Zálohování a obnovení služby Azure Key Vault
Tento dokument ukazuje, jak zálohovat tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Zálohování je určené k poskytnutí offline kopie všech tajných kódů v nepravděpodobném případě, že ztratíte přístup ke svému trezoru klíčů.
Přehled
Azure Key Vault automaticky poskytuje funkce, které vám pomůžou udržovat dostupnost a zabránit ztrátě dat. Tajné kódy zálohujte jenom v případě, že máte důležité obchodní odůvodnění. Zálohování tajných kódů ve vašem trezoru klíčů může představovat provozní problémy, jako je udržování více sad protokolů, oprávnění a záloh, když vyprší platnost nebo obměna tajných kódů.
Key Vault udržuje dostupnost ve scénářích havárie a automaticky převezme služby při selhání požadavků na spárovanou oblast bez zásahu uživatele. Další informace najdete v tématu Dostupnost a redundance služby Azure Key Vault.
Pokud chcete chránit před náhodným nebo škodlivým odstraněním tajných kódů, nakonfigurujte ve svém trezoru klíčů funkce obnovitelného odstranění a ochrany před vymazáním. Další informace najdete v přehledu obnovitelného odstranění služby Azure Key Vault.
Omezení
Důležité
Key Vault nepodporuje možnost zálohování více než 500 předchozích verzí klíče, tajného klíče nebo objektu certifikátu. Při pokusu o zálohování klíče, tajného klíče nebo objektu certifikátu může dojít k chybě. Předchozí verze klíče, tajného klíče nebo certifikátu není možné odstranit.
Key Vault v současné době neposkytuje způsob, jak zálohovat celý trezor klíčů v rámci jedné operace a klíčů, tajné kódy a certifikáty musí být zálohovány viděně.
Zvažte také následující problémy:
- Zálohování tajných kódů s více verzemi může způsobit chyby vypršení časového limitu.
- Záloha vytvoří snímek k určitému bodu v čase. Tajné kódy se můžou obnovovat během zálohování, což způsobuje neshodu šifrovacích klíčů.
- Pokud překročíte limity služby Key Vault pro požadavky za sekundu, dojde k omezení vašeho trezoru klíčů a zálohování selže.
Aspekty návrhu
Když zálohujete objekt trezoru klíčů, jako je tajný klíč, klíč nebo certifikát, operace zálohování stáhne objekt jako šifrovaný objekt blob. Tento objekt blob nejde dešifrovat mimo Azure. Pokud chcete získat použitelná data z tohoto objektu blob, musíte objekt blob obnovit do trezoru klíčů ve stejném předplatném Azure a zeměpisné oblasti Azure.
Požadavky
Pokud chcete zálohovat objekt trezoru klíčů, musíte mít:
- Oprávnění na úrovni přispěvatele nebo vyšších oprávnění k předplatnému Azure
- Trezor primárních klíčů, který obsahuje tajné kódy, které chcete zálohovat.
- Sekundární trezor klíčů, kde se obnoví tajné kódy.
Zálohování a obnovení z webu Azure Portal
Pomocí kroků v této části zálohujte a obnovte objekty pomocí webu Azure Portal.
Zálohování
Přejděte na Azure Portal.
Vyberte trezor klíčů.
Přejděte na objekt (tajný klíč, klíč nebo certifikát), který chcete zálohovat.
Vyberte objekt.
Vyberte Stáhnout zálohu.
Vyberte položku Stáhnout.
Uložte šifrovaný objekt blob do zabezpečeného umístění.
Obnovení
Přejděte na Azure Portal.
Vyberte trezor klíčů.
Přejděte na typ objektu (tajný klíč, klíč nebo certifikát), který chcete obnovit.
Vyberte Obnovit zálohu.
Přejděte do umístění, kam jste uložili šifrovaný objekt blob.
Vyberte OK.
Zálohování a obnovení z Azure CLI nebo Azure PowerShellu
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
Další kroky
- Přesun trezoru klíčů Azure mezi oblastmi
- Povolení protokolování služby Key Vault pro službu Key Vault