Información general sobre la eliminación temporal de Azure Key Vault
Importante
Si un almacén de claves no tiene habilitada la protección contra la eliminación temporal, la eliminación de una clave la elimina permanentemente. Se recomienda a los clientes activar el cumplimiento de la eliminación temporal para sus almacenes mediante Azure Policy.
Importante
Cuando se elimina temporalmente un almacén de claves, se eliminan los servicios que están integrados en él. Por ejemplo: asignaciones de roles RBAC de Azure y suscripciones de Event Grid. La recuperación de un almacén de claves eliminado temporalmente no restaura estos servicios. Tienen que volver a crearse.
La característica de eliminación temporal de Key Vault permite la recuperación de los almacenes y los objetos de Key Vault eliminados (por ejemplo, claves, secretos, certificados), lo que se conoce como eliminación temporal. En concreto, se abordan los siguientes escenarios: esta salvaguarda ofrece las siguientes protecciones:
- Una vez que se elimina un secreto, una clave, un certificado o un almacén de claves, se puede recuperar durante un período configurable de 7 a 90 días naturales. Si no se especifica ninguna configuración, el período de recuperación predeterminado se establece en 90 días para que los usuarios tengan tiempo suficiente para darse cuenta de una eliminación accidental de secretos y responder.
- Para eliminar de forma permanente un secreto, se deben realizar dos operaciones. En primer lugar, el usuario debe eliminar el objeto, que lo coloca en estado de eliminación temporal. En segundo lugar, el usuario debe purgar el objeto en estado de eliminación temporal. Estas protecciones reducen el riesgo de que un usuario elimine un secreto o un almacén de claves por accidente o de forma malintencionada.
- Para purgar un secreto, una clave o un certificado del el estado de eliminación temporal, se debe conceder a una entidad de seguridad el permiso de operación "purgar" (con el rol integrado de Key Vault "Operador de purga de Key Vault", por ejemplo).
Interfaces admitidas
La característica de eliminación temporal está disponible mediante las interfaces de API REST, la CLI de Azure, Azure PowerShell y .NET/C#, así como de las plantillas de Resource Manager.
Escenarios
Los almacenes Azure Key Vault son recursos controlados que se administran por medio de Azure Resource Manager. Azure Resource Manager especifica además un comportamiento bien definido para su eliminación, lo que conlleva que una operación DELETE ejecutada correctamente debería traducirse en que ese recurso deje de estar accesible. La característica de eliminación temporal aborda la recuperación del objeto eliminado, con independencia de que la eliminación haya sido voluntaria o involuntaria.
En un escenario típico, un usuario puede eliminar por accidente una instancia o un objeto de Key Vault; si esa instancia o ese objeto de Key Vault fuera recuperable durante un período predeterminado, el usuario podría deshacer la eliminación y recuperar sus datos.
En un escenario diferente, un usuario malintencionado podría intentar eliminar una instancia o un objeto de Key Vault, como una clave dentro de un almacén, para provocar una interrupción de la actividad empresarial. El hecho de que al eliminar la instancia o el objeto de Key Vault no se eliminen los datos subyacentes puede resultar útil como medida de seguridad ya que, por ejemplo, se pueden limitar los permisos sobre la eliminación de datos a un rol diferente que sea de confianza. Este enfoque requiere un cuórum efectivo para una operación que, en caso contrario, podría provocar una pérdida de datos inmediata.
Comportamiento de eliminación temporal
Cuando está habilitada la eliminación temporal, los recursos marcados como recursos eliminados se conservan durante un período especificado (de forma predeterminada, 90 días). El servicio proporciona además un mecanismo para recuperar el objeto eliminado, básicamente deshaciendo la eliminación.
Al crear un almacén de claves, la eliminación temporal está activada de forma predeterminada. Una vez que la eliminación temporal está habilitada en un almacén de claves, no se puede deshabilitar.
El intervalo de la directiva de retención solo se puede configurar durante la creación del almacén de claves y no se puede cambiar después. Puede establecerlo entre 7 y 90 días, siendo 90 días el valor predeterminado. El mismo intervalo se aplica a la eliminación temporal y a la directiva de retención de protección contra purgas.
No se puede volver a usar el nombre de un almacén de claves que se ha eliminado temporalmente hasta que haya expirado el período de retención.
Protección de purgas
La protección contra purgas es un comportamiento opcional de Key Vault y no está habilitado de forma predeterminada. La protección de purga solo se puede habilitar una vez habilitada la eliminación temporal. Se recomienda la protección de purga cuando se usan claves para el cifrado con el fin de evitar la pérdida de datos. La mayoría de los servicios de Azure que se integran con Azure Key Vault, como Storage, requieren protección de purga para evitar la pérdida de datos.
Cuando la protección contra purga está activada, un almacén o un objeto en estado eliminado no se puede purgar hasta que haya transcurrido el período de retención. Los objetos y los almacenes eliminados temporalmente todavía se pueden recuperar, lo que garantiza que se siga la directiva de retención.
El período de retención predeterminado es de 90 días, pero es posible establecer el intervalo de la directiva de retención en un valor de entre 7 y 90 días en Azure Portal. Una vez que el intervalo de la directiva de retención se establece y se guarda, no se puede cambiar para ese almacén.
La protección de purga se puede activar a través de la CLI, PowerShell o el Portal.
Purga permitida
La purga permanente de una instancia de Key Vault es posible a través de una operación POST en el recurso de proxy y requiere privilegios especiales. En general, solo el propietario de la suscripción o un usuario con el rol RBAC "Operador de purga de Key Vault" puede purgar un almacén de claves. La operación POST activa la eliminación inmediata y no recuperable de esa instancia.
Las excepciones son estas:
- Cuando la suscripción de Azure está marcada como no eliminable. En este caso, solo el servicio puede realizar la eliminación real, y lo hace como un proceso programado.
- Cuando el argumento
--enable-purge-protection
se habilita en el propio almacén. En este caso, Key Vault esperará de 7 a 90 días desde que el objeto secreto original se marcó para su eliminación para eliminarlo permanentemente.
Para conocer los pasos, consulte Uso de la eliminación temporal de Key Vault con la CLI: Purga de un almacén de claves o Uso de la eliminación temporal de Key Vault con PowerShell: Purga de un almacén de claves.
Recuperación de Key Vault
Cuando se elimina una instancia de Key Vault, el servicio crea un recurso de proxy en la suscripción, y agrega metadatos suficientes para la recuperación. El recurso de proxy es un objeto almacenado, disponible en la misma ubicación que la instancia de Key Vault eliminada.
Recuperación de objeto de Key Vault
Cuando se elimina un objeto de Key Vault, como una clave, el servicio pone el objeto en estado "eliminado", de manera que no será accesible para ninguna operación de recuperación. Mientras esté en ese estado, el objeto de Key Vault solo se puede colocar en una lista, recuperar o eliminar por la fuerza/permanentemente. Para ver los objetos, use el comando az keyvault key list-deleted
de la CLI de Azure (como se documenta en Uso de la eliminación temporal de Key Vault con la CLI) o el comando Get-AzKeyVault -InRemovedState
de Azure PowerShell (como se describe en Uso de la eliminación temporal de Key Vault con PowerShell).
Al mismo tiempo, Key Vault programará la eliminación de los datos subyacentes correspondientes al objeto o la instancia de Key Vault eliminados para su ejecución tras un intervalo de retención predeterminado. El registro DNS correspondiente al almacén también se retiene durante el intervalo de retención.
Período de retención de la eliminación temporal
Los recursos eliminados temporalmente se conservan durante un período de tiempo determinado: 90 días. Durante el intervalo de retención de eliminación temporal, se dan las circunstancias siguientes:
- Puede confeccionar un listado con todos los objetos e instancias de Key Vault que se encuentran en estado de eliminación temporal en su suscripción, así como tener acceso a la información de eliminación y recuperación sobre ellos.
- Solo los usuarios con permisos especiales pueden consultar los almacenes eliminados. Se recomienda que los usuarios creen un rol personalizado con estos permisos especiales para tratar los almacenes eliminados.
- No es posible crear un almacén de claves con el mismo nombre en la misma ubicación; en consecuencia, no se puede crear un objeto de almacén de claves en un almacén determinado si este contiene un objeto con el mismo nombre y está en estado eliminado.
- Solo un usuario con privilegios determinados puede restaurar una instancia o un objeto de Key Vault mediante la emisión de un comando de recuperación en el recurso de proxy correspondiente.
- El usuario, miembro del rol personalizado, que tiene privilegios para crear una instancia de Key Vault en el grupo de recursos puede restaurar el almacén.
- Solo un usuario con privilegios determinados puede eliminar por la fuerza una instancia o un objeto de Key Vault mediante la emisión de un comando de eliminación en el recurso de proxy correspondiente.
Una vez que finalice el intervalo de retención, el servicio lleva a cabo una purga de la instancia o el objeto de Key Vault eliminados temporalmente y de su contenido, a menos que se hayan recuperado. La eliminación de recursos no se puede volver a programar.
Implicaciones de facturación
En general, cuando un objeto (un almacén de claves, una clave o un secreto) está en estado eliminado, solo existen dos operaciones posibles: "purgarlo" y "recuperarlo". Se producirá un error en el resto de operaciones. Por consiguiente, aunque el objeto exista, no se puede realizar ninguna operación y, por tanto, no se producirá ningún uso ni ninguna factura. Sin embargo, existen las siguientes excepciones:
- las acciones "purgar" y "recuperar" contarán para las operaciones normales del almacén de claves y se facturarán.
- Si el objeto es una clave HSM, se aplicará el cargo de "Clave HSM protegida" por versión de clave al mes si se ha utilizado una versión de la clave en los últimos 30 días. Después, como el objeto está en estado eliminado, no podrá realizarse ninguna operación en él, por lo que no se aplicará ningún cargo.
Pasos siguientes
Las tres guías siguientes ofrecen los escenarios de uso principal para uso de la eliminación temporal.