Teljes biztonsági mentés, visszaállítás és szelektív kulcs-visszaállítás
Feljegyzés
Ez a funkció csak az erőforrástípus által felügyelt HSM-hez érhető el.
A felügyelt HSM támogatja a HSM teljes tartalmának teljes biztonsági mentését, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést. A biztonsági mentés titkosítása a HSM biztonsági tartományához társított titkosítási kulcsokkal történik.
A biztonsági mentés adatsíkművelet. A biztonsági mentési műveletet kezdeményező hívónak engedéllyel kell rendelkeznie a DataAction Microsoft.KeyVault/managedHsm/backup/start/action végrehajtásához.
Csak az alábbi beépített szerepkörök rendelkeznek teljes biztonsági mentési engedéllyel:
- Felügyeleti HSM rendszergazdája
- Felügyelt HSM biztonsági mentése
A teljes biztonsági mentés/visszaállítás kétféleképpen hajtható végre:
- Felhasználó által hozzárendelt felügyelt identitás (UAMI) hozzárendelése a felügyelt HSM szolgáltatáshoz. Az MHSM biztonsági mentése és visszaállítása felhasználó által hozzárendelt felügyelt identitással történik, függetlenül attól, hogy a tárfiók nyilvános hálózati hozzáféréssel vagy privát hálózati hozzáféréssel rendelkezik-e. Ha a tárfiók egy privát végpont mögött található, az UAMI metódus megbízható szolgáltatás-megkerüléssel működik a biztonsági mentés és a visszaállítás engedélyezéséhez.
- Tároló SAS-jogkivonat használata "crdw" engedélyekkel. A tároló SAS-jogkivonatával végzett biztonsági mentéshez és visszaállításhoz a tárfióknak engedélyeznie kell a nyilvános hálózati hozzáférést.
A teljes biztonsági mentés végrehajtásához a következő adatokat kell megadnia:
- HSM neve vagy URL-címe
- Tárfiók neve
- Tárfiók Blob Storage-tárolója
- Felhasználó által hozzárendelt felügyelt identitás vagy tároló SAS-jogkivonata "crdw" engedélyekkel
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
| Lehetőség | Példa/hivatkozás |
|---|---|
| Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe. |  |
| Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. |  |
| Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. |  |
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.
A kód vagy parancs futtatásához válassza az Enter lehetőséget .
Előfeltételek a felhasználó által hozzárendelt felügyelt identitással történő biztonsági mentéshez és visszaállításhoz:
- Győződjön meg arról, hogy az Azure CLI 2.56.0-s vagy újabb verzióját használja. A verzió azonosításához futtassa a következőt:
az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket. - Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.
- Tárfiók létrehozása (vagy meglévő tárfiók használata).
- Ha a nyilvános hálózati hozzáférés le van tiltva a tárfiókon, engedélyezze a megbízható szolgáltatás megkerülését a tárfiók "Hálózatkezelés" lapján, a "Kivételek" területen.
- A 2. lépésben létrehozott felhasználó által hozzárendelt felügyelt identitáshoz a "Storage Blob-adatok közreműködője" szerepkörhöz való hozzáférést a portál "Hozzáférés-vezérlés" lapjának –> Szerepkör-hozzárendelés hozzáadása lapjára kattintva adhatja meg. Ezután válassza a "felügyelt identitás" lehetőséget, és válassza ki a 2. lépésben létrehozott felügyelt identitást –> Áttekintés + Hozzárendelés
- Hozza létre a felügyelt HSM-et, és társítsa a felügyelt identitást az alábbi paranccsal.
az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
Ha már rendelkezik felügyelt HSM-szel, társítsa a felügyelt identitást az MHSM és az alábbi parancs frissítésével.
az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
Teljes biztonsági mentés
A biztonsági mentés egy hosszú ideig futó művelet, de azonnal visszaad egy feladatazonosítót. Ezzel a feladatazonosítóval ellenőrizheti a biztonsági mentési folyamat állapotát. A biztonsági mentési folyamat létrehoz egy mappát a kijelölt tárolóban az alábbi elnevezési mintával mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}, ahol a HSM_NAME a felügyelt HSM biztonsági mentésének neve, és az YYYY, MM, DD, HH, MM, mm, SS az év, hónap, dátum, óra, perc és másodperc dátum/idő az UTC-ben a biztonsági mentési parancs fogadásakor.
Amíg a biztonsági mentés folyamatban van, előfordulhat, hogy a HSM nem működik teljes átviteli sebességgel, mivel egyes HSM-partíciók a biztonsági mentési művelet végrehajtásával lesznek elfoglalva.
HSM biztonsági mentése felhasználó által hozzárendelt felügyelt identitással
az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer
HSM biztonsági mentése SAS-jogkivonat használatával
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Create a container
az storage container create --account-name mhsmdemobackup --name mhsmdemobackupcontainer --account-key $skey
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Backup HSM
az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}
Teljes visszaállítás
A teljes visszaállítás lehetővé teszi a HSM tartalmának teljes visszaállítását egy korábbi biztonsági másolattal, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést. A HSM-ben jelenleg tárolt összes adat törlődik, és visszaáll arra az állapotra, amelyben a forrás biztonsági mentésének létrehozásakor volt.
Fontos
A teljes visszaállítás nagyon romboló és zavaró művelet. Ezért a művelet végrehajtása előtt restore legalább 30 perccel kötelező elvégezni a teljes biztonsági mentést.
A visszaállítás adatsík-művelet. A visszaállítási műveletet indító hívónak engedéllyel kell rendelkeznie a DataAction Microsoft.KeyVault/managedHsm/restore/start/action végrehajtásához. A forrás HSM-nek, ahol a biztonsági mentés létre lett hozva , és a visszaállítás cél HSM-jének ugyanazzal a biztonsági tartománnyal kell rendelkeznie. További információ a felügyelt HSM biztonsági tartományról.
A teljes visszaállítás kétféleképpen hajtható végre. A teljes visszaállítás végrehajtásához a következő információkat kell megadnia:
- HSM neve vagy URL-címe
- Tárfiók neve
- Tárfiók blobtárolója
- Felhasználó által hozzárendelt felügyelt identitás vagy tároló SAS-jogkivonata engedélyekkel
rl - Tárolómappa neve, ahol a forrás biztonsági mentését tárolják
A visszaállítás egy hosszú ideig futó művelet, de azonnal visszaad egy feladatazonosítót. Ezzel a feladatazonosítóval ellenőrizheti a visszaállítási folyamat állapotát. Amikor a visszaállítási folyamat folyamatban van, a HSM visszaállítási módot ad meg, és minden adatsík-parancs (kivéve a visszaállítási állapot ellenőrzését) le van tiltva.
HSM visszaállítása a felhasználó által hozzárendelt felügyelt identitással
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true
HSM visszaállítása SAS-jogkivonat használatával
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Restore HSM
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860
Szelektív kulcs visszaállítása
A szelektív kulcs-visszaállítás lehetővé teszi egyetlen kulcs visszaállítását az előző biztonsági mentés összes kulcsverziójával egy HSM-be.
Szelektív kulcs-visszaállítás felhasználó által hozzárendelt felügyelt identitással
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2
Szelektív kulcs-visszaállítás SAS-jogkivonat használatával
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2
Következő lépések
- Lásd: Felügyelt HSM kezelése az Azure CLI használatával.
- További információ a felügyelt HSM biztonsági tartományról