A helyreállítható törlés minden kulcstartón engedélyezve lesz

  • Cikk

Figyelmeztetés

Kompatibilitástörő változás: azonnal engedélyeznie kell a helyreállítható törlést a kulcstartókon. A részletekért lásd alább.

Ha egy titkos kód törlődik, és a kulcstartó nem rendelkezik helyreállítható törlési védelemmel, az véglegesen törlődik. Bár a felhasználók jelenleg letilthatják a helyreállítható törlést a kulcstartó létrehozásakor, ez a képesség elavult. 2025 februárjában a Microsoft minden kulcstartón engedélyezi a helyreállítható törlés védelmét, és a felhasználók többé nem fogják tudni kikapcsolni vagy kikapcsolni a helyreállítható törlést. Ez megvédi a titkos kulcsokat a felhasználók véletlen vagy rosszindulatú törlésétől.

Ábra egy kulcstartó törléséről helyreállítható törlés elleni védelemmel, illetve helyreállítható törlés elleni védelem nélkül.

A helyreállítható törlés funkcióval kapcsolatos részletes információkért lásd: Az Azure Key Vault helyreállítható törlés áttekintése.

Működik az alkalmazásom, ha engedélyezve van a helyreállítható törlés?

A kulcstartók neve globálisan egyedi. A kulcstartóban tárolt titkos kódok neve is egyedi. Nem fogja tudni újra felhasználni a helyreállíthatóan törölt állapotban lévő kulcstartó vagy kulcstartó objektum nevét.

Ha például az alkalmazás programozott módon létrehoz egy "A tároló" nevű kulcstartót, majd később törli az "A tárolót", a rendszer áthelyezi a kulcstartót a helyreállíthatóan törölt állapotba. Az alkalmazás nem fog tudni újból létrehozni egy "A. tároló" nevű kulcstartót, amíg a kulcstartó nem törlődik a helyreállíthatóan törölt állapotból.

Ha az alkalmazás létrehoz egy "A tárolóban" nevű test key kulcsot, majd később törli ezt a kulcsot, az alkalmazás nem fog tudni létrehozni egy új kulcsot test key a "Vault A" fájlban, amíg az test key objektum nem törlődik a helyreállíthatóan törölt állapotból.

Ütközési hibákat okozhat, ha megpróbál törölni egy kulcstartó-objektumot, és újra létrehozni ugyanazzal a névvel anélkül, hogy először törölne a helyreállíthatóan törölt állapotból. Ezek a hibák az alkalmazások vagy az automatizálás meghiúsulását okozhatják. Mielőtt elvégezené az alábbi szükséges alkalmazás- és adminisztrációs módosításokat, forduljon a fejlesztői csapathoz.

Alkalmazásmódosítások

Ha az alkalmazás feltételezi, hogy a helyreállítható törlés nincs engedélyezve, és arra számít, hogy a törölt titkos kódok vagy kulcstartók nevei azonnal felhasználhatók, az alkalmazáslogikán az alábbi módosításokat kell végrehajtania.

  1. Törölje az eredeti kulcstartót vagy titkos kulcsot.
  2. Törölje a kulcstartót vagy titkos kulcsot helyreállíthatóan törölt állapotban.
  3. Várjon, amíg a végleges törlés befejeződik. Az azonnali újralétrehozás ütközést okozhat.
  4. Hozza létre újra a kulcstartót ugyanazzal a névvel.
  5. Ha a létrehozási művelet továbbra is névütközési hibát eredményez, próbálja meg újból létrehozni a kulcstartót. Az Azure DNS-rekordok frissítése a legrosszabb esetben akár 10 percet is igénybe vehet.

Adminisztrációs módosítások

Azoknak a biztonsági tagoknak, amelyeknek hozzáférésre van szükségük a titkos kódok végleges törléséhez, több hozzáférési szabályzati engedélyt kell biztosítani a titkos kódok és a kulcstartó törléséhez.

Tiltsa le azokat a Azure Policy-hozzárendeléseket a kulcstartókon, amelyek a helyreállítható törlés kikapcsolását iktatják. Előfordulhat, hogy ezt a problémát egy rendszergazdára kell eszkalálnia, aki Azure Policy környezetére alkalmazott hozzárendeléseket szabályozza. Ha ez a szabályzat-hozzárendelés nincs letiltva, előfordulhat, hogy nem tud új kulcstartókat létrehozni az alkalmazott szabályzat-hozzárendelés hatókörében.

Ha a szervezetre jogi megfelelőségi követelmények vonatkoznak, és a törölt kulcstartók és titkos kódok hosszabb ideig helyreállítható állapotban maradnak, a helyreállítható törlés megőrzési időtartamát módosítania kell a szervezet szabványainak megfelelően. A megőrzési időtartamot 7 és 90 nap közötti időtartamra konfigurálhatja.

Eljárások

A kulcstartók naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a helyreállítható törlés

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg a Azure Policy.
  3. Válassza a Definíciók lehetőséget.
  4. A Kategóriaterületen válassza Key Vault a szűrőben.
  5. Válassza ki a Key Vault legyen engedélyezve a helyreállítható törlési szabályzat.
  6. Válassza a Hozzárendelés elemet.
  7. Állítsa a hatókört az előfizetésére.
  8. Győződjön meg arról, hogy a szabályzat hatása Naplózás értékre van állítva.
  9. Válassza a Felülvizsgálat és létrehozás lehetőséget. A környezet teljes vizsgálata akár 24 órát is igénybe vehet.
  10. A Azure Policy panelen válassza a Megfelelőség lehetőséget.
  11. Válassza ki az alkalmazott szabályzatot.

Mostantól szűrheti és megtekintheti, hogy mely kulcstartók rendelkeznek engedélyezve a helyreállítható törléssel (megfelelő erőforrások), és hogy mely kulcstartók nem rendelkeznek engedélyezve a helyreállítható törléssel (nem megfelelő erőforrások).

Meglévő kulcstartó helyreállítható törlésének bekapcsolása

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg a kulcstartót.
  3. A Beállítások területen válassza a Tulajdonságok lehetőséget.
  4. A Helyreállítható törlés területen válassza a Tároló és objektumainak helyreállításának engedélyezése lehetőséget.
  5. Állítsa be a helyreállítható törlés megőrzési időtartamát.
  6. Válassza a Mentés lehetőséget.

Hozzáférési szabályzat végleges törlésére vonatkozó engedélyek megadása egy rendszerbiztonsági tagnak

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg a kulcstartót.
  3. Válassza a Hozzáférési szabályzatok lehetőséget a Beállítások területen.
  4. Válassza ki azt a szolgáltatásnevet, amelyhez hozzáférést szeretne adni.
  5. Lépjen végig az egyes legördülő menükben a Kulcs, a Titkos kód és a Tanúsítvány engedély alatt , amíg meg nem jelenik a Privileged Operations (Kiemelt műveletek) elem. Válassza a Végleges törlés engedélyt.

Gyakori kérdések

Hatással van rám ez a változás?

Ha már be van kapcsolva a helyreállítható törlés, vagy ha nem törli és hozza létre újra az azonos nevű kulcstartó-objektumokat, valószínűleg nem fog változást tapasztalni a kulcstartó viselkedésében.

Ha olyan alkalmazással rendelkezik, amely gyakran ugyanazokat az elnevezési konvenciókkal rendelkező kulcstartó-objektumokat törli és hozza létre újra, módosítania kell az alkalmazáslogikát a várt viselkedés fenntartása érdekében. Tekintse meg a jelen cikk Alkalmazásmódosítások szakaszát.

Hogyan előnyére válik ez a változás?

A helyreállítható törlés elleni védelem egy másik védelmi réteget biztosít a szervezet számára a véletlen vagy rosszindulatú törlés ellen. Kulcstartó-rendszergazdaként korlátozhatja a hozzáférést a visszaállítási és a végleges törlési engedélyekre is.

Ha egy felhasználó véletlenül töröl egy kulcstartót vagy titkos kulcsot, hozzáférési engedélyeket adhat nekik a titkos kulcs helyreállításához anélkül, hogy azzal a kockázattal járnának, hogy véglegesen törlik a titkos kulcsot vagy a kulcstartót. Ez az önkiszolgáló folyamat minimalizálja az állásidőt a környezetben, és garantálja a titkos kódok rendelkezésre állását.

Hogyan, hogy meg kell-e lépnem?

Kövesse a kulcstartók naplózása című szakasz lépéseit annak ellenőrzéséhez, hogy engedélyezve van-e a helyreállítható törlés ebben a cikkben. Ez a módosítás minden olyan kulcstartót érint, amelyen nincs bekapcsolva a helyreállítható törlés.

Milyen műveletet kell végrehajtanom?

Miután meggyőződött arról, hogy nem kell módosítania az alkalmazáslogikát, kapcsolja be a helyreállítható törlést az összes kulcstartón.

Mikor kell lépéseket tennem?

Ha meg szeretné győződni arról, hogy az alkalmazásokat nem érinti, a lehető leghamarabb kapcsolja be a helyreállítható törlést a kulcstartókon.

Következő lépések