Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen

Wichtig

Sie müssen vorläufiges Löschen für Ihre Schlüsseltresore sofort aktivieren. Die Möglichkeit zum Deaktivieren des vorübergehenden Löschens ist veraltet und wird im Februar 2025 entfernt. Ausführliche Informationen finden Sie hier.

Wichtig

Wenn ein Schlüsseltresor vorläufig gelöscht wird, werden Dienste gelöscht, die mit dem Schlüsseltresor integriert sind. Beispiele hierfür sind Azure RBAC-Rollenzuweisungen und Event Grid-Abonnements. Durch das Wiederherstellen eines vorläufig gelöschten Schlüsseltresors werden diese Dienste nicht wiederhergestellt. Sie müssen neu erstellt werden.

Das Key Vault-Feature für vorläufiges Löschen ermöglicht die Wiederherstellung der gelöschten Tresore und Tresorobjekte, z. B. Schlüssel, Geheimnisse und Zertifikate. Insbesondere geht es um die folgenden Szenarios. Diese Sicherheitsmaßnahmen bieten den folgenden Schutz:

• Sobald Geheimnisse, Schlüssel, Zertifikate oder Schlüsseltresore gelöscht wurden, können sie wiederhergestellt werden. Dies ist je nach Ihrer Konfiguration für einen Zeitraum von sieben bis 90 Kalendertagen möglich. Wenn keine Konfiguration angegeben wird, wird der Standardwiederherstellungszeitraum von 90 Tagen festgelegt. So haben Benutzer ausreichend Zeit, ein versehentliches Löschen eines Geheimnisses zu erkennen und darauf zu reagieren.
• Zwei Vorgänge müssen durchgeführt werden, um ein Geheimnis dauerhaft zu löschen. Zuerst muss ein Benutzer das Objekt löschen. Dadurch weist es den Zustand einer vorläufigen Löschung auf. Dann muss ein Benutzer das Objekt im Zustand der vorläufigen Löschung endgültig löschen. Diese zusätzlichen Schutzmaßnahmen verringern das Risiko, dass ein Benutzer versehentlich oder böswillig ein Geheimnis oder einen Schlüsseltresor löscht.
• Zum Bereinigen eines vorläufig gelöschten Geheimnisses, Schlüssels oder Zertifikats muss einem Sicherheitsprinzipal die Berechtigung zum Löschen erteilt werden.

Unterstützende Schnittstellen

Das Feature für vorläufiges Löschen ist über die REST-API, die Azure CLI, über Azure PowerShell und über die .NET/C#-Schnittstellen sowie über die ARM-Vorlagen verfügbar.

Szenarien

Azure-Schlüsseltresore sind nachverfolgte Ressourcen, die von Azure Resource Manager verwaltet werden. Azure Resource Manager gibt auch ein klar definiertes Verhalten für Löschvorgänge an, das erfordert, dass ein erfolgreicher DELETE-Vorgang dazu führt, dass auf die jeweilige Ressource nicht mehr zugegriffen werden kann. Bei der Funktion für vorläufiges Löschen geht es um die Wiederherstellung des gelöschten Objekts, unabhängig davon, ob der Löschvorgang versehentlich oder absichtlich erfolgte.

1. In einem typischen Szenario haben Benutzer*innen einen Schlüsseltresor oder ein Schlüsseltresorobjekt versehentlich gelöscht. Wenn der Schlüsseltresor oder das Schlüsseltresorobjekt für einen zuvor festgelegten Zeitraum wiederherstellbar ist, können die Benutzer*innen den Löschvorgang möglicherweise rückgängig machen und die Daten wiederherstellen.

2. In einem anderen Szenario versuchen nicht autorisierte Benutzer*innen, einen Schlüsseltresor oder ein Schlüsseltresorobjekt (z. B. einen Schlüssel in einem Tresor) zu löschen, um eine Unterbrechung des Geschäftsbetriebs zu verursachen. Die Trennung der Löschung des Schlüsseltresors oder Key Vault-Objekts vom tatsächlichen Löschen der zugrunde liegenden Daten kann als Sicherheitsmaßnahme verwendet werden, indem z. B. die Berechtigungen für das Löschen von Daten auf eine andere vertrauenswürdige Rolle beschränkt werden. Dieser Ansatz erfordert effektiv ein Quorum für einen Vorgang, der andernfalls zu einem sofortigen Datenverlust führen könnte.

Verhalten des vorläufigen Löschens

Wenn vorläufiges Löschen aktiviert ist, werden Ressourcen, die als gelöscht gekennzeichnet wurden, für einen bestimmten Zeitraum (standardmäßig 90 Tage) aufbewahrt. Der Dienst bietet darüber hinaus einen Mechanismus zur Wiederherstellung des gelöschten Objekts, bei dem der Löschvorgang im Wesentlichen rückgängig gemacht wird.

Beim Erstellen eines neuen Schlüsseltresors ist vorläufiges Löschen standardmäßig aktiviert. Wenn vorläufiges Löschen in einem Schlüsseltresor aktiviert ist, kann es nicht mehr deaktiviert werden.

Das Aufbewahrungsrichtlinienintervall kann nur während der Erstellung des Schlüsseltresors konfiguriert und danach nicht geändert werden. Sie haben die Möglichkeit, es zwischen 7 und 90 Tagen festzulegen, wobei 90 Tage der Standardwert sind. Das gleiche Intervall gilt sowohl für vorläufiges Löschen als auch für die Aufbewahrungsrichtlinie für den Löschschutz.

Der Name eines vorläufig gelöschten Schlüsseltresors kann erst nach Ablauf des Aufbewahrungszeitraums erneut verwendet werden.

Bereinigungsschutz

Der Bereinigungsschutz ist ein optionales Key Vault-Verhalten und ist standardmäßig nicht aktiviert. Der Schutz vor dem endgültigen Löschen kann nur aktiviert werden, wenn das vorläufige Löschen aktiviert ist. Der Bereinigungsschutz wird empfohlen, wenn Schlüssel für die Verschlüsselung verwendet werden, um Datenverlust zu verhindern. Die meisten in Azure Key Vault integrierten Dienste, wie z. B. Azure Storage, erfordern einen Bereinigungsschutz, um Datenverlust zu vermeiden.

Bei aktiviertem Bereinigungsschutz kann ein Tresor oder ein Objekt im gelöschten Zustand erst nach Ablauf der Aufbewahrungsdauer endgültig gelöscht werden. Vorläufig gelöschte Tresore und Objekte können unter Einhaltung der Aufbewahrungsrichtlinie weiterhin wiederhergestellt werden.

Der Standardaufbewahrungszeitraum beträgt 90 Tage. Über das Azure-Portal kann das Intervall der Aufbewahrungsrichtlinie jedoch auf einen Wert zwischen sieben und 90 Tagen festgelegt werden. Nachdem das Intervall für die Aufbewahrungsrichtlinie festgelegt und gespeichert wurde, kann es für diesen Tresor nicht mehr geändert werden.

Der Löschschutz kann mithilfe der Befehlszeilenschnittstelle, mitPowerShell oder über das Portal aktiviert werden.

Zulässige Löschung

Das endgültige Löschen eines Schlüsseltresors kann über einen POST-Vorgang für die Proxyressource erfolgen und erfordert spezielle Berechtigungen. Im Allgemeinen kann nur der Besitzer des Abonnements einen Schlüsseltresor endgültig löschen. Der POST-Vorgang löst die sofortige Löschung dieses Tresors aus, die nicht rückgängig gemacht werden kann.

Es gelten folgende Ausnahmen:

• Wenn das Azure-Abonnement als nicht löschbar markiert wurde. In diesem Fall kann der eigentliche Löschvorgang nur vom Dienst ausgeführt werden, und dies erfolgt als geplanter Prozess.
• Wenn das Argument --enable-purge-protection im Tresor selbst aktiviert wurde. In diesem Fall wartet Key Vault 7 bis 90 Tage ab der Markierung des ursprünglichen Geheimnisobjekts zum Löschen, bevor das Objekt vollständig gelöscht wird.

Informationen zu den erforderlichen Schritten finden Sie unter Verwenden des vorläufigen Löschens in Key Vault mit der CLI: Bereinigen eines Schlüsseltresors oder Verwenden des vorläufigen Löschens in Key Vault mit PowerShell: Bereinigen eines Schlüsseltresors.

Wiederherstellung eines Schlüsseltresors

Beim Löschen eines Schlüsseltresors erstellt der Dienst eine Proxyressource unter dem Abonnement, wobei genügend Metadaten für die Wiederherstellung hinzugefügt werden. Die Proxyressource ist ein gespeichertes Objekt, das am gleichen Speicherort wie der gelöschte Schlüsseltresor verfügbar ist.

Wiederherstellung eines Key Vault-Objekts

Beim Löschen eines Key Vault-Objekts, beispielsweise eines Schlüssels, versetzt der Dienst das Objekt in einen gelöschten Zustand, sodass keine Abrufvorgänge mehr darauf zugreifen können. Während sich das Key Vault-Objekt in diesem Zustand befindet, kann es nur aufgelistet, wiederhergestellt oder zwangsweise/endgültig gelöscht werden. Verwenden Sie zur Anzeige der Objekte den Azure CLI-Befehl az keyvault key list-deleted (weitere Informationen hierzu finden Sie unter Verwenden des vorläufigen Löschens in Key Vault mit der CLI) oder den Azure PowerShell-Befehl Get-AzKeyVault -InRemovedState (weitere Informationen hierzu finden Sie unter Geheimnisse).

Gleichzeitig plant Key Vault die Ausführung des Löschens der zugrunde liegenden Daten, die dem gelöschten Schlüsseltresor oder Key Vault-Objekt entsprechen, nach einem zuvor festgelegten Aufbewahrungsintervall. Der dem Tresor entsprechende DNS-Eintrag wird ebenfalls für die Dauer des Aufbewahrungsintervalls beibehalten.

Aufbewahrungszeitraum für vorläufig gelöschte Ressourcen

Vorläufig gelöschte Ressourcen werden für einen festgelegten Zeitraum von 90 Tagen beibehalten. Während des Aufbewahrungsintervalls für vorläufig gelöschte Ressourcen gilt Folgendes:

• Sie können alle im vorläufig gelöschten Schlüsseltresore und Schlüsseltresorobjekte für Ihr Abonnement auflisten sowie auf die entsprechenden Lösch- und Wiederherstellungsinformationen zugreifen.
  • Nur Benutzer mit speziellen Berechtigungen können gelöschte Tresore auflisten. Wir empfehlen unseren Benutzern das Erstellen einer benutzerdefinierten Rolle mit diesen speziellen Berechtigungen für den Umgang mit gelöschten Tresoren.
• Es kann kein Schlüsseltresor mit demselben Namen am gleichen Speicherort erstellt werden. Dementsprechend kann auch kein Key Vault-Objekt in einem bestimmten Tresor erstellt werden, wenn dieser Schlüsseltresor ein Objekt mit demselben Namen enthält, das sich in einem gelöschten Zustand befindet.
• Nur Benutzer*innen mit erhöhten Rechten können einen Schlüsseltresor oder ein Schlüsseltresorobjekt durch Ausführen eines Wiederherstellungsbefehls für die entsprechende Proxyressource wiederherstellen.
  • Der Benutzer, ein Mitglied der benutzerdefinierten Rolle, der über die Berechtigung zum Erstellen eines Schlüsseltresors unter der Ressourcengruppe verfügt, kann den Tresor wiederherstellen.
• Nur Benutzer*innen mit erhöhten Rechten können das Löschen eines Schlüsseltresors oder Schlüsseltresorobjekts durch Ausführen eines Löschbefehls für die entsprechende Proxyressource erzwingen.

Sofern ein Schlüsseltresor oder Key Vault-Objekt nicht wiederhergestellt wird, löscht der Dienst am Ende des Aufbewahrungsintervalls den vorläufig gelöschten Schlüsseltresor oder das vorläufig gelöschte Key Vault-Objekt und dessen Inhalt endgültig. Das Löschen von Ressourcen kann nicht neu geplant werden.

Hinweise zur Gebührenberechnung

Im Allgemeinen gilt: Wenn sich ein Objekt (ein Schlüsseltresor oder ein Schlüssel/Geheimnis) im gelöschten Zustand befindet, sind nur zwei Vorgänge möglich: Bereinigen und Wiederherstellen. Alle anderen Vorgänge sind nicht erfolgreich. Das Objekt ist zwar vorhanden, es können jedoch keine Vorgänge dafür ausgeführt werden. Dadurch findet keine Nutzung statt, und es erfolgt auch keine Abrechnung. Es gelten allerdings folgende Ausnahmen:

• Bereinigungs- und Wiederherstellungsaktionen gelten als normale Schlüsseltresorvorgänge und werden entsprechend in Rechnung gestellt.
• Wenn es sich bei dem Objekt um einen HSM-Schlüssel handelt, fällt pro Schlüsselversion und Monat die Gebühr für durch den HSM geschützte Schlüssel an, sofern in den letzten 30 Tagen eine Schlüsselversion verwendet wurde. Danach gilt: Da sich das Objekt im gelöschten Zustand befindet, können keine Vorgänge dafür ausgeführt werden, und es fallen somit auch keine Gebühren an.

Nächste Schritte

Die folgenden drei Handbücher stellen die primären Verwendungsszenarien für vorläufiges Löschen vor.

• Verwenden des vorläufigen Löschens in Key Vault mit dem Portal
• Verwenden des vorläufigen Löschens in Key Vault mit PowerShell
• Verwenden des vorläufigen Löschens in Key Vault mit CLI