Copia de seguridad y restauración de Azure Key Vault

  • Artículo

En este documento se muestra cómo realizar copias de seguridad de secretos, claves y certificados almacenados en el almacén de claves. Esta copia de seguridad está diseñada para proporcionarle una copia sin conexión de todos los secretos en el caso improbable de que pierda el acceso al almacén de claves.

Información general

Azure Key Vault proporciona automáticamente características para ayudarle a mantener la disponibilidad y evitar la pérdida de datos. Haga una copia de seguridad de los secretos solo si tiene una justificación empresarial crítica. La copia de seguridad de los secretos del almacén de claves puede plantear desafíos operativos adicionales, como el mantenimiento de varios conjuntos de registros, permisos y copias de seguridad cuando los secretos expiren o roten.

Key Vault mantiene la disponibilidad en escenarios de desastre y realizará automáticamente una conmutación por error de las solicitudes a una región emparejada sin intervención del usuario. Para más información, consulte Redundancia y disponibilidad de Azure Key Vault.

Si desea protección contra la eliminación accidental o malintencionada de los secretos, configure las características de eliminación temporal y protección de purga en el almacén de claves. Para más información, consulte el artículo Información general sobre la eliminación temporal de Azure Key Vault.

Limitaciones

Importante

Key Vault no ofrece la posibilidad de realizar copias de seguridad de más de 500 versiones anteriores para un objeto de clave, secreto o certificado. Al intentar hacer una copia de seguridad de un objeto de clave, secreto o certificado, se puede producir un error. No es posible eliminar versiones anteriores de una clave, un secreto o un certificado.

Actualmente, Key Vault no proporciona una manera de realizar una copia de seguridad de un almacén de claves completo en una sola operación; se debe realizar una copia de seguridad de las claves, los secretos y certificados de forma individual.

Considere también los siguientes problemas:

  • La copia de seguridad de secretos que tienen varias versiones podría producir errores de expiración del tiempo de espera.
  • Una copia de seguridad crea una instantánea a un momento dado. Los secretos pueden renovarse durante una copia de seguridad, lo que provoca una falta de coincidencia de las claves de cifrado.
  • Si se superan los límites de servicio de Key Vault en cuanto a solicitudes por segundo, el almacén de claves se limitará y se producirá un error en la copia de seguridad.

Consideraciones de diseño

Al realizar una copia de seguridad de un objeto almacenado en el almacén de claves (secreto, clave o certificado), la operación de copia de seguridad descargará el objeto como un blob cifrado. Este blob no se puede descifrar fuera de Azure. Para obtener datos que se puedan usar de este blob, debe restaurar el blob en un almacén de claves dentro de la misma suscripción de Azure y zona geográfica de Azure.

Requisitos previos

Para realizar una copia de seguridad de un objeto de Key Vault, debe tener:

  • Permisos de nivel de colaborador o superior en una suscripción de Azure.
  • Un almacén de claves principal que contenga los secretos de los que desea realizar una copia de seguridad.
  • Un almacén de claves secundario en el que se restaurarán los secretos.

Copia de seguridad y restauración desde Azure Portal

Siga los pasos de esta sección para realizar copias de seguridad y restaurar objetos mediante Azure Portal.

Copia de seguridad

  1. Vaya a Azure Portal.

  2. Seleccione el almacén de claves.

  3. Vaya al objeto (secreto, clave o certificado) del que desea realizar una copia de seguridad.

    Screenshot showing where to select the Keys setting and an object in a key vault.

  4. Seleccione el objeto.

  5. Seleccione Descargar copia de seguridad.

    Screenshot showing where to select the Download Backup button in a key vault.

  6. Seleccione Descargar.

    Screenshot showing where to select the Download button in a key vault.

  7. Almacene el blob cifrado en una ubicación segura.

Restauración

  1. Vaya a Azure Portal.

  2. Seleccione el almacén de claves.

  3. Desplácese hasta el tipo de objeto (secreto, clave o certificado) que desea restaurar.

  4. Seleccione Restaurar copia de seguridad.

    Screenshot showing where to select Restore Backup in a key vault.

  5. Vaya a la ubicación donde almacenó el blob cifrado.

  6. Seleccione Aceptar.

Copia de seguridad y restauración desde la CLI de Azure o Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Pasos siguientes