إدارة استرداد Azure Key Vault مع الحماية من الحذف الناعم والمسح

مقالة
10/04/2024

تتناول هذه المقالة ميزتين لاسترداد Azure Key Vault، وهما الحماية من الحذف الناعم والتطهير. يوفر هذا المستند نظرة عامة على هذه الميزات، ويوضح لك كيفية إدارتها من خلال مدخل Microsoft Azure وAzure CLI وAzure PowerShell.

هام

إذا لم يتم تمكين حماية الحذف المبدئي لمخزن المفاتيح، فإن حذف مفتاح يؤدي إلى حذفه نهائيا. يتم تشجيع العملاء بشدة على تشغيل فرض الحذف المبدئي لخزائنهم عبر Azure Policy.

لمزيد من المعلومات حول Key Vault، راجع

المتطلبات الأساسية

اشتراك Azure - أنشئ اشتراكاً مجاناً
Azure PowerShell.
Azure CLI
مخزن مفاتيح - يمكنك إنشاء واحد باستخدام مدخل Microsoft Azure Azure CLI، أو Azure PowerShell

يحتاج المستخدم إلى الأذونات التالية (على مستوى الاشتراك) لتنفيذ العمليات على الخزائن المحذوفة مبدئيا:

الإذن	‏‏الوصف
Microsoft.KeyVault/locations/deletedVaults/read	عرض خصائص خزنة المفاتيح المحذوفة بشكل بسيط
Microsoft.KeyVault/locations/deletedVaults/purge/action	تطهير مخزن مفتاح محذوف
Microsoft.KeyVault/locations/operationResults/read	للتحقق من حالة تطهير الخزنة
Key Vault Contributor	لاستعادة الخزنة المحذوفة

ما هي الحماية من الحذف الناعم والتطهير

الحذف الناعم والحماية من التطهير هما ميزتان مختلفتان لاستعادة المخزن الأساسي.

تم تصميمSoft delete لمنع الحذف العرضي لمخزن المفاتيح والمفاتيح والأسرار والشهادات المخزنة داخل خزنة المفاتيح. فكر في الحذف الناعم مثل سلة المحذوفات. عند حذف مخزن مفاتيح أو عنصر key vault، يظل قابلا للاسترداد لفترة استبقاء قابلة للتكوين للمستخدم أو افتراضيا 90 يوما. يمكن أيضا إزالة خزائن المفاتيح في حالة الحذف المبدئي (حذفها نهائيا)، مما يسمح لك بإعادة إنشاء خزائن المفاتيح وعناصر خزنة المفاتيح بنفس الاسم. يتطلب كل من استعادة وحذف خزائن المفاتيح والكائنات أذونات نهج وصول مرتفعة. بمجرد تمكين الحذف الناعم، لا يمكن تعطيله.

من المهم ملاحظة أن أسماء خزنة المفاتيح فريدة عالميا، لذلك لا يمكنك إنشاء خزنة مفاتيح بنفس اسم مخزن المفاتيح في حالة الحذف المبدئي. وبالمثل، فإن أسماء المفاتيح والأسرار والشهادات فريدة داخل خزنة المفاتيح. لا يمكنك إنشاء سر أو مفتاح أو شهادة بنفس اسم آخر في حالة الحذف المبدئي.

تم تصميمPurge protection لمنع حذف خزنة المفاتيح والمفاتيح والأسرار والشهادات بواسطة مستخدم ضار من الداخل. فكر في الأمر على أنه سلة محذوفات مع تأمين يستند إلى الوقت. يمكنك استرداد العناصر في أي وقت خلال فترة الاحتفاظ القابلة للتكوين. لن تتمكن من حذف أو مسح خزنة مفاتيح بشكل دائم حتى انقضاء فترة الاحتفاظ. بمجرد انقضاء فترة الاستبقاء، يتم إزالة مخزن المفاتيح أو كائن خزنة المفاتيح تلقائيا.

إشعار

صُمِمت حماية المسح بحيث لا يمكن لأي دور أو إذن مسؤول منح الحماية من المسح أو تعطيلها أو التحايل عليها. عند تمكين الحماية من الإزالة، لا يمكن تعطيلها أو تجاوزها من قبل أي شخص بما في ذلك Microsoft. هذا يعني أنه يجب عليك استعادة مخزن مفاتيح محذوف أو الانتظار حتى انقضاء فترة الاحتفاظ قبل إعادة استخدام اسم مخزن المفاتيح.

لمزيد من المعلومات حول الحذف الناعم، راجع نظرة عامة على الحذف الناعم في Azure Key Vault

التحقق من تمكين الحذف الناعم في مخزن المفاتيح وتمكين الحذف الناعم

قم بتسجيل الدخول إلى بوابة Azure.
حدد key vault الخاص بك.
حدد جزء "Properties".
تحقق مما إذا كان زر الاختيار الموجود بجوار الحذف الناعم مضبوطاً على "تمكين الاسترداد".
إذا لم يتم تمكين الحذف المبدئي على خزنة المفاتيح، فحدد الزر التبادلي لتمكين الحذف المبدئي وحدد "حفظ".

في الخصائص، يتم تمييز الحذف الناعم، وكذلك قيمة تمكينه.

منح حق الوصول إلى مدير الخدمة لتطهير واستعادة الأسرار المحذوفة

قم بتسجيل الدخول إلى بوابة Azure.
حدد key vault الخاص بك.
حدد جزء "نهج الوصول".
في الجدول، ابحث عن صف أساس الأمان الذي ترغب في منح حق الوصول إليه (أو قم بإضافة أساس أمان جديد).
حدد القائمة المنسدلة للمفاتيح والشهادات والأسرار.
قم بالتمرير إلى أسفل القائمة المنسدلة وحدد "Recover" و"Purge"
تحتاج أساسيات الأمان أيضا إلى وظيفة "get" و"list" لتنفيذ معظم العمليات.

في جزء التنقل الأيمن، يتم تمييز نُهج الوصول. في نُهج الوصول، يتم عرض القائمة المنسدلة للمواضع السرية، ويتم تحديد أربعة عناصر: الحصول، والقائمة، والاسترداد، والمسح.

سرد أو استرداد أو مسح خزنة المفاتيح المحذوفة بشكل بسيط

قم بتسجيل الدخول إلى بوابة Azure.
حدد شريط البحث في أعلى الصفحة.
ابحث عن خدمة "Key Vault". لا تحدد مخزن مفاتيح فرديا.
في أعلى الشاشة، حدد خيار "إدارة الخزائن المحذوفة"
يتم فتح جزء سياق على الجانب الأيسر من الشاشة.
حدد Subscription الخاص بك.
إذا تم حذف خزنة المفاتيح بشكل مبدئي، فسيظهر في جزء السياق على اليمين.
إذا كان هناك عدد كبير جدا من الخزائن، يمكنك إما تحديد "تحميل المزيد" في أسفل جزء السياق أو استخدام CLI أو PowerShell للحصول على النتائج.
بمجرد العثور على الخزنة التي ترغب في استردادها أو إزالتها، حدد خانة الاختيار المجاورة لها.
حدد خيار الاسترداد في الجزء السفلي من جزء السياق إذا كنت ترغب في استرداد خزنة المفاتيح.
حدد خيار المسح إذا كنت ترغب في حذف خزنة المفاتيح نهائيّاً.

في خزانات المفاتيح، يتم تمييز خيار

عند إدارة خزانات المفاتيح المحذوفة، يتم تمييز مخزن المفاتيح المدرج الوحيد وتحديده، ويتم تمييز الزر

سرد الأسرار والمفاتيح والشهادات المحذوفة أو استعادتها أو حذفها

قم بتسجيل الدخول إلى بوابة Azure.
حدد key vault الخاص بك.
حدد التعليمة البرمجية المطابقة لنوع السر الذي تريد إدارته (مفاتيح أو أسرار أو شهادات).
في أعلى الشاشة، حدد "Manage deleted (keys, secrets, or certificates)
يظهر جزء سياق على الجانب الأيسر من الشاشة.
إذا لم يظهر سرك أو مفتاحك أو شهادتك في القائمة، فهذا يعني أنها ليست في حالة الحذف الأولى.
حدد السر أو المفتاح أو الشهادة التي ترغب في إدارتها.
حدد خيار الاسترداد أو المسح في الجزء السفلي من جزء السياق.

في المفاتيح، تم تمييز خيار إدارة المفاتيح المحذوفة.

Key Vault - مفتاح

التحقق من تمكين الحذف الناعم في مخزن المفاتيح

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

تفعيل الحذف الناعم في خزنة المفاتيح

يتم تمكين الحذف الناعم افتراضيّاً في جميع خزائن المفاتيح الجديدة. إذا كان لديك حاليّاً خزنة مفاتيح لم يتم تمكين الحذف الناعم بها، فاستخدم الأمر التالي لتمكين الحذف الناعم.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```
حذف خزنة المفاتيح (قابل للاسترداد إذا تم تمكين الحذف الناعم)
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
```
قائمة بجميع خزائن المفاتيح المحذوفة بشكل بسيط
```
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault
```
استعادة خزنة المفاتيح المحذوفة بشكل بسيط
```
az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```
قم بإزالة خزنة المفاتيح المحذوفة بشكل بسيط (تحذير! ستحذف هذه العملية خزينتك الرئيسية نهائيّاً)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

تفعيل الحماية من التطهير على خزينة المفاتيح

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

الشهادات (CLI)

منح حق الوصول لإزالة الشهادات واستردادها

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

حذف الشهادة

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

سرد الشهادات المحذوفة

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

استعادة الشهادة المحذوفة

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

إزالة الشهادة المحذوفة نهائيّاً (تحذير! ستؤدي هذه العملية إلى حذف شهادتك نهائيّاً)
```
az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
```

مفاتيح (CLI)

منح حق الوصول لمسح المفاتيح واستعادتها

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

مفتاح Delete

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

إدراج المفاتيح المحذوفة

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

استعادة المفتاح المحذوف

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

إزالة المفتاح المحذوف نهائيّاً (تحذير! ستحذف هذه العملية مفتاحك نهائيّاً)
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
```

الأسرار (CLI)

منح حق الوصول للتطهير واستعادة الأسرار

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

حذف السر

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

قائمة الأسرار المحذوفة

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

استعادة السر المحذوف

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

إزالة الأسرار المحذوفة نهائيّاً (تحذير! ستحذف هذه العملية سرّك نهائيّاً)
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Key Vault PowerShell cmdlets

التحقق من تمكين الحذف الناعم في مخزن المفاتيح
```
Get-AzKeyVault -VaultName "ContosoVault"
```

حذف مفتاح الخزنة

Remove-AzKeyVault -VaultName 'ContosoVault'

قائمة بجميع خزائن المفاتيح المحذوفة بشكل بسيط
```
Get-AzKeyVault -InRemovedState
```

استعادة خزنة المفاتيح المحذوفة بشكل بسيط

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

قم بإزالة خزينة المفاتيح المحذوفة بشكل بسيط (تحذير! ستحذف هذه العملية خزينتك الرئيسية نهائيّاً)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

تفعيل الحماية من التطهير على خزينة المفاتيح

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

الشهادات (بوويرشيل)

منح أذونات لاستعادة الشهادات ومسحها

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

حذف شهادة

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

قائمة بجميع الشهادات المحذوفة في مخزن المفاتيح
```
Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
```

استعادة شهادة في الحالة المحذوفة

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

إزالة شهادة محذوفة نهائيّاً (تحذير! ستؤدي هذه العملية إلى حذف شهادتك نهائيّاً)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

مفاتيح (PowerShell)

منح أذونات لاسترداد المفاتيح وتطهيرها

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

حذف مفتاح

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

قائمة بجميع المفاتيح المحذوفة في مخزن المفاتيح
```
Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
```

لاستعادة مفتاح تم حذفه مبدئيّاً

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

قم بإزالة مفتاح محذوف مبدئيّاً (تحذير! ستحذف هذه العملية مفتاحك نهائيّاً)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

أسرار (بوويرشيل)

منح أذونات لاستعادة الأسرار وتطهيرها

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

احذف سرّاً باسم SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

قائمة بجميع الأسرار المحذوفة في مخزن المفاتيح
```
Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
```

استعادة السر في الحالة المحذوفة

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

قم بإزالة سر في الحالة المحذوفة (تحذير! ستحذف هذه العملية مفتاحك نهائيّاً)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

مشاركة عبر