Compartir por


Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga

En este artículo se explican dos características de recuperación de Azure Key Vault: la eliminación temporal y la protección de purga. En este documento se proporciona información general sobre estas características y se muestra cómo administrarlas a través de Azure Portal, la CLI de Azure y Azure PowerShell.

Importante

Si un almacén de claves no tiene habilitada la protección contra la eliminación temporal, la eliminación de una clave la elimina permanentemente. Se recomienda encarecidamente a los clientes activar la aplicación de eliminación temporal para sus almacenes a través de Azure Policy.

Para más información sobre Key Vault, consulte

Requisitos previos

  • Una suscripción a Azure: cree una cuenta gratuita.

  • Azure PowerShell.

  • CLI de Azure

  • Una instancia de Key Vault (se puede crear mediante Azure Portal, la CLI de Azure o Azure PowerShell)

  • El usuario necesita los siguientes permisos (en el nivel de suscripción) para realizar operaciones en almacenes eliminados temporalmente:

    Permiso Descripción
    Microsoft.KeyVault/locations/deletedVaults/read Ve las propiedades de un almacén de claves eliminado temporalmente
    Microsoft.KeyVault/locations/deletedVaults/purge/action Purga un almacén de claves eliminado temporalmente
    Microsoft.KeyVault/locations/operationResults/read Para comprobar el estado de purga del almacén
    Colaborador de almacén de claves Para recuperar el almacén eliminado temporalmente

Qué es la eliminación temporal y la protección de purga

La protección de eliminación temporal y la protección de purga son dos características de recuperación diferentes de Key Vault.

La eliminación temporal está diseñada para evitar la eliminación accidental del almacén de claves y las claves, los secretos y los certificados almacenados en el mismo. Puede considerar la eliminación temporal como una papelera de reciclaje. Al eliminar un almacén de claves o un objeto de almacén de claves, permanece recuperable durante un período de retención configurable por el usuario o un valor predeterminado de 90 días. Los almacenes de claves en estado de eliminación temporal también se pueden purgar (eliminados permanentemente), lo que le permite volver a crear almacenes de claves y objetos de almacén de claves con el mismo nombre. Tanto la recuperación como la eliminación de los almacenes de claves y sus objetos requieren permisos elevados de directiva de acceso. Una vez habilitada la eliminación temporal, no se puede deshabilitar.

Es importante tener en cuenta que nombres de almacén de claves son únicos globalmente, por lo que no puede crear un almacén de claves con el mismo nombre que un almacén de claves en estado de eliminación temporal. Del mismo modo, los nombres de claves, secretos y certificados son únicos en un almacén de claves. No puede crear un secreto, una clave o un certificado con el mismo nombre que otro en el estado de eliminación temporal.

La protección de purga está diseñada para evitar la eliminación de su almacén de claves, las claves, los secretos y los certificados de un agente interno malintencionado. Piense en ella como una papelera de reciclaje con un bloqueo basado en tiempo. Puede recuperar los elementos en cualquier momento durante el período de retención que haya configurado. Recuerde que no podrá eliminar o purgar un almacén de claves permanentemente hasta que transcurra el período de retención. Una vez transcurrido el período de retención, el almacén de claves o el objeto del almacén de claves se purga automáticamente.

Nota:

La protección de purga está diseñada para que ningún permiso o rol de administrador pueda invalidar, deshabilitar o eludir esa protección de purga. Cuando la protección de purga está habilitada, nadie, incluyendo Microsoft, puede deshabilitarla o invalidarla. Esto significa que deberá recuperar el almacén de claves eliminado o esperar a que transcurra el período de retención antes de reutilizar el nombre del almacén de claves.

Para más información acerca de la eliminación temporal, consulte Información general sobre la eliminación temporal de Azure Key Vault.

Comprobar si la eliminación temporal está habilitada en un almacén de claves y habilitarla

  1. Inicie sesión en Azure Portal.
  2. Seleccione el almacén de claves.
  3. Seleccione la hoja "Propiedades".
  4. Compruebe si el botón de radio situado junto a eliminación temporal está establecido en "Habilitar recuperación".
  5. Si la eliminación temporal no está habilitada en el almacén de claves, seleccione el botón de radio para habilitar la eliminación temporal y seleccione "Guardar".

En las propiedades, la eliminación temporal se resalta, ya que es el valor que se va a habilitar.

Conceder acceso a una entidad de servicio para purgar y recuperar los secretos eliminados

  1. Inicie sesión en Azure Portal.
  2. Seleccione el almacén de claves.
  3. Seleccione la hoja "Directiva de acceso".
  4. En la tabla, busque la fila de la entidad de seguridad a la que quiere conceder acceso (o agregue una nueva entidad de seguridad).
  5. Seleccione la lista desplegable de claves, certificados y secretos.
  6. Desplácese hasta la parte inferior de la lista desplegable y seleccione "Recuperar" y "Purgar".
  7. Las entidades de seguridad también necesitan funcionalidad "get" y "list" para realizar la mayoría de las operaciones.

En el panel de navegación izquierdo, Directivas de acceso está resaltado. En Directivas de acceso se muestra la lista desplegable Secret Positions (Posiciones secretas) con cuatro elementos seleccionados: Obtener, Enumerar, Recuperar y Purgar.

Enumerar, recuperar o purgar un almacén de claves eliminado temporalmente

  1. Inicie sesión en Azure Portal.
  2. Seleccione la barra de búsqueda en la parte superior de la página.
  3. Busque el servicio "Key Vault". No seleccione un almacén de claves individual.
  4. En la parte superior de la pantalla, seleccione la opción "Administrar almacenes eliminados"
  5. Se abre un panel de contexto en el lado derecho de la pantalla.
  6. Seleccione su suscripción.
  7. Si el almacén de claves se ha eliminado temporalmente, aparece en el panel de contexto de la derecha.
  8. Si hay demasiados almacenes, puede seleccionar "Cargar más" en la parte inferior del panel de contexto o usar la CLI o PowerShell para obtener los resultados.
  9. Una vez que encuentres el almacén que deseas recuperar o purgar, selecciona la casilla que aparece después.
  10. Seleccione la opción de recuperación en la parte inferior del panel de contexto si quiere recuperar el almacén de claves.
  11. Si por el contrario quiere eliminar de forma permanente el almacén de claves, seleccione la opción de purga.

En los almacenes de claves, la opción Manage deleted vaults (Administrar almacenes eliminados) está resaltada.

En Manage deleted key vaults (Administrar almacenes de claves eliminados), el único almacén de claves que aparece está resaltado y seleccionado, y el botón Recuperar, también está resaltado.

Enumerar, recuperar o purgar secretos, claves y certificados eliminados temporalmente

  1. Inicie sesión en Azure Portal.
  2. Seleccione el almacén de claves.
  3. Seleccione la hoja correspondiente al tipo de secreto que quiera administrar (claves, secretos o certificados).
  4. En la parte superior de la pantalla, seleccione "Administrar eliminados (claves, secretos o certificados)
  5. Aparece un panel de contexto en el lado derecho de la pantalla.
  6. Si el secreto, la clave o el certificado no aparecen en la lista, esto quiere decir que no se encuentra en el estado de eliminación temporal.
  7. Seleccione el secreto, la clave o el certificado que quiera administrar.
  8. Seleccione la opción para recuperar o purgar que está en la parte inferior del panel de contexto.

En Claves, la opción Manage deleted keys (Administrar claves eliminadas) está resaltada.

Pasos siguientes