Sauvegarde et restauration Azure Key Vault

Article
01/30/2024

Ce document vous montre comment sauvegarder des secrets, des clés et des certificats stockés dans votre coffre de clés. Une sauvegarde est destinée à vous fournir une copie hors connexion de tous vos secrets dans le cas improbable où vous perdriez l’accès à votre coffre de clés.

Vue d’ensemble

Azure Key Vault fournit automatiquement des fonctionnalités permettant de garantir la disponibilité et d’empêcher toute perte de données. Sauvegardez les secrets uniquement si vous avez une justification métier stratégique. La sauvegarde de secrets dans votre coffre de clés peut introduire des défis opérationnels, comme la gestion de plusieurs ensembles de journaux, d’autorisations et de sauvegardes quand des secrets expirent ou permutent.

Key Vault assure la disponibilité dans les scénarios de sinistre et bascule automatiquement les demandes vers une région associée sans aucune intervention de l’utilisateur. Pour plus d’informations, consultez Disponibilité et redondance d’Azure Key Vault.

Si vous voulez une protection contre la suppression accidentelle ou malveillante de vos secrets, configurez les fonctionnalités de suppression réversible et de protection contre le vidage sur votre coffre de clés. Pour plus d’informations, consultez Vue d’ensemble de la suppression réversible d’Azure Key Vault.

Limites

Important

Key Vault ne prend pas en charge la possibilité de sauvegarder plus de 500 versions antérieures d’un objet de clé, de secret ou de certificat. Toute tentative de sauvegarde d’un objet de clé, de secret ou de certificat peut entraîner une erreur. Il est impossible de supprimer les versions précédentes d’une clé, d’un secret ou d’un certificat.

Key Vault ne permet actuellement pas de sauvegarder l’intégralité d’un coffre de clés en une seule opération et les clés, les secrets et les certificats doivent être sauvegardés individuellement.

Veillez également à prendre en compte les points suivants :

La sauvegarde de secrets ayant plusieurs versions peut entraîner des erreurs de délai d’attente.
Une sauvegarde crée une capture instantanée à un point dans le temps. Les secrets peuvent être renouvelés pendant une sauvegarde, provoquant une incohérence entre les clés de chiffrement.
Le dépassement des limites du service de coffre de clés pour les demandes par seconde entraîne la limitation de votre coffre de clés et l’échec de la sauvegarde.

Remarques relatives à la conception

Quand vous sauvegardez un objet d’un coffre de clés (secret, clé ou certificat), l’opération de sauvegarde télécharge l’objet sous la forme d’un objet blob chiffré. Cet objet blob ne peut pas être déchiffré en dehors d’Azure. Pour obtenir des données utilisables à partir de cet objet blob, vous devez restaurer l’objet blob dans un coffre de clés dans le même abonnement Azure et la même zone géographique Azure.

Prérequis

Pour sauvegarder un objet de coffre de clés, vous devez disposer des éléments suivants :

Autorisations de niveau contributeur ou supérieur sur un abonnement Azure.
Coffre de clés principal contenant les secrets que vous voulez sauvegarder.
Un coffre de clés secondaire où les secrets seront restaurés

Sauvegarder et restaurer à partir du portail Azure

Suivez les étapes de cette section pour sauvegarder et restaurer des objets à l’aide du portail Azure.

Sauvegarder

Accédez au portail Azure.
Sélectionnez votre coffre de clés.
Accédez à l’objet (secret, clé ou certificat) que vous voulez sauvegarder.
Sélectionnez l’objet.
Sélectionnez Télécharger la sauvegarde.
Sélectionnez Télécharger.
Stockez l’objet blob chiffré dans un emplacement sécurisé.

Restaurer

Accédez au portail Azure.
Sélectionnez votre coffre de clés.
Accédez au type d’objet (secret, clé ou certificat) que vous voulez restaurer.
Sélectionnez Restaurer la sauvegarde.
Accédez à l’emplacement où vous avez stocké l’objet blob chiffré.
Sélectionnez OK.

Sauvegarder et restaurer à partir de l’interface de ligne de commande Azure ou d’Azure PowerShell

Azure CLI
Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '{AZURE SUBSCRIPTION ID}'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -Name '{Certificate Name}'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '{Key Vault Name}' -Name '{Key Name}'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '{Key Vault Name}' -Name '{Secret Name}'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '{Key Vault Name}' -InputFile '{File Path}'