Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz

In diesem Artikel werden die beiden Wiederherstellungsfeatures vorläufiges Löschen und Löschschutz von Azure Key Vault behandelt. Dieses Dokument enthält eine Übersicht über diese Features und zeigt, wie Sie sie über das Azure-Portal, die Azure-Befehlszeilenschnittstelle und Azure PowerShell verwalten.

Weitere Informationen zu Key Vault finden Sie unter

Voraussetzungen

  • Azure-Abonnement: Kostenloses Azure-Konto

  • Azure PowerShell.

  • Azure-Befehlszeilenschnittstelle

  • Eine Key Vault-Instanz. Diese kann über das Azure-Portal, mithilfe der Azure CLI oder über Azure PowerShell erstellt werden.

  • Der Benutzer benötigt die folgenden Berechtigungen (auf Abonnementebene), um Vorgänge an vorläufig gelöschten Tresoren durchzuführen:

    Berechtigung BESCHREIBUNG
    Microsoft.KeyVault/locations/deletedVaults/read Dient zum Anzeigen der Eigenschaften eines vorläufig gelöschten Schlüsseltresors.
    Microsoft.KeyVault/locations/deletedVaults/purge/action Dient zum endgültigen Löschen eines vorläufig gelöschten Schlüsseltresors.
    Microsoft.KeyVault/locations/operationResults/read So überprüfen Sie den Bereinigungsstatus des Tresors
    Key Vault-Mitwirkender So stellen Sie vorläufig gelöschte Daten wieder her

Vorläufiges Löschen und Löschschutz

Vorläufiger Löschen und Löschschutz sind zwei verschiedene Key Vault-Wiederherstellungsfeatures.

Vorläufiges Löschen soll verhindern, dass Ihr Schlüsseltresor oder die in ihm gespeicherten Schlüssel, Geheimnisse und Zertifikate versehentlich gelöscht werden. Stellen Sie sich das vorläufige Löschen wie einen Papierkorb vor. Wenn Sie einen Schlüsseltresor oder ein Schlüsseltresorobjekt löschen, kann dieser oder dieses für eine vom Benutzer konfigurierbare Dauer (Aufbewahrungszeitraum, standardmäßig 90 Tage) wiederhergestellt werden. Schlüsseltresore, die vorläufig gelöscht wurden, können auch bereinigt und dadurch dauerhaft gelöscht werden. Dies ermöglicht es Ihnen, Schlüsseltresore und Schlüsseltresorobjekte mit demselben Namen neu zu erstellen. Sowohl das Wiederherstellen als auch das Löschen von Schlüsseltresoren und -objekten erfordert erweiterte Zugriffsrichtlinienberechtigungen. Wenn das vorläufige Löschen aktiviert wurde, kann es nicht mehr deaktiviert werden.

Wichtig

Sie müssen vorläufiges Löschen für Ihre Schlüsseltresore sofort aktivieren. Die Möglichkeit zum Deaktivieren des vorübergehenden Löschens ist veraltet und wird im Februar 2025 entfernt. Ausführliche Informationen finden Sie hier.

Beachten Sie auch, dass Schlüsseltresornamen global eindeutig sind. Aus diesem Grund können Sie keinen Schlüsseltresor mit dem gleichen Namen wie ein vorläufig gelöschter Schlüsseltresor erstellen. Auch die Namen von Schlüsseln, Geheimnissen und Zertifikaten sind innerhalb eines Schlüsseltresors eindeutig. Sie können kein Geheimnis, keinen Schlüssel und kein Zertifikat mit demselben Namen wie ein anderes vorläufig gelöschtes Objekt erstellen.

Der Löschschutz soll das Löschen von Schlüsseltresoren, Schlüsseln, Geheimnissen und Zertifikaten durch böswillige interne Benutzer verhindern. Stellen Sie sich dieses Features als einen Papierkorb mit einem Zeitschloss vor. Sie können Elemente während des konfigurierbaren Aufbewahrungszeitraums jederzeit wiederherstellen. Sie können einen Schlüsseltresor erst dann dauerhaft löschen oder bereinigen, wenn der Aufbewahrungszeitraum abgelaufen ist. Nach Ablauf des Aufbewahrungszeitraums wird der Schlüsseltresor oder das Schlüsseltresorobjekt automatisch bereinigt.

Hinweis

Der Löschschutz ist so konzipiert, dass er von keiner Administratorrolle oder Berechtigung überschrieben, deaktiviert und umgangen werden kann. Nach dem Aktivieren kann der Löschschutz nicht mehr deaktiviert oder überschrieben werden, auch nicht von Microsoft. Dies bedeutet, dass Sie einen gelöschten Schlüsseltresor entweder wiederherstellen oder warten müssen, bis der Aufbewahrungszeitraum abläuft, bevor Sie den Schlüsseltresornamen wiederverwenden können.

Weitere Informationen zum vorläufigen Löschen finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.

Überprüfen, ob vorläufiges Löschen für einen Schlüsseltresor aktiviert ist, und Aktivieren des vorläufigen Löschens

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Klicken Sie auf das Blatt „Eigenschaften“.
  4. Überprüfen Sie, ob das Optionsfeld neben „Vorläufiges Löschen“ auf „Wiederherstellung dieses Tresors und der zugehörigen Objekte ermöglichen (empfohlen)“ festgelegt ist.
  5. Wenn für den Schlüsseltresor vorläufiges Löschen nicht aktiviert ist, klicken Sie auf das Optionsfeld, um das vorläufige Löschen zu aktivieren, und klicken Sie dann auf „Speichern“.

Für Eigenschaften ist das vorläufige Löschen hervorgehoben, so wie auch der Wert, um es zu aktivieren.

Gewähren des Zugriffs auf einen Dienstprinzipal zum Bereinigen und Wiederherstellen gelöschter Geheimnisse

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Klicken Sie auf das Blatt „Zugriffsrichtlinie“.
  4. Suchen Sie in der Tabelle die Zeile des Sicherheitsprinzipals, dem Sie den Zugriff gewähren möchten (oder fügen Sie einen neuen Sicherheitsprinzipal hinzu).
  5. Klicken Sie auf das Dropdownmenü für Schlüssel, Zertifikate und Geheimnisse.
  6. Scrollen Sie im Dropdownmenü ganz nach unten, und klicken Sie auf „Wiederherstellen“ und „Bereinigen“.
  7. Sicherheitsprinzipale benötigen für die meisten Vorgänge auch die Funktionen zum Abrufen und Auflisten.

Im linken Navigationsbereich sind die Richtlinien für den Zugriff hervorgehoben. Für die Zugriffsrichtlinien wird die Dropdownliste für geheime Positionen angezeigt und es sind vier Einträge ausgewählt: Abrufen, Auflisten, Wiederherstellen und Bereinigen.

Auflisten, Wiederherstellen oder Bereinigen vorläufig gelöschter Schlüsseltresore

  1. Melden Sie sich beim Azure-Portal an.
  2. Klicken Sie oben auf der Seite auf die Suchleiste.
  3. Suchen Sie nach dem Key Vault-Dienst. Klicken Sie nicht auf einen bestimmten Schlüsseltresor.
  4. Klicken Sie oben auf dem Bildschirm auf die Option „Gelöschte Tresore verwalten“.
  5. Auf der rechten Seite des Bildschirms wird ein Kontextbereich geöffnet.
  6. Wählen Sie Ihr Abonnement aus.
  7. Wenn Ihr Schlüsseltresor vorläufig gelöscht wurde, wird er im Kontextbereich auf der rechten Seite angezeigt.
  8. Wenn zu viele Tresore angezeigt werden, klicken Sie unten im Kontextbereich auf „Weitere laden“, oder rufen Sie die Ergebnisse über die Befehlszeilenschnittstelle oder PowerShell ab.
  9. Wenn Sie den Tresor gefunden haben, den Sie wiederherstellen oder löschen möchten, aktivieren Sie das Kontrollkästchen neben ihm.
  10. Wählen Sie die Option „Wiederherstellen“ am unteren Rand des Kontextbereichs aus, wenn Sie den Schlüsseltresor wiederherstellen möchten.
  11. Wählen Sie die Option „Bereinigen“ aus, wenn Sie den Schlüsseltresor dauerhaft löschen möchten.

Für Schlüsseltresore ist die Option zum Verwalten gelöschter Tresore hervorgehoben.

Für „Gelöschte Schlüsseltresore verwalten“ ist der einzige aufgeführte Schlüsseltresor hervorgehoben und ausgewählt. Zudem ist die Schaltfläche „Wiederherstellen“ hervorgehoben.

Auflisten, Wiederherstellen oder Bereinigen vorläufig gelöschter Geheimnisse, Schlüssel und Zertifikate

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Wählen Sie das Blatt des Geheimnistyps aus, den Sie verwalten möchten (Schlüssel, Geheimnisse oder Zertifikate).
  4. Klicken Sie oben auf dem Bildschirm auf „Gelöschte Schlüssel (Geheimnisse, Zertifikate) verwalten“.
  5. Auf der rechten Seite des Bildschirms wird ein Kontextbereich angezeigt.
  6. Wenn das Geheimnis, der Schlüssel oder das Zertifikat in der Liste nicht angezeigt wird, wurde es bzw. er nicht vorläufig gelöscht.
  7. Wählen Sie das Geheimnis, den Schlüssel oder das Zertifikat aus, den oder das Sie verwalten möchten.
  8. Wählen Sie unten im Kontextbereich eine der Optionen „Wiederherstellen“ oder „Bereinigen“ aus.

Für „Schlüssel“ ist die Option „Gelöschte Schlüssel verwalten“ hervorgehoben.

Nächste Schritte