Správa obnovení služby Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním
Článek
Tento článek se věnuje dvěma funkcím obnovení služby Azure Key Vault, obnovitelnému odstranění a ochraně před vymazáním. Tento dokument obsahuje přehled těchto funkcí a ukazuje, jak je spravovat prostřednictvím webu Azure Portal, Azure CLI a Azure PowerShellu.
Další informace o službě Key Vault najdete v tématu
Co je ochrana proti obnovitelnému odstranění a vymazání
Obnovitelné odstranění a ochrana před vymazáním jsou dvě různé funkce obnovení trezoru klíčů.
Obnovitelné odstranění je navržené tak, aby zabránilo náhodnému odstranění trezoru klíčů, klíčů, tajných klíčů a certifikátů uložených v trezoru klíčů. Obnovitelné odstranění si můžete představit jako koš. Když odstraníte trezor klíčů nebo objekt trezoru klíčů, zůstane možné ho obnovit pro uživatele konfigurovatelnou dobu uchovávání nebo výchozí dobu 90 dnů. Trezory klíčů ve stavu obnovitelného odstranění je také možné vyprázdnit , což znamená, že se trvale odstraní. To vám umožní znovu vytvořit trezory klíčů a objekty trezoru klíčů se stejným názvem. Obnovení a odstranění trezorů klíčů a objektů vyžadují zvýšená oprávnění zásad přístupu. Jakmile je povolené obnovitelné odstranění, nedá se zakázat.
Důležité
U trezorů klíčů musíte okamžitě povolit obnovitelné odstranění. Možnost odhlášení z obnovitelného odstranění je zastaralá a bude odebrána v únoru 2025. Podrobnosti najdete tady.
Je důležité si uvědomit, že názvy trezorů klíčů jsou globálně jedinečné, takže nebudete moct vytvořit trezor klíčů se stejným názvem jako trezor klíčů ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů, tajných klíčů a certifikátů jedinečné v rámci trezoru klíčů. Nebudete moct vytvořit tajný klíč, klíč nebo certifikát se stejným názvem jako jiný ve stavu obnovitelného odstranění.
Ochrana před vymazáním je navržená tak, aby zabránila odstranění trezoru klíčů, klíčů, tajných kódů a certifikátů škodlivým účastníky programu Insider. Představte si to jako koš s časovým zámkem. Položky můžete obnovit v libovolném okamžiku během konfigurovatelné doby uchovávání. Dokud neuplyne doba uchovávání, nebudete moct trezor klíčů trvale odstranit ani vyprázdnit. Po uplynutí doby uchovávání bude trezor klíčů nebo objekt trezoru klíčů vymazán automaticky.
Poznámka:
Ochrana před vymazáním je navržená tak, aby žádná role správce nebo oprávnění mohly přepsat, zakázat nebo obejít ochranu před vymazáním. Jakmile je povolena ochrana před vymazáním, nemůže ji zakázat nebo přepsat nikdo jiný včetně Microsoftu. To znamená, že musíte odstraněný trezor klíčů obnovit nebo počkat na uplynutí doby uchovávání a teprve potom název trezoru klíčů znovu použít.
Ověřte, jestli je v trezoru klíčů povolené obnovitelné odstranění, a povolte obnovitelné odstranění.
Přihlaste se k portálu Azure Portal.
Vyberte trezor klíčů.
Klikněte na okno Vlastnosti.
Ověřte, jestli je přepínač vedle obnovitelného odstranění nastavený na Povolit obnovení.
Pokud v trezoru klíčů není povolené obnovitelné odstranění, kliknutím na přepínač povolíte obnovitelné odstranění a kliknete na Uložit.
Udělení přístupu k instančnímu objektu pro vymazání a obnovení odstraněných tajných kódů
Přihlaste se k portálu Azure Portal.
Vyberte trezor klíčů.
Klikněte na okno Zásady přístupu.
V tabulce najděte řádek objektu zabezpečení, ke které chcete udělit přístup (nebo přidat nový objekt zabezpečení).
Klikněte na rozevírací seznam pro klíče, certifikáty a tajné kódy.
Posuňte se do dolní části rozevíracího seznamu a klikněte na Obnovit a Vyprázdnit.
K provádění většiny operací budou také potřebovat funkce získání a výpisu zabezpečení.
Výpis, obnovení nebo vymazání obnovitelného odstraněného trezoru klíčů
Přihlaste se k portálu Azure Portal.
Klikněte na panel hledání v horní části stránky.
Vyhledejte službu Key Vault. Neklikejte na jednotlivé trezory klíčů.
V horní části obrazovky klikněte na možnost „Spravovat odstraněné trezory“.
Na pravé straně obrazovky se otevře kontextové podokno.
Vyberte své předplatné.
Pokud byl trezor klíčů odstraněn softwarově, zobrazí se v kontextovém podokně napravo.
V případě příliš mnoha trezorů můžete buď kliknout na možnost „Načíst další“ v dolní části kontextového podokna, nebo získat výsledky pomocí rozhraní příkazového řádku nebo PowerShell.
Jakmile najdete trezor, který chcete obnovit nebo vyprázdnit, zaškrtněte políčko vedle něj.
Pokud chcete trezor klíčů obnovit, vyberte možnost obnovení v dolní části kontextového podokna.
Pokud chcete trvale odstranit trezor klíčů, vyberte možnost vyprázdnění.
Výpis, obnovení nebo vymazání obnovitelně odstraněných tajných klíčů, klíčů a certifikátů
Přihlaste se k portálu Azure Portal.
Vyberte trezor klíčů.
Vyberte okno odpovídající typu tajného kódu, který chcete spravovat (klíče, tajné kódy nebo certifikáty).
V horní části obrazovky klikněte na Spravovat odstraněné klíče, tajné kódy nebo certifikáty.
Na pravé straně obrazovky se zobrazí kontextové podokno.
Pokud se váš tajný klíč, klíč nebo certifikát v seznamu nezobrazí, není ve stavu obnovitelného odstranění.
Vyberte tajný klíč, klíč nebo certifikát, který chcete spravovat.
Vyberte možnost obnovení nebo vyprázdnění v dolní části kontextového podokna.
Key Vault (CLI)
Ověření, jestli má trezor klíčů povolený obnovitelné odstranění
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
Povolení obnovitelného odstranění v trezoru klíčů
Všechny nové trezory klíčů mají ve výchozím nastavení povolené obnovitelné odstranění. Pokud aktuálně máte trezor klíčů, který nemá povolené obnovitelné odstranění, povolte obnovitelné odstranění pomocí následujícího příkazu.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.