Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Si aucune protection de suppression réversible n’est activée pour un coffre de clés, la suppression d’une clé la supprime définitivement. Les clients sont fortement encouragés à activer l’application de la suppression réversible pour leurs coffres via Azure Policy.
Important
Lorsqu’un coffre de clés est supprimé de manière réversible, les services intégrés au coffre de clés sont supprimés. par exemple, les attributions de rôles Azure RBAC et les abonnements à Event Grid. La récupération d’un coffre de clés ayant fait l’objet d’une suppression réversible ne restaure pas ces services. Ils doivent être recréés.
La fonctionnalité de suppression réversible de Key Vault, connue sous le nom de soft-delete, permet la récupération des coffres supprimés et des objets de coffres supprimés (par exemple, des clés, secrets ou certificats). Nous aborderons en particulier les scénarios suivants. Cette sécurité offre les protections suivantes :
- Une fois qu’un secret, une clé, un certificat ou un coffre de clés a été supprimé, il reste récupérable pendant une période configurable de 7 à 90 jours calendrier. Si aucune configuration n’est spécifiée, la période de récupération par défaut est fixée à 90 jours afin de fournir aux utilisateurs suffisamment de temps pour remarquer une suppression accidentelle d’un secret et y réagir.
- Deux opérations doivent être effectuées pour supprimer définitivement un secret. Tout d’abord, un utilisateur doit supprimer l’objet, ce qui place ce dernier dans l’état de suppression réversible. Ensuite, l’utilisateur doit purger l’objet qui se trouve à l’état de suppression partielle. Ces protections réduisent le risque qu’un utilisateur supprime accidentellement ou malicieusement un secret ou une key vault.
- Pour supprimer définitivement un secret, une clé ou un certificat en état de suppression réversible, un principal de sécurité doit recevoir l’autorisation de l’opération de « supprimer définitivement » (avec par exemple le rôle intégré Key Vault « Opérateur de suppression définitive de coffre de clés »).
Prise en charge des interfaces
La fonctionnalité de suppression réversible est disponible via l’API REST, l’interface Azure CLI, Azure PowerShell, les interfaces .NET/C# et les modèles ARM.
Scénarios
Les coffres Azure Key Vault désignent des ressources suivies, gérées par Azure Resource Manager. Azure Resource Manager spécifie également un comportement bien défini pour la suppression, qui suppose qu’une opération DELETE correctement exécutée sur une ressource ne permet plus d’accéder à cette ressource. La fonctionnalité de suppression réversible permet la récupération de l’objet supprimé en cas de suppression accidentelle ou intentionnelle.
Dans le scénario typique, un utilisateur supprime par inadvertance une key vault ou un objet de key vault ; si cette key vault ou cet objet de key vault était récupérable pendant une période prédéterminée, l’utilisateur peut annuler la suppression et récupérer ses données.
Dans un autre scénario, un utilisateur malveillant peut tenter de supprimer un coffre de clés ou un objet de coffre de clés, comme une clé à l'intérieur d'un coffre, pour provoquer une interruption de service. Le fait de séparer la suppression du coffre de clés ou de l’objet de coffre de clés de la suppression effective des données sous-jacentes peut être utilisé comme mesure de sécurité, par exemple en limitant les autorisations de suppression de données à un autre rôle approuvé. Cette approche suppose d’appliquer un quorum à une opération donnée qui pourrait, dans d’autres circonstances, se traduire par une perte de données immédiate.
Comportement de la suppression réversible
Lorsque la suppression réversible est activée, les ressources marquées comme supprimées sont conservées pendant une période déterminée (90 jours par défaut). Le service fournit en outre un mécanisme de récupération de l’objet supprimé, qui a essentiellement pour effet d’annuler la suppression.
Lors de la création d'un nouveau coffre de clés, la fonctionnalité de suppression souple est activée par défaut. Une fois la suppression réversible activée sur un coffre de clés, elle ne peut pas être désactivée.
L’intervalle de la stratégie de rétention peut être configuré seulement lors de la création du coffre de clés et ne peut plus être modifié par la suite. Vous pouvez définir cette période entre 7 et 90 jours, avec 90 jours comme valeur par défaut. Ce même intervalle s’applique à la fois à la suppression réversible et à la stratégie de rétention pour la protection contre la suppression définitive.
Vous ne pouvez pas réutiliser le nom d’un coffre de clés ayant fait l’objet d’une suppression réversible tant que la période de rétention n’est pas écoulée.
Protection contre la suppression définitive
La protection contre le vidage est un comportement facultatif de Key Vault et n’est pas activée par défaut. La protection contre le vidage ne peut être activée qu’une fois que la suppression réversible est activée. La protection contre le vidage est recommandée lors de l’utilisation de clés pour le chiffrement afin d’éviter la perte de données. La plupart des services Azure qui s’intègrent à Azure Key Vault, comme Stockage, nécessitent une protection contre le vidage pour empêcher la perte de données.
Quand la protection contre la suppression définitive est activée, il n’est pas possible de supprimer définitivement un coffre ou un objet à l’état supprimé avant la fin de la période de rétention. Les coffres et les objets supprimés de façon réversible peuvent toujours être récupérés, ce qui garantit le respect de la politique de rétention.
La durée de rétention par défaut est de 90 jours, mais il est possible de définir l’intervalle de la stratégie de rétention sur une valeur comprise entre 7 et 90 jours via le portail Azure. Une fois l’intervalle de la stratégie de rétention défini et enregistré, il n’est plus possible de le modifier pour ce coffre.
La protection contre la purge peut être activée via CLI, PowerShell ou le portail.
Purge autorisée
Il est possible de supprimer ou vider définitivement un coffre Key Vault en exécutant une commande POST sur la ressource de proxy. Cette opération nécessite des privilèges spéciaux. En général, seul le propriétaire de l’abonnement ou un utilisateur disposant du rôle RBAC « Opérateur de purge Key Vault » peut purger un coffre de clés. L’opération POST déclenche la suppression immédiate et irrécupérable de ce coffre,
Les exceptions sont les suivantes :
- Quand l’abonnement Azure est marqué comme non supprimable. Dans ce cas, seul le service peut alors effectuer la suppression, dans le cadre d’un processus planifié.
- Quand l’argument
--enable-purge-protection
est activé sur le coffre lui-même. Dans ce cas, Key Vault attend 7 à 90 jours à partir du moment où l’objet secret d’origine a été marqué pour suppression pour supprimer définitivement l’objet.
Pour découvrir la procédure, consultez Guide pratique pour utiliser la suppression réversible Key Vault avec l’interface CLI : suppression définitive d’un coffre de clés ou Utilisation de la suppression réversible Key Vault avec PowerShell : suppression définitive d’un coffre de clés.
Récupération d’un coffre de clés
Quand un coffre de clés est supprimé, le service crée une ressource proxy sous l’abonnement, en y ajoutant suffisamment de métadonnées pour permettre la récupération. La ressource de proxy est un objet stocké, disponible au même emplacement que le Key Vault supprimé.
Récupération d’objets de coffre de clés
Lorsqu’un objet de key vault, tel qu’une clé, est supprimé, le service place l’objet dans un état supprimé, le rendant inaccessible à toute opération de récupération. Dans cet état, l’objet de coffre de clés peut être seulement listé, restauré ou supprimé de façon forcée/permanente. Pour voir les objets, utilisez la commande Azure CLI az keyvault key list-deleted
(comme documenté dans Guide pratique pour utiliser la suppression réversible Key Vault avec l’interface CLI) ou la commande Azure PowerShell Get-AzKeyVault -InRemovedState
(comme décrit dans Utilisation de la suppression réversible Key Vault avec PowerShell).
Dans le même temps, Key Vault planifiera la suppression des données sous-jacentes correspondant au Key Vault ou à l’objet Key Vault supprimé afin qu’elle soit exécutée après un intervalle de rétention prédéterminé. L’enregistrement DNS correspondant au coffre est également conservé pendant la l’intervalle de rétention.
Période de rétention de la suppression réversible
Les ressources supprimées temporairement sont conservées pendant une période de 90 jours. Pendant l’intervalle de rétention de la suppression réversible, ceci s’applique :
- Vous pouvez lister tous les coffres de clés et les objets de coffre de clés à l’état de suppression réversible pour votre abonnement, et accéder aux informations concernant leur suppression et leur récupération.
- Seuls les utilisateurs disposant d’autorisations spéciales peuvent lister les coffres supprimés. Nous recommandons à nos utilisateurs de créer un rôle personnalisé avec ces autorisations spéciales pour le traitement des coffres supprimés.
- Vous ne pouvez pas créer un coffre de clés du même nom au même emplacement ; de même, vous ne pouvez pas créer objet de coffre de clés dans un coffre donné si celui-ci contient un objet portant le même nom et qui est dans un état supprimé.
- Seul un utilisateur disposant de privilèges spécifiques peut restaurer un coffre de clés ou un objet de coffre de clés en émettant une commande de récupération sur la ressource de proxy correspondante.
- L’utilisateur membre du rôle personnalisé qui est autorisé à créer un coffre de clés sous le groupe de ressources peut restaurer le coffre.
- Seul un utilisateur disposant de privilèges spécifiques peut forcer la suppression d’un coffre Key Vault ou d’un objet Key Vault en exécutant une commande de suppression sur la ressource de proxy correspondante.
Sauf en cas de restauration d’un coffre de clés ou d’un objet de coffre de clés, à la fin de l’intervalle de rétention, le service supprime définitivement le coffre de clés ou l’objet de coffre de clés qui a fait l’objet d’une suppression réversible, ainsi que son contenu. La suppression de la ressource ne peut pas être replanifiée.
Implications de facturation
En général, lorsqu’un objet (un coffre de clés, une clé ou un secret) est dans un état supprimé, seules deux opérations sont possibles : « vider » et « récupérer ». Toutes les autres opérations échouent. Par conséquent, même si l’objet existe, aucune opération ne peut être effectuée et, par conséquent, aucune utilisation n’a lieu. Il n’y aura donc aucune facture. Il y a toutefois des exceptions :
- Les actions « supprimer définitivement » et « récupérer » seront comptabilisée dans les opérations de coffre de clés normales et seront facturées.
- Si l’objet est une clé HSM, les frais de 'Clé protégée par HSM' par version de clé et par mois seront appliqués si une version de la clé a été utilisée au cours des 30 derniers jours. Après cela, dans la mesure où l’objet est dans un état supprimé, il ne peut faire l’objet d’aucune opération et, par conséquent, aucun frais ne s’applique.
Étapes suivantes
Les trois guides ci-après présentent les principaux scénarios d’usage de la suppression réversible.
- Comment utiliser la suppression douce de Key Vault avec le portail
- Guide pratique pour utiliser la suppression réversible Key Vault avec PowerShell
- Guide pratique pour utiliser la suppression réversible Key Vault avec l’interface CLI