Azure Key Vault copia de seguridad y restauración

En este documento se muestra cómo realizar copias de seguridad de secretos, claves y certificados almacenados en el almacén de claves. Una copia de seguridad está concebida para proporcionarle una copia sin conexión de todos sus secretos en el improbable caso de que pierda acceso a su almacén de claves.

Información general

Azure Key Vault proporciona varias opciones para garantizar la disponibilidad y la capacidad de recuperación de los datos del almacén:

Conmutación por error y redundancia automática: Key Vault replica automáticamente los datos entre regiones y controla la conmutación por error durante las interrupciones; consulte Azure Key Vault disponibilidad y redundancia
Soft delete and purge protection: Impide la eliminación accidental o malintencionada de su almacén o de los objetos del almacén; consulte Azure Key Vault: administración de recuperación con eliminación reversible y protección contra purga
Copia de seguridad y restauración manuales (que se trata en este artículo): para secretos, claves y certificados individuales

Este artículo se centra en las operaciones manuales de copia de seguridad y restauración de objetos individuales dentro de Key Vault.

Cuándo usar copias de seguridad

Azure Key Vault proporciona automáticamente características para ayudarle a mantener la disponibilidad y evitar la pérdida de datos. Realice una copia de seguridad de los secretos solo si tiene una justificación empresarial crítica. La copia de seguridad de los secretos del almacén de claves puede plantear desafíos operativos adicionales, como el mantenimiento de varios conjuntos de registros, permisos y copias de seguridad cuando los secretos expiren o roten.

Considere la posibilidad de usar copias de seguridad en estos escenarios:

Debe mover objetos entre almacenes de claves o regiones de Azure
Desea una copia sin conexión de los secretos por motivos normativos o de cumplimiento
Está usando una región que no admite la replicación automática entre regiones (Sur de Brasil, Sudeste de Brasil o Oeste de EE. UU. 3)
Necesita protección contra la eliminación accidental de objetos específicos.

En la mayoría de los escenarios, las características integradas de redundancia y eliminación temporal de Key Vault proporcionan protección suficiente sin necesidad de copias de seguridad manuales. Para obtener más información, consulte Azure Key Vault disponibilidad y redundancia.

Limitaciones

Importante

Key Vault no admite la capacidad de realizar copias de seguridad de más de 500 versiones anteriores de una clave, un secreto o un objeto de certificado, e intentar hacerlo puede producir un error. No es posible eliminar versiones anteriores de una clave, un secreto o un certificado.

Key Vault actualmente no proporciona una manera de realizar una copia de seguridad de un key vault completo en una sola operación y exige hacer copias de seguridad de claves, secretos y certificados de forma individual.

Tenga en cuenta también los siguientes problemas:

La copia de seguridad de secretos que tienen varias versiones podría producir errores de expiración del tiempo de espera.
Una copia de seguridad crea una instantánea a un momento dado. Los secretos pueden renovarse durante una copia de seguridad, lo que provoca un error de coincidencia de las claves de cifrado.
Si se superan los límites de servicio de Key Vault en cuanto a solicitudes por segundo, el almacén de claves se limitará y se producirá un error en la copia de seguridad.

Consideraciones de diseño

Al realizar una copia de seguridad de un objeto de almacén de claves, como un secreto, una clave o un certificado, la operación de copia de seguridad descargará el objeto como un blob cifrado. Este blob no se puede descifrar fuera de Azure. Para obtener datos utilizables de este blob, debe restaurar el blob en un almacén de claves dentro de la misma suscripción de Azure y Azure geography.

Prerrequisitos

Para realizar una copia de seguridad de un objeto de Key Vault, debe tener lo siguiente:

Permisos de nivel de colaborador o superior en una suscripción de Azure.
Un almacén de claves principal que contenga los secretos de los que quiere realizar una copia de seguridad.
Un almacén de claves secundario en el que se restaurarán los secretos.

Copia de seguridad y restauración desde el portal de Azure

Siga los pasos de esta sección para realizar copias de seguridad y restaurar objetos mediante el portal de Azure.

Copia de seguridad

Vaya al portal de Azure.
Seleccione el almacén de claves.
Vaya al objeto (secreto, clave o certificado) del que desea realizar una copia de seguridad.
Seleccione el objeto .
Seleccione Descargar copia de seguridad.
Seleccione Descargar.
Almacene el blob cifrado en una ubicación segura.

Restauración

Vaya al portal de Azure.
Seleccione el almacén de claves.
Vaya al tipo de objeto (secreto, clave o certificado) que desea restaurar.
Seleccione Restaurar copia de seguridad.
Vaya a la ubicación donde ha almacenado el blob cifrado.
Selecciona Aceptar.

Copia de seguridad y restauración desde el CLI de Azure o la Azure PowerShell

CLI de Azure
Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription <subscription-id>

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file <file-path> --name <certificate-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a key in Key Vault
az keyvault key backup --file <file-path> --name <key-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a secret in Key Vault
az keyvault secret backup --file <file-path> --name <secret-name> --vault-name <vault-name> --subscription <subscription-id>

## Restore a certificate in Key Vault
az keyvault certificate restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a key in Key Vault
az keyvault key restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a secret in Key Vault
az keyvault secret restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '<subscription-id>'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '<vault-name>' -Name '<certificate-name>'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '<vault-name>' -Name '<key-name>'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '<vault-name>' -Name '<secret-name>'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '<vault-name>' -InputFile '<file-path>'

Pasos siguientes

Azure Key Vault disponibilidad y redundancia
Administración de gestión de recuperación de Azure Key Vault con eliminación reversible y protección contra eliminación permanente.
Mover un almacén de claves de Azure entre regiones
Habilitar el registro en Key Vault para Key Vault

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-10