Información general sobre la eliminación temporal de Azure Key Vault

Importante

Debe habilitar inmediatamente la eliminación temporal en los almacenes de claves. La capacidad de no participar en la eliminación temporal está en desuso y se elimina en febrero de 2025. Consulte los detalles completos aquí.

Importante

Cuando se elimina temporalmente un almacén de claves, se eliminan los servicios que están integrados en él. Por ejemplo: asignaciones de roles RBAC de Azure y suscripciones de Event Grid. La recuperación de un almacén de claves eliminado temporalmente no restaura estos servicios. Tienen que volver a crearse.

La característica de eliminación temporal de Key Vault permite la recuperación de los almacenes y los objetos de Key Vault eliminados (por ejemplo, claves, secretos, certificados), lo que se conoce como eliminación temporal. En concreto, se abordan los siguientes escenarios: esta salvaguarda ofrece las siguientes protecciones:

  • Una vez que se elimina un secreto, una clave, un certificado o un almacén de claves, no se podrá recuperar durante un período configurable de 7 a 90 días naturales. Si no se especifica ninguna configuración, el período de recuperación predeterminado se establecerá en 90 días. De esta forma, los usuarios tendrán tiempo suficiente para darse cuenta de la eliminación accidental de un secreto y responder a ella.
  • Para eliminar de forma permanente un secreto, se deben realizar dos operaciones. En primer lugar, el usuario debe eliminar el objeto, que lo coloca en estado de eliminación temporal. En segundo lugar, el usuario debe purgar el objeto en estado de eliminación temporal. La operación de purga requiere permisos adicionales de la directiva de acceso. Estas protecciones adicionales reducen el riesgo de que un usuario elimine un secreto o un almacén de claves por accidente o de forma malintencionada.
  • Para purgar un secreto en estado de eliminación temporal, se le debe conceder a una entidad de servicio un permiso adicional de la directiva de acceso, el permiso de purga. El permiso de purga de la directiva de acceso no se concede de manera predeterminada a ninguna entidad de servicio, ni siquiera a los propietarios de la suscripción y el almacén de claves, y se debe establecer de forma deliberada. Puesto que se exige un permiso elevado de la directiva de acceso para purgar un secreto eliminado temporalmente, se reduce la probabilidad de eliminar un secreto por accidente.

Interfaces admitidas

La característica de eliminación temporal está disponible mediante las interfaces de API REST, la CLI de Azure, Azure PowerShell y .NET/C#, así como de las plantillas de Resource Manager.

Escenarios

Los almacenes Azure Key Vault son recursos controlados que se administran por medio de Azure Resource Manager. Azure Resource Manager especifica además un comportamiento bien definido para su eliminación, lo que conlleva que una operación DELETE ejecutada correctamente debería traducirse en que ese recurso deje de estar accesible. La característica de eliminación temporal aborda la recuperación del objeto eliminado, con independencia de que la eliminación haya sido voluntaria o involuntaria.

  1. En un escenario típico, un usuario puede haber eliminado por accidente una instancia o un objeto de Key Vault; si esa instancia o ese objeto de Key Vault fueran recuperables durante un período predeterminado, el usuario podría deshacer la eliminación y recuperar sus datos.

  2. En un escenario diferente, un usuario malintencionado podría intentar eliminar una instancia o un objeto de Key Vault, como una clave dentro de un almacén, para provocar una interrupción de la actividad empresarial. El hecho de que al eliminar la instancia o el objeto de Key Vault no se eliminen los datos subyacentes puede resultar útil como medida de seguridad ya que, por ejemplo, se pueden limitar los permisos sobre la eliminación de datos a un rol diferente que sea de confianza. Este enfoque requiere un cuórum efectivo para una operación que, en caso contrario, podría provocar una pérdida de datos inmediata.

Comportamiento de eliminación temporal

Cuando está habilitada la eliminación temporal, los recursos marcados como recursos eliminados se conservan durante un período especificado (de forma predeterminada, 90 días). El servicio proporciona además un mecanismo para recuperar el objeto eliminado, básicamente deshaciendo la eliminación.

Al crear un almacén de claves, la eliminación temporal está activada de forma predeterminada. Una vez que la eliminación temporal está habilitada en un almacén de claves, no se puede deshabilitar.

El período de retención predeterminado es de 90 días, durante la creación del almacén de claves, pero es posible establecer el intervalo de la directiva de retención en un valor de 7 a 90 días en Azure Portal. La directiva de retención de protección de purgas usa el mismo intervalo. Una vez establecido, el intervalo de la directiva de retención no se puede cambiar.

No se puede volver a usar el nombre de un almacén de claves que se ha eliminado temporalmente hasta que haya transcurrido el período de retención.

Protección de purgas

La protección contra purgas es un comportamiento opcional de Key Vault y no está habilitado de forma predeterminada. La protección de purga solo se puede habilitar una vez habilitada la eliminación temporal. Se puede activar a través de la CLI o Powershell. Se recomienda la protección de purga cuando se usan claves para el cifrado con el fin de evitar la pérdida de datos. La mayoría de los servicios de Azure que se integran con Azure Key Vault, como Storage, requieren protección de purga para evitar la pérdida de datos.

Cuando la protección de purgas está activada, un almacén o un objeto en estado eliminado no se pueden purgar hasta que haya transcurrido el período de retención. Los objetos y los almacenes de eliminación temporal todavía se pueden recuperar, lo que garantiza que se seguirá la directiva de retención.

El período de retención predeterminado es de 90 días, pero es posible establecer el intervalo de la directiva de retención en un valor de 7 a 90 días en Azure Portal. Una vez que el intervalo de la directiva de retención se establece y se guarda, no se puede cambiar en ese almacén.

Purga permitida

La purga permanente de una instancia de Key Vault es posible a través de una operación POST en el recurso de proxy y requiere privilegios especiales. Por lo general, el propietario de la suscripción es el único que puede purgar una instancia de Key Vault. La operación POST activa la eliminación inmediata y no recuperable de esa instancia.

Las excepciones son estas:

  • Cuando la suscripción de Azure se marcó como no eliminable. En este caso, solo el servicio puede realizar la eliminación real, y lo hace como un proceso programado.
  • Cuando el argumento --enable-purge-protection se habilita en el propio almacén. En este caso, Key Vault espera durante 90 días a partir de que el objeto de secreto original se marcara para eliminación para eliminar permanentemente el objeto.

Para conocer los pasos, consulte Uso de la eliminación temporal de Key Vault con la CLI: Purga de un almacén de claves o Uso de la eliminación temporal de Key Vault con PowerShell: Purga de un almacén de claves.

Recuperación de Key Vault

Tras eliminar una instancia de Key Vault, el servicio crea un recurso de proxy en la suscripción, agregando metadatos suficientes para la recuperación. El recurso de proxy es un objeto almacenado, disponible en la misma ubicación que la instancia de Key Vault eliminada.

Recuperación de un objeto de Key Vault

Cuando se elimina un objeto de Key Vault, como una clave, el servicio pondrá el objeto en estado "eliminado", de manera que no será accesible para ninguna operación de recuperación. Mientras esté en ese estado, el objeto de Key Vault solo se puede colocar en una lista, recuperar o eliminar por la fuerza/permanentemente. Para ver los objetos, use el comando az keyvault key list-deleted de la CLI de Azure (como se documenta en Uso de la eliminación temporal de Key Vault con la CLI) o el comando Get-AzKeyVault -InRemovedState de Azure PowerShell (como se describe en Uso de la eliminación temporal de Key Vault con PowerShell).

Al mismo tiempo, Key Vault programará la eliminación de los datos subyacentes correspondientes al objeto o la instancia de Key Vault eliminados para su ejecución tras un intervalo de retención predeterminado. El registro DNS correspondiente al almacén también se conserva durante la duración del intervalo de retención.

Período de retención de la eliminación temporal

Los recursos eliminados temporalmente se conservan durante un período de tiempo determinado: 90 días. Durante el intervalo de retención de eliminación temporal, se dan las circunstancias siguientes:

  • Puede confeccionar un listado con todos los objetos e instancias de Key Vault que se encuentran en estado de eliminación temporal en su suscripción, así como tener acceso a la información de eliminación y recuperación sobre ellos.
    • Solo los usuarios con permisos especiales pueden consultar los almacenes eliminados. Se recomienda que los usuarios creen un rol personalizado con estos permisos especiales para tratar los almacenes eliminados.
  • No es posible crear una instancia de Key Vault con el mismo nombre en la misma ubicación; en consecuencia, no se puede crear un objeto de Key Vault en un almacén determinado si esta contiene un objeto con el mismo nombre y está en estado eliminado.
  • Solo un usuario con privilegios determinados puede restaurar una instancia o un objeto de Key Vault mediante la emisión de un comando de recuperación en el recurso de proxy correspondiente.
    • El usuario, miembro del rol personalizado, que tiene privilegios para crear una instancia de Key Vault en el grupo de recursos puede restaurar el almacén.
  • Solo un usuario con privilegios determinados puede eliminar por la fuerza una instancia o un objeto de Key Vault mediante la emisión de un comando de eliminación en el recurso de proxy correspondiente.

Una vez que finalice el intervalo de retención, el servicio lleva a cabo una purga de la instancia o el objeto de Key Vault eliminados temporalmente y de su contenido, a menos que se hayan recuperado. La eliminación de recursos no se puede volver a programar.

Implicaciones de facturación

En general, cuando un objeto (un almacén de claves, una clave o un secreto) está en estado eliminado, solo existen dos operaciones posibles: "purgarlo" y "recuperarlo". Se producirá un error en el resto de operaciones. Por consiguiente, aunque el objeto exista, no se puede realizar ninguna operación y, por tanto, no se producirá ningún uso ni ninguna factura. Sin embargo, existen las siguientes excepciones:

  • las acciones "purgar" y "recuperar" contarán para las operaciones normales del almacén de claves y se facturarán.
  • Si el objeto es una clave HSM, se aplicará el cargo de "Clave HSM protegida" por versión de clave al mes si se ha utilizado una versión de la clave en los últimos 30 días. Después, como el objeto está en estado eliminado, no podrá realizarse ninguna operación en él, por lo que no se aplicará ningún cargo.

Pasos siguientes

Las tres guías siguientes ofrecen los escenarios de uso principal para uso de la eliminación temporal.