Información general sobre la eliminación temporal de Azure Key Vault

Importante

Si un almacén de claves no tiene habilitada la protección contra la eliminación temporal, la eliminación de una clave la suprime permanentemente. Se recomienda a los clientes activar el cumplimiento de la eliminación temporal para sus almacenes mediante Azure Policy.

Importante

Cuando un Key Vault se elimina de manera temporal, se eliminan los servicios que están integrados con él. Por ejemplo: asignaciones de roles RBAC de Azure y suscripciones de Event Grid. La recuperación de una instancia de Key Vault eliminada temporalmente no restaura estos servicios. Deben volver a crearse.

La característica de eliminación temporal de Key Vault permite la recuperación de los almacenes y los objetos del almacén de claves eliminados (por ejemplo, claves, secretos, certificados), lo que se conoce como eliminación temporal. En concreto, se abordan los siguientes escenarios: esta salvaguarda ofrece las siguientes protecciones:

• Una vez que se elimina un secreto, una clave, un certificado o un almacén de claves, se puede recuperar durante un período configurable de 7 a 90 días naturales. Si no se especifica ninguna configuración, el período de recuperación predeterminado se establece en 90 días para que los usuarios tengan tiempo suficiente para darse cuenta de una eliminación accidental de secretos y responder.
• Para eliminar de forma permanente un secreto, se deben realizar dos operaciones. En primer lugar, el usuario debe eliminar el objeto, que lo coloca en estado de eliminación temporal. En segundo lugar, el usuario debe purgar el objeto en estado de eliminación suave. Estas protecciones reducen el riesgo de que un usuario elimine un secreto o un almacén de claves por accidente o de forma malintencionada.
• Para purgar un secreto, una clave o un certificado en el estado de eliminación temporal, se debe conceder a una entidad de seguridad el permiso de operación "purgar" (con el rol integrado de Key Vault "Operador de purga de Key Vault", por ejemplo).

Interfaces de soporte

La característica de eliminación temporal está disponible a través de la API REST, la CLI de Azure, Azure PowerShell, las interfaces .NET/C# y las plantillas de ARM.

Escenarios

Los almacenes Azure Key Vault son recursos controlados que se administran por medio de Azure Resource Manager. Azure Resource Manager especifica además un comportamiento bien definido para su eliminación, lo que conlleva que una operación DELETE ejecutada correctamente debería traducirse en que ese recurso deje de estar accesible. La característica de eliminación reversible aborda la recuperación del objeto eliminado, ya sea que la eliminación haya sido accidental o intencionada.

1. En un escenario típico, un usuario puede eliminar por accidente una instancia o un objeto de Key Vault; si esa instancia o ese objeto de Key Vault fuera recuperable durante un período predeterminado, el usuario podría deshacer la eliminación y recuperar sus datos.

2. En un escenario diferente, un usuario malintencionado podría intentar eliminar un almacén de claves o un objeto del almacén de claves, como una clave dentro del almacén, para provocar una interrupción del negocio. El hecho de que al eliminar la instancia o el objeto del almacén de claves no se eliminen los datos subyacentes puede resultar útil como medida de seguridad ya que, por ejemplo, se pueden limitar los permisos sobre la eliminación de datos a un rol diferente que sea de confianza. Este enfoque requiere un cuórum efectivo para una operación que, en caso contrario, podría provocar una pérdida de datos inmediata.

Comportamiento de eliminación temporal

Cuando está habilitada la eliminación temporal, los recursos marcados como recursos eliminados se conservan durante un período especificado (de forma predeterminada, 90 días). El servicio proporciona además un mecanismo para recuperar el objeto eliminado, básicamente deshaciendo la eliminación.

Al crear un almacén de claves, la eliminación temporal está activada de forma predeterminada. Una vez que se habilita la eliminación temporal en un almacén de claves, no se puede deshabilitar.

El intervalo de la directiva de retención solo se puede configurar durante la creación del almacén de claves y no se puede cambiar después. Puede establecerlo entre 7 y 90 días, siendo 90 días el valor predeterminado. El mismo intervalo se aplica a la eliminación temporal y a la directiva de retención de protección de purga.

No se puede volver a usar el nombre de un almacén de claves que se ha eliminado temporalmente hasta que haya expirado el período de retención.

Protección contra purgas

La protección contra purgas es un comportamiento opcional de Key Vault y no está habilitado de forma predeterminada. La protección de purga solo se puede habilitar una vez habilitada la eliminación temporal. Se recomienda la protección de purga cuando se usan claves para el cifrado con el fin de evitar la pérdida de datos. La mayoría de los servicios de Azure que se integran con Azure Key Vault, como Storage, requieren protección de purga para evitar la pérdida de datos.

Cuando la protección contra purga está activada, un almacén o un objeto en estado eliminado no se puede purgar hasta que haya transcurrido el período de retención. Los objetos y los almacenes eliminados temporalmente todavía se pueden recuperar, lo que garantiza que se siga la directiva de retención.

El período de retención predeterminado es de 90 días, pero es posible establecer el intervalo de la directiva de retención en un valor de entre 7 y 90 días en Azure Portal. Una vez que el intervalo de la directiva de retención se establece y se guarda, no se podrá cambiar para ese almacén.

La protección de purga se puede activar a través de la CLI, PowerShell o el Portal.

Purga permitida

La purga o eliminación permanente de un almacén de claves es posible a través de una operación POST en el recurso de proxy y requiere privilegios especiales. En general, solo el propietario de la suscripción o un usuario con el rol de RBAC "Operador de purga de Key Vault" puede purgar un almacén de claves. La operación POST activa la eliminación inmediata e irrecuperable de esa bóveda.

Las excepciones son estas:

• Cuando la suscripción de Azure está marcada como ineliminable. En este caso, solo el servicio puede realizar la eliminación real, y lo hace como un proceso programado.
• Cuando el argumento --enable-purge-protection se habilita en el propio almacén. En este caso, Key Vault espera de 7 a 90 días desde que el objeto secreto original se marcó para su eliminación para eliminarlo permanentemente.

Para ver los pasos, consulte Uso de la eliminación temporal de Key Vault con la CLI: purga de un almacén de claves o Uso de la eliminación temporal de Key Vault con PowerShell: purga de un almacén de claves.

Recuperación de un almacén de claves

Cuando se elimina una instancia de Key Vault, el servicio crea un recurso de proxy en la suscripción, y agrega metadatos suficientes para la recuperación. El recurso de proxy es un objeto almacenado, disponible en la misma ubicación que la instancia de Key Vault eliminada.

Recuperación de un objeto del almacén de claves

Cuando se elimina un objeto de Key Vault, como una clave, el servicio pone el objeto en estado "eliminado", de manera que no será accesible para ninguna operación de recuperación. Mientras esté en ese estado, el objeto de Key Vault solo se puede colocar en una lista, recuperar o eliminar por la fuerza/permanentemente. Para ver los objetos, use el comando de Azure CLI az keyvault key list-deleted (como se documenta en Cómo usar la eliminación temporal de Key Vault con la CLI) o el comando de Azure PowerShell Get-AzKeyVault -InRemovedState (como se describe en Cómo usar la eliminación temporal de Key Vault con PowerShell).

Al mismo tiempo, Key Vault programará la eliminación de los datos subyacentes correspondientes al almacén de claves eliminado o al objeto del almacén de claves, para su ejecución tras un intervalo de retención predeterminado. El registro DNS correspondiente al almacén también se retiene durante el intervalo de retención.

Período de retención de la eliminación temporal

Los recursos eliminados temporalmente se conservan durante un período de tiempo determinado: 90 días. Durante el intervalo de retención de eliminación temporal, se dan las circunstancias siguientes:

• Puede preparar un listado con todos los objetos del almacén de claves que se encuentran en estado de eliminación temporal en su suscripción, así como tener acceso a la información de eliminación y recuperación sobre ellos.
  • Solo los usuarios con permisos especiales pueden consultar los almacenes eliminados. Se recomienda que los usuarios creen un rol personalizado con estos permisos especiales para tratar los almacenes eliminados.
• No es posible crear un almacén de claves con el mismo nombre en la misma ubicación; en consecuencia, no se puede crear un objeto de almacén de claves en un almacén determinado si este contiene un objeto con el mismo nombre y está en estado eliminado.
• Solo un usuario con privilegios determinados puede restaurar una instancia o un objeto de Key Vault mediante la emisión de un comando de recuperación en el recurso de proxy correspondiente.
  • El usuario, miembro de un rol personalizado, que tiene privilegios para crear un Key Vault dentro del grupo de recursos, puede restaurar el Key Vault.
• Solo un usuario con privilegios determinados puede eliminar por la fuerza una instancia o un objeto de Key Vault mediante la emisión de un comando de eliminación en el recurso de proxy correspondiente.

Una vez que finalice el intervalo de retención, el servicio lleva a cabo una purga del almacén de claves o del objeto del almacén de claves eliminados temporalmente y de su contenido, a menos que se hayan recuperado. La eliminación de recursos no se puede volver a programar.

Implicaciones de facturación

En general, cuando un objeto (un almacén de claves, una clave o un secreto) está en estado eliminado, solo existen dos operaciones posibles: "purgarlo" y "recuperarlo". Se producirá un error en el resto de operaciones. Por consiguiente, aunque el objeto exista, no se puede realizar ninguna operación y, por tanto, no se producirá ningún uso ni ninguna factura. Sin embargo, existen las siguientes excepciones:

• Las acciones "purgar" y "recuperar" contarán para las operaciones normales del almacén de claves y se facturarán.
• Si el objeto es una clave HSM, se aplicará la tarifa de «Clave HSM protegida» por versión de clave al mes si una versión de la clave se ha utilizado en los últimos 30 días. Después, como el objeto está en estado eliminado, no podrá realizarse ninguna operación en él, por lo que no se aplicará ningún cargo.

Pasos siguientes

Las tres guías siguientes ofrecen los escenarios de uso principal para uso de la eliminación temporal.

• Uso de la eliminación temporal de Key Vault con el portal
• Uso de la eliminación temporal de Key Vault con PowerShell
• Uso de la eliminación temporal de Key Vault con la CLI