Azure Key Vault sauvegarde et restauration

Ce document vous montre comment sauvegarder des secrets, des clés et des certificats stockés dans votre coffre de clés. Une sauvegarde est destinée à vous fournir une copie hors connexion de tous vos secrets dans le cas peu probable où vous perdez l’accès à votre coffre de clés.

Aperçu

Azure Key Vault fournit plusieurs options pour garantir la disponibilité et la récupération de vos données de coffre :

• Redondance et basculement automatiques : Key Vault réplique automatiquement les données entre différentes régions et gère le basculement pendant les pannes - consultez la disponibilité et la redondance d'Azure Key Vault
• Suppression réversible et protection contre le vidage : Empêche la suppression accidentelle ou malveillante de votre coffre ou d'objets de coffre - consultez gestion de la récupération d'Azure Key Vault avec suppression réversible et protection contre le vidage
• Sauvegarde et restauration manuelles (décrites dans cet article) : pour des secrets, des clés et des certificats individuels

Cet article se concentre sur les opérations de sauvegarde et de restauration manuelles pour des objets individuels au sein de Key Vault.

Quand utiliser des sauvegardes

Azure Key Vault fournit automatiquement des fonctionnalités pour vous aider à maintenir la disponibilité et à empêcher la perte de données. Sauvegardez les secrets uniquement si vous avez une justification métier critique. La sauvegarde des secrets dans votre coffre de clés peut entraîner des défis opérationnels tels que la gestion de plusieurs ensembles de journaux, de permissions et de sauvegardes lorsque les secrets expirent ou sont renouvelés.

Envisagez d’utiliser des sauvegardes dans ces scénarios :

• Vous devez déplacer des objets entre des coffres de clés ou des régions Azure
• Vous souhaitez une copie hors connexion de vos secrets pour des raisons réglementaires ou de conformité
• Vous utilisez une région qui ne prend pas en charge la réplication automatique entre régions (Brésil Sud, Brésil Sud-Est ou USA Ouest 3)
• Vous avez besoin d’une protection contre la suppression accidentelle d’objets spécifiques

Pour la plupart des scénarios, les fonctionnalités intégrées de redondance et de suppression réversible de Key Vault offrent une protection suffisante sans nécessiter de sauvegardes manuelles. Pour plus d’informations, consultez Azure Key Vault disponibilité et redondance.

Limites

Important

Key Vault ne prend pas en charge la possibilité de sauvegarder plus de 500 versions antérieures d’une clé, d’un secret ou d’un objet de certificat et de tenter de le faire peut entraîner une erreur. Il est impossible de supprimer les versions précédentes d’une clé, d’un secret ou d’un certificat.

Key Vault ne fournit pas actuellement un moyen de sauvegarder un Key Vault entier en une seule opération et les clés, secrets et certificats doivent être sauvegardés individuellement.

Tenez également compte des problèmes suivants :

• La sauvegarde de secrets ayant plusieurs versions peut entraîner des erreurs de délai d’attente.
• Une sauvegarde crée un instantané d'un moment précis. Les secrets peuvent être renouvelés pendant une sauvegarde, ce qui entraîne une incompatibilité des clés de chiffrement.
• Le dépassement des limites du service de coffre de clés pour les requêtes par seconde entraîne la limitation de votre coffre de clés et l’échec de la sauvegarde.

Considérations relatives à la conception

Lorsque vous sauvegardez un objet key vault, tel qu’un secret, une clé ou un certificat, l’opération de sauvegarde télécharge l’objet en tant qu’objet blob chiffré. Cet objet blob ne peut pas être déchiffré en dehors de Azure. Pour obtenir des données utilisables à partir de cet objet blob, vous devez restaurer l'objet blob dans un Coffre de clés Azure au sein du même abonnement Azure et de la même géographie Azure.

Conditions préalables

Pour sauvegarder un objet key vault, vous devez disposer des éléments suivants :

• Autorisations de niveau contributeur ou supérieure sur un abonnement Azure.
• Un coffre de clés primaire qui contient les secrets que vous souhaitez sauvegarder.
• Un coffre de clés secondaire où les secrets seront restaurés.

Sauvegarder et restaurer depuis le portail Azure

Suivez les étapes de cette section pour sauvegarder et restaurer des objets à l’aide du portail Azure.

Sauvegarder

1. Accédez au portail Azure.

2. Sélectionnez votre coffre-fort de clés.

3. Accédez à l’objet (secret, clé ou certificat) que vous souhaitez sauvegarder.

   

4. Sélectionnez l’objet.

5. Sélectionnez Téléchargez la sauvegarde.

   

6. Sélectionnez Télécharger.

   

7. Stockez l’objet blob chiffré dans un emplacement sécurisé.

Restaurer

1. Accédez au portail Azure.

2. Sélectionnez votre coffre-fort de clés.

3. Accédez au type d’objet (secret, clé ou certificat) que vous souhaitez restaurer.

4. Sélectionnez restaurer la sauvegarde.

   

5. Accédez à l’emplacement où vous avez stocké l’objet blob chiffré.

6. Cliquez sur OK.

Sauvegarder et restaurer à partir du Azure CLI ou du Azure PowerShell

Azure CLI

## Log in to Azure
az login

## Set your subscription
az account set --subscription <subscription-id>

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file <file-path> --name <certificate-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a key in Key Vault
az keyvault key backup --file <file-path> --name <key-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a secret in Key Vault
az keyvault secret backup --file <file-path> --name <secret-name> --vault-name <vault-name> --subscription <subscription-id>

## Restore a certificate in Key Vault
az keyvault certificate restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a key in Key Vault
az keyvault key restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a secret in Key Vault
az keyvault secret restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

Azure PowerShell

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '<subscription-id>'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '<vault-name>' -Name '<certificate-name>'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '<vault-name>' -Name '<key-name>'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '<vault-name>' -Name '<secret-name>'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '<vault-name>' -InputFile '<file-path>'

Étapes suivantes

• Azure Key Vault disponibilité et redondance
• Azure Key Vault, la gestion de la récupération avec suppression réversible et protection contre la purge
• Déplacer un coffre de clés Azure vers une autre région
• Activer la journalisation de Key Vault pour Key Vault