A helyreállítható törlés minden kulcstartón engedélyezve lesz
Figyelmeztetés
Kompatibilitástörő változás: azonnal engedélyeznie kell a helyreállítható törlést a kulcstartókon. A részletekért lásd alább.
Ha egy titkos kód törlődik, és a kulcstartó nem rendelkezik helyreállítható törlési védelemmel, az véglegesen törlődik. Bár a felhasználók jelenleg letilthatják a helyreállítható törlést a kulcstartó létrehozásakor, ez a képesség elavult. 2025 februárjában a Microsoft minden kulcstartón engedélyezi a helyreállítható törlés védelmét, és a felhasználók többé nem fogják tudni kikapcsolni vagy kikapcsolni a helyreállítható törlést. Ez megvédi a titkos kulcsokat a felhasználók véletlen vagy rosszindulatú törlésétől.
A helyreállítható törlés funkcióval kapcsolatos részletes információkért lásd: Az Azure Key Vault helyreállítható törlés áttekintése.
Működik az alkalmazásom, ha engedélyezve van a helyreállítható törlés?
A kulcstartók neve globálisan egyedi. A kulcstartóban tárolt titkos kódok neve is egyedi. Nem fogja tudni újra felhasználni a helyreállíthatóan törölt állapotban lévő kulcstartó vagy kulcstartó objektum nevét.
Ha például az alkalmazás programozott módon létrehoz egy "A tároló" nevű kulcstartót, majd később törli az "A tárolót", a rendszer áthelyezi a kulcstartót a helyreállíthatóan törölt állapotba. Az alkalmazás nem fog tudni újból létrehozni egy "A. tároló" nevű kulcstartót, amíg a kulcstartó nem törlődik a helyreállíthatóan törölt állapotból.
Ha az alkalmazás létrehoz egy "A tárolóban" nevű test key
kulcsot, majd később törli ezt a kulcsot, az alkalmazás nem fog tudni létrehozni egy új kulcsot test key
a "Vault A" fájlban, amíg az test key
objektum nem törlődik a helyreállíthatóan törölt állapotból.
Ütközési hibákat okozhat, ha megpróbál törölni egy kulcstartó-objektumot, és újra létrehozni ugyanazzal a névvel anélkül, hogy először törölne a helyreállíthatóan törölt állapotból. Ezek a hibák az alkalmazások vagy az automatizálás meghiúsulását okozhatják. Mielőtt elvégezené az alábbi szükséges alkalmazás- és adminisztrációs módosításokat, forduljon a fejlesztői csapathoz.
Alkalmazásmódosítások
Ha az alkalmazás feltételezi, hogy a helyreállítható törlés nincs engedélyezve, és arra számít, hogy a törölt titkos kódok vagy kulcstartók nevei azonnal felhasználhatók, az alkalmazáslogikán az alábbi módosításokat kell végrehajtania.
- Törölje az eredeti kulcstartót vagy titkos kulcsot.
- Törölje a kulcstartót vagy titkos kulcsot helyreállíthatóan törölt állapotban.
- Várjon, amíg a végleges törlés befejeződik. Az azonnali újralétrehozás ütközést okozhat.
- Hozza létre újra a kulcstartót ugyanazzal a névvel.
- Ha a létrehozási művelet továbbra is névütközési hibát eredményez, próbálja meg újból létrehozni a kulcstartót. Az Azure DNS-rekordok frissítése a legrosszabb esetben akár 10 percet is igénybe vehet.
Adminisztrációs módosítások
Azoknak a biztonsági tagoknak, amelyeknek hozzáférésre van szükségük a titkos kódok végleges törléséhez, több hozzáférési szabályzati engedélyt kell biztosítani a titkos kódok és a kulcstartó törléséhez.
Tiltsa le azokat a Azure Policy-hozzárendeléseket a kulcstartókon, amelyek a helyreállítható törlés kikapcsolását iktatják. Előfordulhat, hogy ezt a problémát egy rendszergazdára kell eszkalálnia, aki Azure Policy környezetére alkalmazott hozzárendeléseket szabályozza. Ha ez a szabályzat-hozzárendelés nincs letiltva, előfordulhat, hogy nem tud új kulcstartókat létrehozni az alkalmazott szabályzat-hozzárendelés hatókörében.
Ha a szervezetre jogi megfelelőségi követelmények vonatkoznak, és a törölt kulcstartók és titkos kódok hosszabb ideig helyreállítható állapotban maradnak, a helyreállítható törlés megőrzési időtartamát módosítania kell a szervezet szabványainak megfelelően. A megőrzési időtartamot 7 és 90 nap közötti időtartamra konfigurálhatja.
Eljárások
A kulcstartók naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a helyreállítható törlés
- Jelentkezzen be az Azure Portalra.
- Keresse meg a Azure Policy.
- Válassza a Definíciók lehetőséget.
- A Kategóriaterületen válassza Key Vault a szűrőben.
- Válassza ki a Key Vault legyen engedélyezve a helyreállítható törlési szabályzat.
- Válassza a Hozzárendelés elemet.
- Állítsa a hatókört az előfizetésére.
- Győződjön meg arról, hogy a szabályzat hatása Naplózás értékre van állítva.
- Válassza a Felülvizsgálat és létrehozás lehetőséget. A környezet teljes vizsgálata akár 24 órát is igénybe vehet.
- A Azure Policy panelen válassza a Megfelelőség lehetőséget.
- Válassza ki az alkalmazott szabályzatot.
Mostantól szűrheti és megtekintheti, hogy mely kulcstartók rendelkeznek engedélyezve a helyreállítható törléssel (megfelelő erőforrások), és hogy mely kulcstartók nem rendelkeznek engedélyezve a helyreállítható törléssel (nem megfelelő erőforrások).
Meglévő kulcstartó helyreállítható törlésének bekapcsolása
- Jelentkezzen be az Azure Portalra.
- Keresse meg a kulcstartót.
- A Beállítások területen válassza a Tulajdonságok lehetőséget.
- A Helyreállítható törlés területen válassza a Tároló és objektumainak helyreállításának engedélyezése lehetőséget.
- Állítsa be a helyreállítható törlés megőrzési időtartamát.
- Válassza a Mentés lehetőséget.
Hozzáférési szabályzat végleges törlésére vonatkozó engedélyek megadása egy rendszerbiztonsági tagnak
- Jelentkezzen be az Azure Portalra.
- Keresse meg a kulcstartót.
- Válassza a Hozzáférési szabályzatok lehetőséget a Beállítások területen.
- Válassza ki azt a szolgáltatásnevet, amelyhez hozzáférést szeretne adni.
- Lépjen végig az egyes legördülő menükben a Kulcs, a Titkos kód és a Tanúsítvány engedély alatt , amíg meg nem jelenik a Privileged Operations (Kiemelt műveletek) elem. Válassza a Végleges törlés engedélyt.
Gyakori kérdések
Hatással van rám ez a változás?
Ha már be van kapcsolva a helyreállítható törlés, vagy ha nem törli és hozza létre újra az azonos nevű kulcstartó-objektumokat, valószínűleg nem fog változást tapasztalni a kulcstartó viselkedésében.
Ha olyan alkalmazással rendelkezik, amely gyakran ugyanazokat az elnevezési konvenciókkal rendelkező kulcstartó-objektumokat törli és hozza létre újra, módosítania kell az alkalmazáslogikát a várt viselkedés fenntartása érdekében. Tekintse meg a jelen cikk Alkalmazásmódosítások szakaszát.
Hogyan előnyére válik ez a változás?
A helyreállítható törlés elleni védelem egy másik védelmi réteget biztosít a szervezet számára a véletlen vagy rosszindulatú törlés ellen. Kulcstartó-rendszergazdaként korlátozhatja a hozzáférést a visszaállítási és a végleges törlési engedélyekre is.
Ha egy felhasználó véletlenül töröl egy kulcstartót vagy titkos kulcsot, hozzáférési engedélyeket adhat nekik a titkos kulcs helyreállításához anélkül, hogy azzal a kockázattal járnának, hogy véglegesen törlik a titkos kulcsot vagy a kulcstartót. Ez az önkiszolgáló folyamat minimalizálja az állásidőt a környezetben, és garantálja a titkos kódok rendelkezésre állását.
Hogyan, hogy meg kell-e lépnem?
Kövesse a kulcstartók naplózása című szakasz lépéseit annak ellenőrzéséhez, hogy engedélyezve van-e a helyreállítható törlés ebben a cikkben. Ez a módosítás minden olyan kulcstartót érint, amelyen nincs bekapcsolva a helyreállítható törlés.
Milyen műveletet kell végrehajtanom?
Miután meggyőződött arról, hogy nem kell módosítania az alkalmazáslogikát, kapcsolja be a helyreállítható törlést az összes kulcstartón.
Mikor kell lépéseket tennem?
Ha meg szeretné győződni arról, hogy az alkalmazásokat nem érinti, a lehető leghamarabb kapcsolja be a helyreállítható törlést a kulcstartókon.
Következő lépések
- A módosítással kapcsolatos kérdéseivel forduljon hozzánk a címen akvsoftdelete@microsoft.com.
- Olvassa el a Helyreállítható törlés áttekintését.