Teilen über


Vorläufiges Löschen und Löschschutz des verwalteten HSM

In diesem Artikel werden zwei Wiederherstellungsfeatures des verwalteten HSM beschrieben: vorläufiges Löschen und Löschschutz. Er enthält eine Übersicht über diese Features und demonstriert, wie Sie sie über die Azure CLI und Azure PowerShell verwalten.

Weitere Informationen finden Sie in der Übersicht zum verwalteten HSM.

Voraussetzungen

Was sind vorläufiges Löschen und Löschschutz?

Vorläufiges Löschen und Löschschutz sind Wiederherstellungsfunktionen.

Vorläufiges Löschen soll verhindern, dass Ihr HSM und Ihre Schlüssel versehentlich gelöscht werden. Vorläufiges Löschen funktioniert wie ein Papierkorb. Wenn Sie ein HSM oder einen Schlüssel löschen, bleibt das Element für eine konfigurierbare Aufbewahrungsdauer oder für den Standardzeitraum von 90 Tagen wiederherstellbar. HSMs und Schlüssel, die vorläufig gelöscht wurden, können auch bereinigt und dadurch endgültig gelöscht werden. Durch Bereinigen können Sie HSMs und Schlüssel mit demselben Namen wie dem des bereinigten Elements neu erstellen. Sowohl für das Wiederherstellen als auch das Löschen von HSMs und Schlüsseln sind bestimmte Rollenzuweisungen erforderlich. Vorläufiges Löschen kann nicht deaktiviert werden.

Hinweis

Da die zugrunde liegenden Ressourcen Ihrem HSM auch dann zugeordnet bleiben, wenn es sich in einem gelöschten Zustand befindet, fallen für die HSM-Ressource weiterhin stündliche Gebühren an, solange sie sich in diesem Zustand befindet.

Namen von verwalteten HSMs sind in jeder Cloudumgebung global eindeutig. Sie können also kein verwaltetes HSM mit demselben Namen wie dem eines HSM erstellen, das vorläufig gelöscht ist. Ebenso sind die Namen von Schlüsseln innerhalb eines HSM eindeutig. Sie können keinen Schlüssel mit demselben Namen wie dem eines Schlüssels erstellen, der vorläufig gelöscht ist.

Weitere Informationen finden Sie in der Übersicht zum vorläufigen Löschen bei verwalteten HSMs.

Der Löschschutz soll das Löschen Ihrer HSMs und Schlüssel durch böswillige interne Benutzer verhindern. Er funktioniert wie ein Papierkorb mit einer zeitbasierten Sperre. Sie können Elemente während des konfigurierbaren Aufbewahrungszeitraums jederzeit wiederherstellen. Sie können ein HSM oder einen Schlüssel erst dann endgültig löschen oder bereinigen, wenn der Aufbewahrungszeitraum abgelaufen ist. Wenn der Aufbewahrungszeitraum endet, wird das HSM oder der Schlüssel automatisch bereinigt.

Hinweis

Keine Administratorrolle oder -berechtigung kann den Löschschutz außer Kraft setzen, deaktivieren oder umgehen. Wenn der Löschschutz aktiviert wurde, kann er von niemandem mehr deaktiviert oder außer Kraft gesetzt werden, auch nicht von Microsoft. Daher müssen Sie ein gelöschtes HSM wiederherstellen oder warten, bis der Aufbewahrungszeitraum endet, bevor Sie den HSM-Namen wiederverwenden können.

Verwalten von Schlüsseln und verwalteten HSMs

Verwaltete HSMs (CLI)

  • So überprüfen Sie den Status von „Vorläufiges Löschen“ und Löschschutz für ein verwaltetes HSM

    az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
    
  • So löschen Sie ein HSM

    az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
    

    Diese Aktion kann wiederhergestellt werden, weil vorläufiges Löschen standardmäßig aktiviert ist.

  • So listen Sie alle vorläufig gelöschten HSMs auf

    az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
    
  • So stellen Sie ein vorläufig gelöschtes HSM wieder her

    az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
    
  • So bereinigen Sie ein vorläufig gelöschtes HSM

    az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
    

    Warnung

    Durch diesen Vorgang wird Ihr HSM endgültig gelöscht.

  • So aktivieren Sie den Löschschutz für ein HSM

    az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
    

Schlüssel (Befehlszeilenschnittstelle)

  • So löschen Sie einen Schlüssel

    az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
    
  • So listen Sie gelöschte Schlüssel auf

    az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
    
  • So stellen Sie einen gelöschten Schlüssel wieder her:

    az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
    
  • So bereinigen Sie einen vorläufig gelöschten Schlüssel

    az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
    

    Warnung

    Durch diesen Vorgang wird Ihr Schlüssel endgültig gelöscht.

Nächste Schritte