Copia de seguridad y restauración completas y restauración selectiva de claves

Nota:

Esta característica solo está disponible para el tipo de recurso HSM administrado.

HSM administrado admite la creación de una copia de seguridad completa de todo el contenido de HSM, incluidas todas las claves, versiones, atributos, etiquetas y asignaciones de roles. La copia de seguridad se cifra con claves criptográficas asociadas al dominio de seguridad de HSM.

La copia de seguridad es una operación de plano de datos. El autor de la llamada que inicia la operación de copia de seguridad debe tener permiso para realizar una operación dataAction Microsoft.KeyVault/managedHsm/backup/start/action.

Solo los siguientes roles integrados tienen permiso para realizar una copia de seguridad completa:

• Managed HSM Administrator
• Managed HSM Backup

Hay dos maneras de ejecutar una copia de seguridad o restauración completa:

1. Asigne una identidad administrada asignada por el usuario (UAMI) al servicio HSM administrado. Puede realizar copias de seguridad y restaurar el MHSM mediante una identidad administrada asignada por el usuario, independientemente de si la cuenta de almacenamiento tiene habilitado el acceso a la red pública o el acceso a la red privada. Si la cuenta de almacenamiento está detrás de un punto de conexión privado, el método UAMI funciona con la omisión del servicio de confianza para permitir copias de seguridad y restauración.
2. Uso del token de SAS del contenedor de almacenamiento con permisos "crdw". Para hacer una copia de seguridad y restauración mediante un token de SAS del contenedor de almacenamiento, es necesario que la cuenta de almacenamiento tenga habilitado el acceso a la red pública.

Debe proporcionar la siguiente información para ejecutar una copia de seguridad completa:

• URL o nombre de HSM
• Nombre de la cuenta de almacenamiento
• Contenedor de almacenamiento de blobs de una cuenta de almacenamiento
• Token de SAS de contenedor de almacenamiento O identidad administrada asignada por el usuario con permisos "crdw"

Azure Cloud Shell

En Azure se hospeda Azure Cloud Shell, un entorno de shell interactivo que puede utilizar mediante el explorador. Puede usar Bash o PowerShell con Cloud Shell para trabajar con los servicios de Azure. Puede usar los comandos preinstalados de Cloud Shell para ejecutar el código de este artículo sin tener que instalar nada en su entorno local.

Para iniciar Azure Cloud Shell:

Opción	Ejemplo o vínculo
Seleccione Pruébelo en la esquina superior derecha de un bloque de código o de comandos. Solo con seleccionar Pruébelo no se copia automáticamente el código o comando en Cloud Shell.
Vaya a https://shell.azure.com o seleccione el botón Iniciar Cloud Shell para abrir Cloud Shell en el explorador.
Seleccione el botón Cloud Shell en la barra de menús de la esquina superior derecha de Azure Portal.

Para usar Azure Cloud Shell:

1. Inicie Cloud Shell.

2. Seleccione el botón Copiar en un bloque de código (o bloque de comandos) para copiar el código o comando.

3. Pegue el código o comando en la sesión de Cloud Shell. Para ello, seleccione Ctrl+Mayús+V en Windows y Linux, o bien seleccione Cmd+Mayús+V en macOS.

4. Seleccione Intro para ejecutar el código o comando.

Requisitos previos si realiza una copia de seguridad y restauración mediante la identidad administrada asignada por el usuario:

1. Asegúrese de que tiene la versión 2.56.0 o posterior de la CLI de Azure. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure.
2. Creación de una identidad administrada asignada por el usuario
3. Cree una cuenta de almacenamiento (o use una cuenta de almacenamiento existente).
4. Si el acceso a la red pública está deshabilitado en la cuenta de almacenamiento, habilite la omisión del servicio de confianza en la cuenta de almacenamiento en la pestaña “Redes”, en “Excepciones”.
5. Proporcione acceso al rol de “colaborador de datos de Storage Blob” a la identidad administrada asignada por el usuario creada en el paso 2; para ello, vaya a la pestaña “Control de acceso” en el portal:> Agregar asignación de roles. Después, seleccione "identidad administrada" y seleccione la identidad administrada creada en el paso 2 -> Revisar y asignar
6. Cree el HSM administrado y asocie la identidad administrada con el comando siguiente.

   az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 
   

Si tiene un HSM administrado existente, asocie la identidad administrada actualizando el MHSM con el comando siguiente.

 az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 

Copia de seguridad completa

La copia de seguridad es una operación de larga duración, pero devuelve inmediatamente un id. de trabajo. Puede comprobar el estado del proceso de copia de seguridad con este identificador de trabajo. El proceso de copia de seguridad crea una carpeta dentro del contenedor designado con el patrón de nomenclatura mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS} , donde HSM_NAME es el nombre del HSM administrado del que se realiza la copia de seguridad e YYYY, MM, DD, HH, MM, mm y SS son el año, el mes, la fecha, la hora, los minutos y los segundos de la fecha y hora en formato UTC de cuando se recibió el comando de copia de seguridad.

Mientras la copia de seguridad está en curso, es posible que el HSM no funcione a pleno rendimiento, ya que algunas particiones de HSM estarán ocupadas llevando a cabo la operación de copia de seguridad.

Copia de seguridad de HSM mediante la identidad administrada asignada por el usuario

az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer

Copia de seguridad de HSM mediante un token de SAS

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}

Restauración completa

La restauración completa le permite restaurar por completo el contenido del HSM con una copia de seguridad anterior, incluidas todas las claves, las versiones, los atributos, las etiquetas y las asignaciones de roles. Todo lo que se almacena actualmente en el HSM se borrará y volverá al mismo estado en el que se encontraba cuando se creó la copia de seguridad de origen.

Importante

La restauración completa es una operación muy destructiva y disruptiva. Por lo tanto, es obligatorio haber realizado una copia de seguridad completa como mínimo 30 minutos antes de una operación restore para que esta se pueda realizar.

La restauración es una operación de plano de datos. El autor de la llamada que inicia la operación de restauración debe tener permiso para realizar una operación dataAction Microsoft.KeyVault/managedHsm/restore/start/action. El HSM de origen en el que se creó la copia de seguridad y el HSM de destino donde se realizará la restauración deben tener el mismo dominio de seguridad. Obtenga más información sobre el dominio de seguridad del HSM administrado.

Hay 2 maneras de ejecutar una restauración completa. Debe proporcionar la siguiente información para ejecutar una restauración completa:

• URL o nombre de HSM
• Nombre de la cuenta de almacenamiento
• Contenedor de blobs en una cuenta de almacenamiento
• Token de SAS de contenedor de almacenamiento O identidad administrada asignada por el usuario con permisos rl
• Nombre de la carpeta del contenedor de almacenamiento donde se almacena la copia de seguridad de origen

La restauración es una operación de ejecución de larga duración, pero devolverá inmediatamente un identificador de trabajo. Puede comprobar el estado del proceso de restauración con este identificador de trabajo. Cuando el proceso de restauración está en curso, el HSM entra en el modo de restauración y todos los comandos del plano de datos (excepto el de comprobación del estado de restauración) se deshabilitan.

Restauración de HSM mediante la identidad administrada asignada por el usuario

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true

Restauración de HSM mediante un token de SAS

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Restore HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Restauración selectiva de claves

La restauración selectiva de claves permite restaurar una clave individual con todas sus versiones de clave a partir de una copia de seguridad anterior a un HSM.

Restauración selectiva de claves mediante la identidad administrada asignada por el usuario

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2

Restauración de clave selectiva mediante un token de SAS

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2

Pasos siguientes

• Consulte Administración de un HSM administrado mediante la CLI de Azure.
• Obtenga más información sobre el dominio de seguridad del HSM administrado.