Az Azure Key Vault helyreállítási kezelése helyreállítható törlési és törlési védelemmel

Ez a cikk az Azure Key Vault két helyreállítási funkcióját, a helyreállítható törlést és a törlés elleni védelmet ismerteti. Ez a dokumentum áttekintést nyújt ezekről a funkciókról, és bemutatja, hogyan kezelheti őket az Azure Portalon, az Azure CLI-vel és az Azure PowerShell-lel.

További információ a Key Vaultról:

• A Key Vault áttekintése
• Az Azure Key Vault kulcsainak, titkos kulcsainak és tanúsítványainak áttekintése

Előfeltételek

• Azure-előfizetés – hozzon létre egyet ingyenesen

• Azure PowerShell.

• Azure CLI

• Key Vault – létrehozhat egyet az Azure Portal Azure CLI-vel vagy az Azure PowerShell-lel

• A felhasználónak a következő engedélyekre lesz szüksége (előfizetési szinten) a helyreállíthatóan törölt tárolókon végzett műveletek végrehajtásához:

  Engedély	Leírás
  Microsoft.KeyVault/locations/deletedVaults/read	Helyreállíthatóan törölt kulcstartó tulajdonságainak megtekintése
  Microsoft.KeyVault/locations/deletedVaults/purge/action	Helyreállíthatóan törölt kulcstartó törlése
  Microsoft.KeyVault/locations/operationResults/read	A tároló kiürítési állapotának ellenőrzése
  Key Vault-közreműködő	Helyreállíthatóan törölt tároló helyreállítása

Mik azok a helyreállítható törlési és törlési védelem?

A helyreállítható törlés és törlés elleni védelem két különböző kulcstartó-helyreállítási funkció.

A helyreállítható törlés célja, hogy megakadályozza a kulcstartóban tárolt kulcsok, titkos kulcsok és tanúsítványok véletlen törlését. Gondoljon a helyreállítható törlésre, mint egy lomtárra. Ha töröl egy kulcstartót vagy egy kulcstartó objektumot, az helyreállítható marad egy felhasználó által konfigurálható megőrzési időszakban vagy 90 napos alapértelmezett értéken. A helyreállíthatóan törölt állapotú kulcstartók is törölhetők, ami azt jelenti, hogy véglegesen törlődnek. Ez lehetővé teszi az azonos nevű kulcstartók és kulcstartó-objektumok újbóli létrehozását. A kulcstartók és objektumok helyreállításához és törléséhez emelt szintű hozzáférési házirend-engedélyekre van szükség. A helyreállítható törlés engedélyezése után nem tiltható le.

Fontos

Azonnal engedélyeznie kell a helyreállítható törlést a kulcstartókon. A helyreállítható törlés letiltásának lehetősége elavult, és 2025 februárjában megszűnik. A teljes részleteket itt tekinti meg

Fontos megjegyezni, hogy a kulcstartók neve globálisan egyedi, ezért nem hozhat létre olyan kulcstartót, amelynek neve megegyezik a helyreállíthatóan törölt állapotban lévő kulcstartó nevével. Hasonlóképpen a kulcsok, titkos kódok és tanúsítványok neve is egyedi a kulcstartóban. Nem hozhat létre olyan titkos kulcsot, kulcsot vagy tanúsítványt, amely ugyanazzal a névvel rendelkezik, mint egy másik, helyreállíthatóan törölt állapotban.

A törlés elleni védelem célja, hogy megakadályozza a kulcstartó, a kulcsok, a titkos kulcsok és a tanúsítványok rosszindulatú bennfentes általi törlését. Gondoljon erre úgy, mint egy lomtárra, amely időalapú zárolással rendelkezik. A konfigurálható megőrzési időszak alatt bármikor helyreállíthatja az elemeket. A megőrzési időszak leteltéig nem lehet véglegesen törölni vagy törölni egy kulcstartót. A megőrzési időtartam lejárta után a rendszer automatikusan véglegesen törli a kulcstartót vagy a kulcstartóobjektumot.

Feljegyzés

A Purge Protection úgy lett kialakítva, hogy egyetlen rendszergazdai szerepkör vagy engedély sem tudja felülbírálni, letiltani vagy megkerülni a törlés elleni védelmet. A végleges törlés elleni védelem engedélyezése után senki (a Microsoft sem) nem tilthatja le és nem bírálhatja felül azt. Ez azt jelenti, hogy a kulcstartó nevének újbóli használata előtt helyre kell állítania egy törölt kulcstartót, vagy meg kell várnia, amíg a megőrzési időszak el nem telik.

A helyreállítható törléssel kapcsolatos további információkért tekintse meg az Azure Key Vault helyreállítható törlési áttekintését

Azure Portal

Ellenőrizze, hogy engedélyezve van-e a helyreállítható törlés egy kulcstartóban, és engedélyezze a helyreállítható törlést

1. Jelentkezzen be az Azure Portalra.
2. Válassza ki a kulcstartót.
3. Kattintson a "Tulajdonságok" panelre.
4. Ellenőrizze, hogy a helyreállítható törlés melletti választógomb a "Helyreállítás engedélyezése" értékre van-e beállítva.
5. Ha a helyreállítható törlés nincs engedélyezve a kulcstartóban, kattintson a választógombra a helyreállítható törlés engedélyezéséhez, majd kattintson a "Mentés" gombra.

Hozzáférés biztosítása egy szolgáltatásnévhez a törölt titkos kódok törléséhez és helyreállításához

1. Jelentkezzen be az Azure Portalra.
2. Válassza ki a kulcstartót.
3. Kattintson a "Hozzáférési szabályzat" panelre.
4. A táblázatban keresse meg annak a biztonsági tagnak a sorát, amelyhez hozzáférést kíván adni (vagy adjon hozzá egy új biztonsági tagot).
5. Kattintson a kulcsok, tanúsítványok és titkos kódok legördülő listára.
6. Görgessen a legördülő lista aljára, és kattintson a "Helyreállítás" és a "Törlés" elemre
7. A legtöbb művelet végrehajtásához a biztonsági tagoknak lekérési és listázási funkciókra is szükségük lesz.

Helyreállíthatóan törölt kulcstartók listázása, helyreállítása vagy törlése

1. Jelentkezzen be az Azure Portalra.
2. Kattintson az oldal tetején található keresősávra.
3. Keressen a "Key Vault" szolgáltatásra. Ne kattintson az egyes kulcsok páncéltermére.
4. A képernyő tetején kattintson a "Törölt trezorok kezelése" lehetőségre
5. A képernyő jobb oldalán megnyílik egy kontextusablak.
6. Válassza ki előfizetését.
7. Ha a kulcstartó helyreállíthatóan lett törölve, megjelenik a környezet panelen a jobb oldalon.
8. Ha túl sok az elrejtések száma, akkor a kontextusablak alján a "Load More" gombra kattintva, vagy a CLI vagy a PowerShell segítségével kaphatja meg az eredményeket.
9. Miután megtalálta a helyreállítani vagy kiüríteni kívánt tárolót, jelölje be a mellette lévő jelölőnégyzetet.
10. Válassza a helyreállítás lehetőséget a kontextusablak alján, ha vissza szeretné állítani a kulcstárat.
11. Válassza a törlési lehetőséget, ha véglegesen törölni szeretné a kulcstartót.

Helyreállíthatóan törölt titkos kódok, kulcsok és tanúsítványok listázása, helyreállítása vagy törlése

1. Jelentkezzen be az Azure Portalra.
2. Válassza ki a kulcstartót.
3. Válassza ki a kezelni kívánt titkos kódtípusnak (kulcsok, titkos kulcsok vagy tanúsítványok) megfelelő panelt.
4. A képernyő tetején kattintson a "Törölt kulcsok, titkos kulcsok vagy tanúsítványok kezelése" elemre.
5. A képernyő jobb oldalán megjelenik egy környezeti ablaktábla.
6. Ha a titkos kulcs, kulcs vagy tanúsítvány nem jelenik meg a listában, az nem helyreállíthatóan törölt állapotban van.
7. Válassza ki a kezelni kívánt titkos kulcsot, kulcsot vagy tanúsítványt.
8. Válassza ki a környezeti panel alján található helyreállítás vagy törlés beállítását.

Azure CLI

Key Vault (CLI)

• Ellenőrizze, hogy a kulcstartóban engedélyezve van-e a helyreállítható törlés

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Helyreállítható törlés engedélyezése a key-vaulton

  Minden új kulcstartó alapértelmezés szerint engedélyezve van a helyreállítható törléssel. Ha jelenleg olyan kulcstartóval rendelkezik, amely nem engedélyezi a helyreállítható törlést, a következő paranccsal engedélyezheti a helyreállítható törlést.

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
  

• Kulcstartó törlése (helyreállítható, ha engedélyezve van a helyreállítható törlés)

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Az összes helyreállíthatóan törölt kulcstartó listázása

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault
  

• Helyreállíthatóan törölt kulcstartó helyreállítása

  az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Helyreállíthatóan törölt kulcstartó kiürítése (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A KEY VAULTOT)

  az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Törlés elleni védelem engedélyezése a key-vaulton

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
  

Tanúsítványok (CLI)

• Hozzáférés biztosítása tanúsítványok törléséhez és helyreállításához

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge
  

• Tanúsítvány törlése

  az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Törölt tanúsítványok listázása

  az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Törölt tanúsítvány helyreállítása

  az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Helyreállíthatóan törölt tanúsítvány törlése (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A TANÚSÍTVÁNYT)

  az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

Kulcsok (CLI)

• Hozzáférés biztosítása a kulcsok törléséhez és helyreállításához

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge
  

• Kulcs törlése

  az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Törölt kulcsok listázása

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Törölt kulcs helyreállítása

  az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Helyreállíthatóan törölt kulcs törlése (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A KULCSOT)

  az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

Titkos kulcsok (CLI)

• Hozzáférés biztosítása titkos kódok törléséhez és helyreállításához

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge
  

• Titkos kód törlése

  az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Törölt titkos kódok listázása

  az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Törölt titkos kód helyreállítása

  az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Helyreállíthatóan törölt titkos kód törlése (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A TITKOS KÓDJÁT)

  az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

Azure PowerShell

Key Vault (PowerShell)

• Ellenőrizze, hogy a kulcstartóban engedélyezve van-e a helyreállítható törlés

  Get-AzKeyVault -VaultName "ContosoVault"
  

• Kulcstartó törlése

  Remove-AzKeyVault -VaultName 'ContosoVault'
  

• Az összes helyreállíthatóan törölt kulcstartó listázása

  Get-AzKeyVault -InRemovedState
  

• Helyreállíthatóan törölt kulcstartó helyreállítása

  Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus
  

• Helyreállíthatóan törölt kulcstartó törlése (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A KEY VAULTOT)

  Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
  

• Törlés elleni védelem engedélyezése a key-vaulton

  Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection
  

Tanúsítványok (PowerShell)

• Engedélyek megadása tanúsítványok helyreállításához és törléséhez

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge
  

• Tanúsítvány törlése

  Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'
  

• Az összes törölt tanúsítvány listázása egy kulcstartóban

  Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
  

• Tanúsítvány helyreállítása törölt állapotban

  Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'
  

• Helyreállíthatóan törölt tanúsítvány törlése (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A TANÚSÍTVÁNYT)

  Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
  

Kulcsok (PowerShell)

• Engedélyek megadása a kulcsok helyreállításához és törléséhez

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge
  

• Kulcs törlése

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'
  

• Az összes törölt kulcs listázása egy kulcstartóban

  Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
  

• Helyreállíthatóan törölt kulcs helyreállítása

  Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey
  

• Helyreállíthatóan törölt kulcs törlése (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A KULCSOT)

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
  

Titkos kódok (PowerShell)

• Engedélyek megadása titkos kulcsok helyreállításához és törléséhez

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge
  

• SQLPassword nevű titkos kód törlése

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword
  

• Az összes törölt titkos kulcs listázása egy kulcstartóban

  Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
  

• Titkos kód helyreállítása törölt állapotban

  Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword
  

• Titkos kód törlése törölt állapotban (FIGYELMEZTETÉS! EZ A MŰVELET VÉGLEGESEN TÖRLI A KULCSOT)

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
  

Következő lépések

• Azure Key Vault PowerShell-parancsmagok
• Key Vault Azure CLI-parancsok
• Azure Key Vault biztonsági mentése
• A Key Vault naplózásának engedélyezése
• Az Azure Key Vault biztonsági funkciói
• Az Azure Key Vault fejlesztői útmutatója