Compartir a través de

Copia de seguridad y restauración de Azure Key Vault

En este documento se muestra cómo realizar copias de seguridad de secretos, claves y certificados almacenados en el almacén de claves. Una copia de seguridad está concebida para proporcionarle una copia sin conexión de todos sus secretos en el improbable caso de que pierda acceso a su almacén de claves.

Información general

Azure Key Vault proporciona automáticamente características que le ayudarán a mantener la disponibilidad y evitar la pérdida de datos. Realice una copia de seguridad de los secretos solo si tiene una justificación empresarial crítica. La copia de seguridad de los secretos del almacén de claves puede plantear desafíos operativos adicionales, como el mantenimiento de varios conjuntos de registros, permisos y copias de seguridad cuando los secretos expiren o roten.

Key Vault mantiene la disponibilidad en escenarios de desastres y conmutará automáticamente las solicitudes a una región emparejada sin intervención de un usuario. Para más información, consulte Redundancia y disponibilidad de Azure Key Vault.

Si desea protegerse contra la eliminación accidental o malintencionada de sus secretos, configure las funciones de eliminación temporal y protección de purga en la bóveda de claves. Para más información, vea Información general sobre la eliminación temporal de Azure Key Vault.

Limitaciones

Importante

Key Vault no admite la capacidad de realizar copias de seguridad de más de 500 versiones anteriores de una clave, un secreto o un objeto de certificado, e intentar hacerlo puede producir un error. No es posible eliminar versiones anteriores de una clave, un secreto o un certificado.

Key Vault no proporciona actualmente una manera de realizar copias de seguridad de un almacén de claves completo en una sola operación y claves, secretos y certificados deben realizar copias de seguridad individualmente.

Tenga en cuenta también los siguientes problemas:

  • La copia de seguridad de secretos que tienen varias versiones podría producir errores de expiración del tiempo de espera.
  • Una copia de seguridad crea una instantánea a un momento dado. Los secretos pueden renovarse durante una copia de seguridad, lo que provoca un error de coincidencia de las claves de cifrado.
  • Si se superan los límites de servicio de Key Vault en cuanto a solicitudes por segundo, el almacén de claves se limitará y se producirá un error en la copia de seguridad.

Consideraciones de diseño

Al realizar una copia de seguridad de un objeto de almacén de claves, como un secreto, una clave o un certificado, la operación de copia de seguridad descargará el objeto como un blob cifrado. Este blob no se puede descifrar fuera de Azure. Para obtener datos utilizables de este blob, debe restaurar el blob en un Azure Key Vault dentro de la misma suscripción de Azure y la misma geografía de Azure.

Prerrequisitos

Para realizar una copia de seguridad de un objeto de Key Vault, debe tener lo siguiente:

  • Permisos de nivel de colaborador o superior en una suscripción de Azure.
  • Un almacén de claves principal que contenga los secretos de los que quiere realizar una copia de seguridad.
  • Un almacén de claves secundario en el que se restaurarán los secretos.

Copia de seguridad y restauración desde Azure Portal

Siga los pasos de esta sección para realizar copias de seguridad y restaurar objetos mediante Azure Portal.

Copia de seguridad

  1. Vaya a Azure Portal.

  2. Seleccione el almacén de claves.

  3. Vaya al objeto (secreto, clave o certificado) del que desea realizar una copia de seguridad.

    Captura de pantalla que muestra dónde seleccionar la configuración de Claves y un objeto en una bóveda de claves.

  4. Seleccione el objeto .

  5. Seleccione Descargar copia de seguridad.

    Captura de pantalla que muestra dónde seleccionar el botón Descargar copia de seguridad en un almacén de claves.

  6. Seleccione Descargar.

    Captura de pantalla que muestra dónde seleccionar el botón Descargar en un almacén de claves.

  7. Almacene el blob cifrado en una ubicación segura.

Restauración

  1. Vaya a Azure Portal.

  2. Seleccione el almacén de claves.

  3. Vaya al tipo de objeto (secreto, clave o certificado) que desea restaurar.

  4. Seleccione Restaurar copia de seguridad.

    Captura de pantalla que muestra dónde seleccionar Restaurar copia de seguridad en un almacén de claves.

  5. Vaya a la ubicación donde ha almacenado el blob cifrado.

  6. Selecciona Aceptar.

Copia de seguridad y restauración desde la CLI de Azure o Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Pasos siguientes