Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento dokument ukazuje, jak zálohovat tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Zálohování je určené k poskytnutí offline kopie všech tajných kódů v nepravděpodobném případě, že ztratíte přístup ke svému trezoru klíčů.
Přehled
Azure Key Vault nabízí několik možností, jak zajistit dostupnost a obnovitelnost dat trezoru:
- Automatická redundance a převzetí služeb při selhání: Key Vault automaticky replikuje data napříč oblastmi a zpracovává převzetí služeb při selhání během výpadků – viz dostupnost a redundance služby Azure Key Vault.
- Ochrana proti měkkému odstranění a ochrana proti odstranění: Zabraňuje náhodnému nebo škodlivému odstranění trezoru nebo objektů trezoru – viz správa obnovení služby Azure Key Vault s využitím měkkého odstranění a ochrany proti odstranění.
- Ruční zálohování a obnovení (popsané v tomto článku): Pro jednotlivé tajné kódy, klíče a certifikáty
Tento článek se zaměřuje na operace ručního zálohování a obnovení jednotlivých objektů ve službě Key Vault.
Kdy použít zálohy
Azure Key Vault automaticky poskytuje funkce, které vám pomůžou udržovat dostupnost a zabránit ztrátě dat. Tajné kódy zálohujte jenom v případě, že máte důležité obchodní odůvodnění. Zálohování tajemství ve vašem trezoru klíčů může představovat operační výzvy, jako je udržování více sad protokolů, oprávnění a záloh v případě expirace nebo rotace tajemství.
Zvažte použití záloh v těchto scénářích:
- Je potřeba přesouvat objekty mezi trezory klíčů nebo oblastmi Azure.
- Chcete offline kopii svých tajemství z důvodu dodržování právních předpisů nebo regulačních požadavků.
- Používáte oblast, která nepodporuje automatickou replikaci mezi oblastmi (Brazílie – jih, Brazílie – jihovýchod nebo USA – západ 3).
- Potřebujete ochranu před náhodným odstraněním konkrétních objektů.
Ve většině scénářů poskytují integrované funkce redundance a obnovitelného odstranění služby Key Vault dostatečnou ochranu bez nutnosti ručního zálohování. Další informace najdete v tématu Dostupnost a redundance služby Azure Key Vault.
Omezení
Důležité
Key Vault nepodporuje možnost zálohování více než 500 předchozích verzí klíče, tajného klíče nebo objektu certifikátu a pokus o provedení tohoto problému může způsobit chybu. Předchozí verze klíče, tajného klíče nebo certifikátu není možné odstranit.
Key Vault v současné době neposkytuje způsob, jak zálohovat celý trezor klíčů v rámci jedné operace, klíčů, tajných klíčů a certifikátů, které musí být zálohované jednotlivě.
Zvažte také následující problémy:
- Zálohování tajemství, která mají více verzí, může způsobit chyby vypršení časového limitu.
- Záloha vytvoří snímek v konkrétním čase. Tajné kódy se můžou obnovovat během zálohování, což způsobuje neshodu šifrovacích klíčů.
- Pokud překročíte limity služby Key Vault pro požadavky za sekundu, dojde k omezení vašeho trezoru klíčů a zálohování selže.
Aspekty návrhu
Když zálohujete objekt trezoru klíčů, jako je tajemství, klíč nebo certifikát, operace zálohování stáhne objekt jako šifrovaný blob. Tento objekt blob nejde dešifrovat mimo Azure. Pokud chcete získat použitelná data z tohoto objektu blob, musíte objekt blob obnovit do trezoru klíčů ve stejném předplatném Azure a zeměpisné oblasti Azure.
Požadavky
Pokud chcete zálohovat objekt trezoru klíčů, musíte mít:
- Oprávnění na úrovni přispěvatele nebo vyšší k předplatnému Azure
- Trezor primárních klíčů, který obsahuje tajné kódy, které chcete zálohovat.
- Sekundární trezor klíčů, kde se obnoví tajné kódy.
Zálohování a obnovení z webu Azure Portal
Pomocí kroků v této části zálohujte a obnovte objekty pomocí webu Azure Portal.
Zálohovat
Přejděte na Azure Portal.
Vyberte úložiště klíčů.
Přejděte na objekt (tajný klíč, klíč nebo certifikát), který chcete zálohovat.
Vyberte objekt.
Vyberte Stáhnout zálohu.
Vyberte Stáhnout.
Uložte šifrovaný blob na bezpečné místo.
Obnovit
Přejděte na Azure Portal.
Vyberte úložiště klíčů.
Přejděte na typ objektu (tajný klíč, klíč nebo certifikát), který chcete obnovit.
Vyberte Obnovit zálohování.
Přejděte na místo, kam jste uložili šifrovaný blob.
Vyberte OK.
Zálohování a obnovení z Azure CLI nebo Azure PowerShellu
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}