Sdílet prostřednictvím


Zálohování a obnovení služby Azure Key Vault

Tento dokument ukazuje, jak zálohovat tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Zálohování je určené k poskytnutí offline kopie všech tajných kódů v nepravděpodobném případě, že ztratíte přístup ke svému trezoru klíčů.

Přehled

Azure Key Vault nabízí několik možností, jak zajistit dostupnost a obnovitelnost dat trezoru:

Tento článek se zaměřuje na operace ručního zálohování a obnovení jednotlivých objektů ve službě Key Vault.

Kdy použít zálohy

Azure Key Vault automaticky poskytuje funkce, které vám pomůžou udržovat dostupnost a zabránit ztrátě dat. Tajné kódy zálohujte jenom v případě, že máte důležité obchodní odůvodnění. Zálohování tajemství ve vašem trezoru klíčů může představovat operační výzvy, jako je udržování více sad protokolů, oprávnění a záloh v případě expirace nebo rotace tajemství.

Zvažte použití záloh v těchto scénářích:

  • Je potřeba přesouvat objekty mezi trezory klíčů nebo oblastmi Azure.
  • Chcete offline kopii svých tajemství z důvodu dodržování právních předpisů nebo regulačních požadavků.
  • Používáte oblast, která nepodporuje automatickou replikaci mezi oblastmi (Brazílie – jih, Brazílie – jihovýchod nebo USA – západ 3).
  • Potřebujete ochranu před náhodným odstraněním konkrétních objektů.

Ve většině scénářů poskytují integrované funkce redundance a obnovitelného odstranění služby Key Vault dostatečnou ochranu bez nutnosti ručního zálohování. Další informace najdete v tématu Dostupnost a redundance služby Azure Key Vault.

Omezení

Důležité

Key Vault nepodporuje možnost zálohování více než 500 předchozích verzí klíče, tajného klíče nebo objektu certifikátu a pokus o provedení tohoto problému může způsobit chybu. Předchozí verze klíče, tajného klíče nebo certifikátu není možné odstranit.

Key Vault v současné době neposkytuje způsob, jak zálohovat celý trezor klíčů v rámci jedné operace, klíčů, tajných klíčů a certifikátů, které musí být zálohované jednotlivě.

Zvažte také následující problémy:

  • Zálohování tajemství, která mají více verzí, může způsobit chyby vypršení časového limitu.
  • Záloha vytvoří snímek v konkrétním čase. Tajné kódy se můžou obnovovat během zálohování, což způsobuje neshodu šifrovacích klíčů.
  • Pokud překročíte limity služby Key Vault pro požadavky za sekundu, dojde k omezení vašeho trezoru klíčů a zálohování selže.

Aspekty návrhu

Když zálohujete objekt trezoru klíčů, jako je tajemství, klíč nebo certifikát, operace zálohování stáhne objekt jako šifrovaný blob. Tento objekt blob nejde dešifrovat mimo Azure. Pokud chcete získat použitelná data z tohoto objektu blob, musíte objekt blob obnovit do trezoru klíčů ve stejném předplatném Azure a zeměpisné oblasti Azure.

Požadavky

Pokud chcete zálohovat objekt trezoru klíčů, musíte mít:

  • Oprávnění na úrovni přispěvatele nebo vyšší k předplatnému Azure
  • Trezor primárních klíčů, který obsahuje tajné kódy, které chcete zálohovat.
  • Sekundární trezor klíčů, kde se obnoví tajné kódy.

Zálohování a obnovení z webu Azure Portal

Pomocí kroků v této části zálohujte a obnovte objekty pomocí webu Azure Portal.

Zálohovat

  1. Přejděte na Azure Portal.

  2. Vyberte úložiště klíčů.

  3. Přejděte na objekt (tajný klíč, klíč nebo certifikát), který chcete zálohovat.

    Snímek obrazovky znázorňující, kde vybrat nastavení Klíče a objekt v trezoru klíčů

  4. Vyberte objekt.

  5. Vyberte Stáhnout zálohu.

    Snímek obrazovky znázorňující, kde vybrat tlačítko Stáhnout zálohu v trezoru klíčů

  6. Vyberte Stáhnout.

    Snímek obrazovky znázorňující, kde vybrat tlačítko Stáhnout v trezoru klíčů

  7. Uložte šifrovaný blob na bezpečné místo.

Obnovit

  1. Přejděte na Azure Portal.

  2. Vyberte úložiště klíčů.

  3. Přejděte na typ objektu (tajný klíč, klíč nebo certifikát), který chcete obnovit.

  4. Vyberte Obnovit zálohování.

    Snímek obrazovky znázorňující, kde vybrat obnovit zálohu v trezoru klíčů

  5. Přejděte na místo, kam jste uložili šifrovaný blob.

  6. Vyberte OK.

Zálohování a obnovení z Azure CLI nebo Azure PowerShellu

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Další kroky