Visión general de la eliminación temporal de HSM administrado

  • Artículo

Importante

La eliminación temporal no se puede desactivar para recursos de HSM administrado.

Importante

Los recursos de HSM administrado que se eliminen temporalmente se seguirán facturando según su tarifa por hora completa hasta que se purguen.

La característica de eliminación temporal de HSM administrado permite recuperar claves y HSM eliminados. En concreto, esta característica proporciona las siguientes medidas de seguridad:

  • Una vez que se elimine un HSM o una clave, se podrá recuperar durante un período configurable de entre 7 y 90 días naturales. Puede establecer el período de retención al crear un HSM. Si no especifica ningún valor, se usará el período de retención predeterminado de 90 días. Este período ofrece a los usuarios tiempo suficiente para darse cuenta de la eliminación accidental de una clave o HSM y reaccionar.
  • Para eliminar permanentemente una clave, los usuarios deben realizar dos acciones. En primer lugar, deben eliminar la clave, acción que hará que pase a un estado de eliminación temporal. En segundo lugar, deben purgar la clave en el estado de eliminación temporal. La operación de purga requiere el rol "Responsable de cifrado" de HSM administrado. Estas medidas de seguridad adicionales reducen el riesgo de que un usuario elimine una clave o un HSM por error o de forma malintencionada.

Comportamiento de eliminación temporal

La eliminación temporal no se puede desactivar para recursos de HSM administrado.

Los recursos marcados como eliminados se conservan durante un período especificado. También hay un mecanismo para recuperar claves o HSM eliminados, por lo que puede deshacer la eliminación.

El período de retención predeterminado es de 90 días. Al crear un recurso de HSM, puede establecer el intervalo de la directiva de retención en un valor de entre 7 y 90 días. La directiva de retención de protección de purgas usa el mismo intervalo. Una vez que establezca la directiva de retención, no podrá cambiarla.

No puede volver a usar el nombre de un recurso de HSM que se ha eliminado temporalmente hasta que haya transcurrido el período de retención y se haya purgado (eliminado permanentemente) el recurso.

Protección de purgas

La protección contra purgas es un comportamiento opcional que no está habilitado de manera predeterminada. Para activarla, use la CLI de Azure o PowerShell.

Cuando la protección contra purgas está activada, no se pueden purgar HSM o claves en estado eliminado hasta que finalice el período de retención. Las claves y los HSM eliminados temporalmente todavía se pueden recuperar, lo que garantiza que la directiva de retención siga vigente.

El período de retención predeterminado es de 90 días. Al crear un recurso de HSM, puede establecer el intervalo de la directiva de retención en un valor de entre 7 y 90 días. El intervalo de la directiva de retención solo se puede establecer al crear un HSM. Después no se puede cambiar.

Vea Uso de la eliminación flexible de HSM administrado con la CLI o Uso de la eliminación flexible de HSM administrado con PowerShell.

Recuperación del HSM administrado

Al eliminar un HSM, el servicio crea un recurso de proxy en la suscripción y agrega suficientes metadatos para habilitar la recuperación. El recurso de proxy es un objeto almacenado que está disponible en la misma ubicación que el HSM eliminado.

Recuperación de claves

Cuando se elimine una clave, el servicio la pasará a un estado eliminado, por lo que no estará accesible para ninguna operación. En este estado, las claves se pueden enumerar, recuperar o purgar. Para ver los objetos, use el comando az keyvault key list-deleted de la CLI de Azure (como se describe en Eliminación temporal de HSM administrado y protección contra purgas con la CLI) o el parámetro -InRemovedState de Azure PowerShell (como se describe en Eliminación temporal de HSM administrado y protección contra purgas con PowerShell).

Si elimina la clave, HSM administrado programará la eliminación de los datos subyacentes correspondientes a la clave o el HSM eliminados, tras un intervalo de retención predeterminado. El registro de DNS correspondiente al HSM también se conserva durante el intervalo de retención.

Período de retención de la eliminación temporal

Los recursos eliminados temporalmente se conservan durante un período de tiempo determinado: 90 días. Durante el intervalo de retención de eliminación temporal, se dan las circunstancias siguientes:

  • Puede visualizar las claves y los HSM eliminados temporalmente con relación a su suscripción. También puede acceder a la información de eliminación y recuperación sobre estos.
  • Solo los usuarios con el rol "Colaborador" de HSM administrado pueden enumerar los HSM eliminados. Se recomienda crear un rol personalizado con estos permisos especiales para gestionar los almacenes eliminados.
  • Los nombres de HSM administrados deben ser únicos en una ubicación determinada. Al crear una clave, no se puede usar un nombre si el HSM contiene una clave con dicho nombre en estado eliminado.
  • Solo los usuarios con el rol "Colaborador" de HSM administrado pueden enumerar, ver, recuperar y purgar HSM administrados.
  • Solo los usuarios con el rol "Responsable de cifrado" de HSM administrado pueden enumerar, ver, recuperar y purgar claves.

A menos que se recupere un HSM administrado o una clave, al final del intervalo de retención el servicio realizará una purga del HSM o la clave que se hayan eliminado temporalmente. No se puede reprogramar la eliminación de recursos.

Implicaciones de facturación

HSM administrado es un servicio de un solo inquilino. Al crear un HSM administrado, el servicio reserva los recursos subyacentes asignados al HSM. Estos recursos permanecen asignados incluso cuando el HSM se encuentra en estado eliminado. El HSM se le facturará mientras se encuentre en este estado.

Pasos siguientes

En estos artículos se describen los escenarios principales para usar la eliminación temporal: