Teljes biztonsági mentés és visszaállítás

  • Cikk
  • 3 perc alatt elolvasható

Megjegyzés

Ez a funkció csak erőforrástípus által felügyelt HSM-hez érhető el.

A felügyelt HSM támogatja a HSM teljes tartalmának teljes biztonsági mentését, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést. A biztonsági mentés titkosítása a HSM biztonsági tartományához társított titkosítási kulcsokkal történik.

A biztonsági mentés adatsíkművelet. A biztonsági mentési műveletet kezdeményező hívónak engedéllyel kell rendelkeznie a DataAction Microsoft.KeyVault/managedHsm/backup/start/action végrehajtásához.

Csak az alábbi beépített szerepkörök rendelkeznek engedéllyel a teljes biztonsági mentés végrehajtásához:

  • Felügyeleti HSM rendszergazdája
  • Felügyelt HSM biztonsági mentése

Teljes biztonsági mentés végrehajtásához meg kell adnia az alábbi adatokat:

  • HSM neve vagy URL-címe
  • Tárfiók neve
  • Tárfiók Blob Storage-tárolója
  • Tároló SAS-jogkivonata engedélyekkel crdw

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsokkal futtathatja a kódot ebben a cikkben anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Beállítás Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőséget választva nem másolja automatikusan a kódot vagy a parancsot a Cloud Shell. Képernyőkép az Azure Cloud Shell kipróbálásának példájáról.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. Képernyőkép a Cloud Shell új ablakban való elindításáról.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. Képernyőkép a Azure Portal Cloud Shell gombjáról

Az Azure Cloud Shell használata:

  1. Indítsa el a Cloud Shellt.

  2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

  3. Illessze be a kódot vagy parancsot a Cloud Shell munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval.

  4. A kód vagy parancs futtatásához válassza az Enter lehetőséget.

Teljes biztonsági mentés

A biztonsági mentés hosszú ideig futó művelet, de azonnal visszaad egy feladatazonosítót. Ezzel a feladatazonosítóval ellenőrizheti a biztonsági mentési folyamat állapotát. A biztonsági mentési folyamat létrehoz egy mappát a kijelölt tárolóban az alábbi elnevezési mintával mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}, ahol HSM_NAME a biztonsági mentés alatt álló felügyelt HSM neve, valamint az ÉÉÉÉ, AZ, MM, DD, ÓÓ, MM, mm, SS az év, a hónap, a dátum, az óra, a perc és a dátum/idő másodperce az UTC-ben a biztonsági mentési parancs fogadásakor.

Amíg a biztonsági mentés folyamatban van, előfordulhat, hogy a HSM nem működik teljes átviteli sebességgel, mivel egyes HSM-partíciók a biztonsági mentési művelet végrehajtásával lesznek elfoglalva.

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription 361da5d4-a47a-4c79-afdd-d66f684f4070

Teljes visszaállítás

A teljes visszaállítás lehetővé teszi a HSM tartalmának teljes visszaállítását egy korábbi biztonsági mentéssel, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést. A HSM-ben jelenleg tárolt összes adat törlődik, és vissza fog térni a forrás biztonsági mentésének létrehozásakor használt állapotba.

Fontos

A teljes visszaállítás nagyon romboló és zavaró művelet. Ezért a művelet végrehajtása előtt legalább 30 perccel kötelező elvégezni a restore teljes biztonsági mentést.

A visszaállítás adatsík-művelet. A visszaállítási műveletet indító hívónak engedéllyel kell rendelkeznie a DataAction Microsoft.KeyVault/managedHsm/restore/start/action végrehajtásához. A forrás HSM-nek, ahol a biztonsági mentés létre lett hozva, és a cél HSM-nek, ahol a visszaállítás el lesz hajtva, ugyanazzal a biztonsági tartománnyal kell rendelkeznie. További információ a felügyelt HSM biztonsági tartományról.

A teljes visszaállítás végrehajtásához a következő adatokat kell megadnia:

  • HSM neve vagy URL-címe
  • Tárfiók neve
  • Tárfiók blobtárolója
  • Tároló SAS-jogkivonata engedélyekkel rl
  • Tárolómappa neve, ahol a forrás biztonsági mentése található

A visszaállítás hosszú ideig futó művelet, de azonnal visszaad egy feladatazonosítót. Ezzel a feladatazonosítóval ellenőrizheti a visszaállítási folyamat állapotát. Amikor a visszaállítási folyamat folyamatban van, a HSM visszaállítási módot ad meg, és az összes adatsíkparancs (kivéve a visszaállítási állapot ellenőrzését) le van tiltva.

#### time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

HSM visszaállítása

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Következő lépések