Azure Key Vault biztonsági mentése és visszaállítása
Ez a dokumentum bemutatja, hogyan készíthet biztonsági másolatot a kulcstartóban tárolt titkos kulcsokról, kulcsokról és tanúsítványokról. A biztonsági mentés célja, hogy offline másolatot biztosítson az összes titkos kulcsáról abban a valószínűtlen esetben, amikor elveszíti a kulcstartóhoz való hozzáférést.
Áttekintés
Az Azure Key Vault automatikusan biztosít funkciókat a rendelkezésre állás fenntartásához és az adatvesztés megelőzéséhez. Titkos kulcsok biztonsági mentése csak akkor, ha kritikus üzleti indoklással rendelkezik. A titkos kulcsok kulcstartóban való biztonsági mentése üzemeltetési problémákat okozhat, például több naplókészlet, engedély és biztonsági mentés fenntartását, amikor a titkos kulcsok lejárnak vagy forognak.
A Key Vault fenntartja a rendelkezésre állást vészforgatókönyvekben, és automatikusan feladatátvételi kéréseket ad át egy párosított régiónak anélkül, hogy a felhasználó beavatkozása lenne. További információ: Azure Key Vault rendelkezésre állása és redundancia.
Ha védelmet szeretne a titkos kódok véletlen vagy rosszindulatú törlése ellen, konfiguráljon helyreállítható törlési és törlési védelmi funkciókat a kulcstartóban. További információt az Azure Key Vault helyreállítható törlési áttekintésében talál.
Korlátozások
Fontos
A Key Vault nem támogatja a kulcs-, titkos kód- vagy tanúsítványobjektumok több mint 500 korábbi verziójának biztonsági mentését. A kulcs-, titkos kód- vagy tanúsítványobjektum biztonsági mentésének megkísérlése hibát okozhat. Kulcs, titkos kód vagy tanúsítvány korábbi verziói nem törölhetők.
A Key Vault jelenleg nem biztosít módot egy teljes kulcstartó biztonsági mentésére egyetlen műveletben, és a kulcsokat, titkos kulcsokat és tanúsítványokat külön-külön kell biztonsági másolatot készíteni.
Vegye figyelembe a következő problémákat is:
- A több verzióval rendelkező titkos kódok biztonsági mentése időtúllépési hibákat okozhat.
- A biztonsági mentés egy időponthoz kötött pillanatképet hoz létre. A titkos kulcsok a biztonsági mentés során megújulhatnak, ami a titkosítási kulcsok eltérését okozza.
- Ha túllépi a Key Vault másodpercenkénti kérelmekre vonatkozó szolgáltatási korlátait, a rendszer szabályozni fogja a kulcstartót, és a biztonsági mentés sikertelen lesz.
Kialakítási szempontok
Amikor biztonsági másolatot készít egy kulcstartó-objektumról, például titkos kódról, kulcsról vagy tanúsítványról, a biztonsági mentési művelet titkosított blobként tölti le az objektumot. Ez a blob nem fejthető vissza az Azure-on kívül. A blob használható adatainak lekéréséhez vissza kell állítania a blobot egy kulcstartóba ugyanabban az Azure-előfizetésben és Azure-földrajzi helyen.
Előfeltételek
Kulcstartó-objektum biztonsági mentéséhez a következővel kell rendelkeznie:
- Közreműködői szintű vagy magasabb szintű engedélyek egy Azure-előfizetéshez.
- Elsődleges kulcstartó, amely tartalmazza a biztonsági mentéshez használni kívánt titkos kulcsokat.
- Egy másodlagos kulcstartó, ahol a titkos kulcsok vissza lesznek állítva.
Biztonsági mentés és visszaállítás az Azure Portalról
Kövesse az ebben a szakaszban leírt lépéseket az objektumok biztonsági mentéséhez és visszaállításához az Azure Portal használatával.
Biztonsági mentés
Nyissa meg az Azure Portalt.
Válassza ki a kulcstartót.
Lépjen arra az objektumra (titkos kód, kulcs vagy tanúsítvány), amelyről biztonsági másolatot szeretne készíteni.
Jelölje ki az objektumot.
Válassza a Biztonsági mentés letöltése lehetőséget.
Válassza a Letöltés lehetőséget.
A titkosított blobot biztonságos helyen tárolja.
Visszaállítás
Nyissa meg az Azure Portalt.
Válassza ki a kulcstartót.
Lépjen a visszaállítani kívánt objektumtípusra (titkos kulcs, kulcs vagy tanúsítvány).
Válassza a Biztonsági mentés visszaállítása lehetőséget.
Lépjen arra a helyre, ahol a titkosított blobot tárolta.
Kattintson az OK gombra.
Biztonsági mentés és visszaállítás az Azure CLI-ből vagy az Azure PowerShellből
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
Következő lépések
- Azure-kulcstartó áthelyezése régiók között
- A Key Vault naplózásának engedélyezése a Key Vaulthoz