخدمة الكائن في حالة محذوفة، ما يجعله غير قابل للوصول إلى أي عمليات استرداد. أثناء وجوده في هذه الحالة، يمكن فقط إدراج عنصر خزنة المفاتيح أو استعادته أو حذفه بالقوة/ بشكل دائم. لعرض العناصر، استخدم الأمر Azure CLI az keyvault key list-deleted (كما هو موثق في كيفية استخدام Key Vault soft-delete with CLI)، أو أمر Azure PowerShell Get-AzKeyVault -InRemovedState (كما هو موضح في كيفية استخدام Key Vault soft-delete مع PowerShell).

في الوقت نفسه، سيقوم Key Vault بجدولة حذف البيانات الأساسية المقابلة لخزينة المفاتيح المحذوفة أو عنصر المخزن الرئيسي للتنفيذ بعد فترة استبقاء محددة مسبقًا. يتم أيضا الاحتفاظ بسجل DNS المقابل للمخزن أثناء فترة الاستبقاء.

فترة الاحتفاظ بالحذف المبدئي

يتم الاحتفاظ بالموارد المحذوفة مؤقتًا لفترة زمنية محددة، 90 يومًا. أثناء فترة الاحتفاظ بالحذف المبدئي، يتم تطبيق ما يلي:

• يمكنك سرد جميع خزائن المفاتيح وكائنات خزنة المفاتيح في حالة الحذف المبدئي لاشتراكك بالإضافة إلى الوصول إلى معلومات الحذف والاسترداد عنها.
  • يمكن فقط للمستخدمين الذين لديهم أذونات خاصة سرد الخزائن المحذوفة. نوصي بأن يقوم مستخدمونا بإنشاء دور مخصص بهذه الأذونات الخاصة؛ للتعامل مع الخزائن المحذوفة.
• لا يمكن إنشاء مخزن مفاتيح بنفس الاسم في نفس الموقع؛ في المقابل، لا يمكن إنشاء عنصر key vault في مخزن معين إذا كان مخزن المفاتيح هذا يحتوي على عنصر بنفس الاسم وهو في حالة حذف.
• يمكن فقط للمستخدم المميز خصيصا استعادة مخزن مفاتيح أو كائن key vault عن طريق إصدار أمر استرداد على مورد الوكيل المقابل.
  • يمكن للمستخدم، العضو في الدور المخصص، الذي لديه امتياز إنشاء مخزن مفاتيح ضمن مجموعة الموارد، استعادة المخزن.
• يمكن للمستخدم المميز تحديدا فقط حذف مخزن مفاتيح أو كائن key vault قسرا عن طريق إصدار أمر حذف على مورد الوكيل المقابل.

ما لم يتم استرداد مخزن مفتاح أو عنصر خزنة مفاتيح، في نهاية فترة الاستبقاء، تقوم الخدمة بإجراء مسح لخزن المفاتيح أو عنصر خزنة المفاتيح ومحتوياته. لا يمكن إعادة جدولة حذف الموارد.

الآثار المترتبة على الفواتير

بشكل عام، عندما يكون عنصر (خزنة مفاتيح أو مفتاح أو سر) في حالة محذوفة، فهناك عمليتان فقط ممكنتان: "المسح" و"الاسترداد". ستفشل جميع العمليات الأخرى. لذلك، على الرغم من وجود عنصر، لا يمكن إجراء أي عمليات، وبالتالي لن يحدث أي استخدام، لذلك لا يوجد فاتورة. ومع ذلك، هناك الاستثناءات التالية:

• سيتم احتساب إجراءات "المسح" و"الاسترداد" ضمن عمليات خزنة المفاتيح العادية، وستتم محاسبتها.
• إذا كان العنصر عبارة عن مفتاح HSM، فسيتم تطبيق رسوم "مفتاح HSM المحمي" لكل إصدار مفتاح شهريًّا إذا تم استخدام إصدار مفتاح في آخر 30 يومًا. بعد ذلك، نظرًا لأن العنصر في حالة محذوفة، فلا يمكن إجراء أي عمليات ضده؛ لذلك لن يتم تطبيق أي رسوم.

الخطوات التالية

تقدم الأدلة الثلاثة التالية سيناريوهات الاستخدام الأساسية لاستخدام الحذف المبدئي.

• كيفية استخدام Key Vault soft-delete with Portal
• كيفية استخدام الحذف المبدئي لـ Key Vault مع PowerShell
• كيفية استخدام الحذف المبدئي لـ Key Vault مع CLI