Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM

Tento článek popisuje dvě funkce obnovení spravovaného HSM: obnovitelné odstranění a ochranu před vymazáním. Poskytuje přehled těchto funkcí a ukazuje, jak je spravovat pomocí Azure CLI a Azure PowerShell.

Další informace najdete v tématu Přehled spravovaného HSM.

Požadavky

• Předplatné Azure. Vytvořte si ho zdarma.

• Modul PowerShellu.

• Azure CLI 2.25.0 nebo novější. Spuštěním příkazu az --version zjistěte, jakou verzi máte. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

• Spravovaný hsm. Můžete ho vytvořit pomocí Azure CLI nebo Azure PowerShell.

• Uživatelé budou potřebovat následující oprávnění k provádění operací s obnovitelně odstraněnými hsmy nebo klíči:

  Přiřazení role	Popis
  Přispěvatel spravovaného HSM	Výpis, obnovení a vymazání obnovitelně odstraněných modulů HSM
  Kryptografický uživatel spravovaného HSM	Výpis obnovitelně odstraněných klíčů
  Spravovaný kryptografický pracovník HSM	Vymazání a obnovení obnovitelně odstraněných klíčů

Co je ochrana proti obnovitelnému odstranění a vymazání?

Obnovitelné odstranění a ochrana před vymazáním jsou funkce obnovení.

Obnovitelné odstranění je navržené tak, aby se zabránilo náhodnému odstranění hsm a klíčů. Obnovitelné odstranění funguje jako koš. Když odstraníte HSM nebo klíč, zůstane možné ho obnovit po dobu konfigurovatelného uchovávání nebo po výchozí dobu 90 dnů. Moduly hardwarového zabezpečení a klíče ve stavu obnovitelného odstranění je také možné vymazat, což znamená, že se odstraní trvale. Vymazání umožňuje znovu vytvořit moduly HSM a klíče se stejným názvem jako vyprázdněná položka. Obnovení i odstranění modulů hardwarového zabezpečení a klíčů vyžaduje přiřazení konkrétních rolí. Obnovitelné odstranění nejde zakázat.

Poznámka

Vzhledem k tomu, že základní prostředky zůstanou přidělené vašemu HSM, i když je v odstraněném stavu, budou se za prostředek HSM dál účtovat hodinové poplatky, když bude v daném stavu.

Názvy spravovaných HSM jsou v každém cloudovém prostředí globálně jedinečné. Proto nemůžete vytvořit spravovaný HSM se stejným názvem, jako je ten, který existuje ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů v rámci HSM jedinečné. Nemůžete vytvořit klíč se stejným názvem jako klíč, který existuje ve stavu obnovitelného odstranění.

Další informace najdete v tématu Přehled obnovitelného odstranění spravovaných HSM.

Ochrana před vymazáním je navržená tak, aby zabránila odstranění modulů HSM a klíčů ze strany insiderů se zlými úmysly. Je to jako koš s časovým zámkem. Položky můžete obnovit kdykoli během konfigurovatelné doby uchovávání. Dokud neskončí doba uchovávání, nebudete moct trvale odstranit ani vymazat HSM nebo klíč. Po skončení doby uchovávání se hsm nebo klíč automaticky vymaže.

Poznámka

Žádná role správce ani oprávnění nemohou přepsat, zakázat nebo obejít ochranu před vymazáním. Pokud je povolená ochrana proti vymazání, nemůže ji zakázat ani přepsat nikdo, včetně Microsoftu. Proto musíte obnovit odstraněný HSM nebo počkat na konec doby uchovávání, abyste mohli název HSM znovu použít.

Správa klíčů a spravovaných HSM

Azure CLI

Spravované HSM (ROZHRANÍ PŘÍKAZOVÉHO ŘÁDKU)

• Kontrola stavu obnovitelného odstranění a ochrany před vymazáním spravovaného HSM:

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

• Odstranění MODULU HARDWAROVÉHO ZABEZPEČENÍ:

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

  Tuto akci je možné obnovit, protože obnovitelné odstranění je ve výchozím nastavení zapnuté.

• Výpis všech obnovitelně odstraněných modulů HSM:

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
  

• Obnovení obnovitelně odstraněného HSM:

  az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

• Vymazání obnovitelně odstraněného HSM:

  az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

  Upozornění

  Tato operace trvale odstraní hsm.

• Povolení ochrany před vymazáním v hsm:

  az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
  

Klíče (CLI)

• Odstranění klíče:

  az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• Výpis odstraněných klíčů:

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
  

• Obnovení odstraněného klíče:

  az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• Vymazání obnovitelně odstraněného klíče:

  az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

  Upozornění

  Tato operace trvale odstraní váš klíč.

Azure PowerShell

Spravované moduly HSM (PowerShell)

• Kontrola stavu obnovitelného odstranění a ochrany před vymazáním spravovaného HSM:

  Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
  

• Odstranění MODULU HARDWAROVÉHO ZABEZPEČENÍ:

  Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
  

  Tuto akci je možné obnovit, protože obnovitelné odstranění je ve výchozím nastavení zapnuté.

Klíče (PowerShell)

• Odstranění klíče:

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'
  

• Výpis všech odstraněných klíčů:

  Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState
  

• Obnovení obnovitelně odstraněného klíče:

  Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey
  

• Vymazání obnovitelně odstraněného klíče:

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
  

  Upozornění

  Tato operace trvale odstraní váš klíč.

Další kroky

• Rutiny PowerShellu pro spravované HSM
• Key Vault příkazů Azure CLI
• Úplné zálohování a obnovení spravovaného HSM
• Povolení protokolování spravovaného HSM