Azure Key Vault biztonsági mentése és visszaállítása

Ez a dokumentum bemutatja, hogyan készíthet biztonsági másolatot a kulcstartóban tárolt titkos kulcsokról, kulcsokról és tanúsítványokról. A biztonsági mentés célja, hogy offline másolatot biztosítson az összes titkos kulcsáról abban a valószínűtlen esetben, amikor elveszíti a kulcstartóhoz való hozzáférést.

Áttekintés

Az Azure Key Vault automatikusan biztosít funkciókat a rendelkezésre állás fenntartásához és az adatvesztés megelőzéséhez. Titkos kulcsok biztonsági mentése csak akkor, ha kritikus üzleti indoklással rendelkezik. A titkos kulcsok kulcstartóban való biztonsági mentése üzemeltetési problémákat okozhat, például több naplókészlet, engedély és biztonsági mentés fenntartását, amikor a titkos kulcsok lejárnak vagy forognak.

A Key Vault fenntartja a rendelkezésre állást vészforgatókönyvekben, és automatikusan feladatátvételi kéréseket ad át egy párosított régiónak anélkül, hogy a felhasználó beavatkozása lenne. További információ: Azure Key Vault rendelkezésre állása és redundancia.

Ha védelmet szeretne a titkos kódok véletlen vagy rosszindulatú törlése ellen, konfiguráljon helyreállítható törlési és törlési védelmi funkciókat a kulcstartóban. További információt az Azure Key Vault helyreállítható törlési áttekintésében talál.

Korlátozások

Fontos

A Key Vault nem támogatja a kulcs-, titkos kód- vagy tanúsítványobjektumok több mint 500 korábbi verziójának biztonsági mentését. A kulcs-, titkos kód- vagy tanúsítványobjektum biztonsági mentésének megkísérlése hibát okozhat. Kulcs, titkos kód vagy tanúsítvány korábbi verziói nem törölhetők.

A Key Vault jelenleg nem biztosít módot egy teljes kulcstartó biztonsági mentésére egyetlen műveletben, és a kulcsokat, titkos kulcsokat és tanúsítványokat külön-külön kell biztonsági másolatot készíteni.

Vegye figyelembe a következő problémákat is:

• A több verzióval rendelkező titkos kódok biztonsági mentése időtúllépési hibákat okozhat.
• A biztonsági mentés egy időponthoz kötött pillanatképet hoz létre. A titkos kulcsok a biztonsági mentés során megújulhatnak, ami a titkosítási kulcsok eltérését okozza.
• Ha túllépi a Key Vault másodpercenkénti kérelmekre vonatkozó szolgáltatási korlátait, a rendszer szabályozni fogja a kulcstartót, és a biztonsági mentés sikertelen lesz.

Kialakítási szempontok

Amikor biztonsági másolatot készít egy kulcstartó-objektumról, például titkos kódról, kulcsról vagy tanúsítványról, a biztonsági mentési művelet titkosított blobként tölti le az objektumot. Ez a blob nem fejthető vissza az Azure-on kívül. A blob használható adatainak lekéréséhez vissza kell állítania a blobot egy kulcstartóba ugyanabban az Azure-előfizetésben és Azure-földrajzi helyen.

Előfeltételek

Kulcstartó-objektum biztonsági mentéséhez a következővel kell rendelkeznie:

• Közreműködői szintű vagy magasabb szintű engedélyek egy Azure-előfizetéshez.
• Elsődleges kulcstartó, amely tartalmazza a biztonsági mentéshez használni kívánt titkos kulcsokat.
• Egy másodlagos kulcstartó, ahol a titkos kulcsok vissza lesznek állítva.

Biztonsági mentés és visszaállítás az Azure Portalról

Kövesse az ebben a szakaszban leírt lépéseket az objektumok biztonsági mentéséhez és visszaállításához az Azure Portal használatával.

Biztonsági mentés

1. Nyissa meg az Azure Portalt.

2. Válassza ki a kulcstartót.

3. Lépjen arra az objektumra (titkos kód, kulcs vagy tanúsítvány), amelyről biztonsági másolatot szeretne készíteni.

   

4. Jelölje ki az objektumot.

5. Válassza a Biztonsági mentés letöltése lehetőséget.

   

6. Válassza a Letöltés lehetőséget.

   

7. A titkosított blobot biztonságos helyen tárolja.

Visszaállítás

1. Nyissa meg az Azure Portalt.

2. Válassza ki a kulcstartót.

3. Lépjen a visszaállítani kívánt objektumtípusra (titkos kulcs, kulcs vagy tanúsítvány).

4. Válassza a Biztonsági mentés visszaállítása lehetőséget.

   

5. Lépjen arra a helyre, ahol a titkosított blobot tárolta.

6. Kattintson az OK gombra.

Biztonsági mentés és visszaállítás az Azure CLI-ből vagy az Azure PowerShellből

Azure CLI

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Azure PowerShell

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '{AZURE SUBSCRIPTION ID}'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -Name '{Certificate Name}'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '{Key Vault Name}' -Name '{Key Name}'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '{Key Vault Name}' -Name '{Secret Name}'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '{Key Vault Name}' -InputFile '{File Path}'

Következő lépések

• Azure-kulcstartó áthelyezése régiók között
• A Key Vault naplózásának engedélyezése a Key Vaulthoz