Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM
Tento článek popisuje dvě funkce obnovení spravovaného HSM: obnovitelné odstranění a ochranu před vymazáním. Poskytuje přehled těchto funkcí a ukazuje, jak je spravovat pomocí Azure CLI a Azure PowerShell.
Další informace najdete v tématu Přehled spravovaného HSM.
Požadavky
Předplatné Azure. Vytvořte si ho zdarma.
Azure CLI 2.25.0 nebo novější. Spuštěním příkazu
az --version
zjistěte, jakou verzi máte. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.Spravovaný hsm. Můžete ho vytvořit pomocí Azure CLI nebo Azure PowerShell.
Uživatelé budou potřebovat následující oprávnění k provádění operací s obnovitelně odstraněnými hsmy nebo klíči:
Přiřazení role Popis Přispěvatel spravovaného HSM Výpis, obnovení a vymazání obnovitelně odstraněných modulů HSM Kryptografický uživatel spravovaného HSM Výpis obnovitelně odstraněných klíčů Spravovaný kryptografický pracovník HSM Vymazání a obnovení obnovitelně odstraněných klíčů
Co je ochrana proti obnovitelnému odstranění a vymazání?
Obnovitelné odstranění a ochrana před vymazáním jsou funkce obnovení.
Obnovitelné odstranění je navržené tak, aby se zabránilo náhodnému odstranění hsm a klíčů. Obnovitelné odstranění funguje jako koš. Když odstraníte HSM nebo klíč, zůstane možné ho obnovit po dobu konfigurovatelného uchovávání nebo po výchozí dobu 90 dnů. Moduly hardwarového zabezpečení a klíče ve stavu obnovitelného odstranění je také možné vymazat, což znamená, že se odstraní trvale. Vymazání umožňuje znovu vytvořit moduly HSM a klíče se stejným názvem jako vyprázdněná položka. Obnovení i odstranění modulů hardwarového zabezpečení a klíčů vyžaduje přiřazení konkrétních rolí. Obnovitelné odstranění nejde zakázat.
Poznámka
Vzhledem k tomu, že základní prostředky zůstanou přidělené vašemu HSM, i když je v odstraněném stavu, budou se za prostředek HSM dál účtovat hodinové poplatky, když bude v daném stavu.
Názvy spravovaných HSM jsou v každém cloudovém prostředí globálně jedinečné. Proto nemůžete vytvořit spravovaný HSM se stejným názvem, jako je ten, který existuje ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů v rámci HSM jedinečné. Nemůžete vytvořit klíč se stejným názvem jako klíč, který existuje ve stavu obnovitelného odstranění.
Další informace najdete v tématu Přehled obnovitelného odstranění spravovaných HSM.
Ochrana před vymazáním je navržená tak, aby zabránila odstranění modulů HSM a klíčů ze strany insiderů se zlými úmysly. Je to jako koš s časovým zámkem. Položky můžete obnovit kdykoli během konfigurovatelné doby uchovávání. Dokud neskončí doba uchovávání, nebudete moct trvale odstranit ani vymazat HSM nebo klíč. Po skončení doby uchovávání se hsm nebo klíč automaticky vymaže.
Poznámka
Žádná role správce ani oprávnění nemohou přepsat, zakázat nebo obejít ochranu před vymazáním. Pokud je povolená ochrana proti vymazání, nemůže ji zakázat ani přepsat nikdo, včetně Microsoftu. Proto musíte obnovit odstraněný HSM nebo počkat na konec doby uchovávání, abyste mohli název HSM znovu použít.
Správa klíčů a spravovaných HSM
Spravované HSM (ROZHRANÍ PŘÍKAZOVÉHO ŘÁDKU)
Kontrola stavu obnovitelného odstranění a ochrany před vymazáním spravovaného HSM:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
Odstranění MODULU HARDWAROVÉHO ZABEZPEČENÍ:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
Tuto akci je možné obnovit, protože obnovitelné odstranění je ve výchozím nastavení zapnuté.
Výpis všech obnovitelně odstraněných modulů HSM:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
Obnovení obnovitelně odstraněného HSM:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
Vymazání obnovitelně odstraněného HSM:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
Upozornění
Tato operace trvale odstraní hsm.
Povolení ochrany před vymazáním v hsm:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
Klíče (CLI)
Odstranění klíče:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Výpis odstraněných klíčů:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
Obnovení odstraněného klíče:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Vymazání obnovitelně odstraněného klíče:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Upozornění
Tato operace trvale odstraní váš klíč.