Megosztás a következőn keresztül:

Teljes biztonsági mentés, visszaállítás és szelektív kulcs-visszaállítás

  • Cikk

Feljegyzés

Ez a funkció csak az erőforrástípus által felügyelt HSM-hez érhető el.

A felügyelt HSM támogatja a HSM teljes tartalmának teljes biztonsági mentését, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést. A biztonsági mentés titkosítása a HSM biztonsági tartományához társított titkosítási kulcsokkal történik.

A biztonsági mentés adatsíkművelet. A biztonsági mentési műveletet kezdeményező hívónak engedéllyel kell rendelkeznie a DataAction Microsoft.KeyVault/managedHsm/backup/start/action végrehajtásához.

Csak az alábbi beépített szerepkörök rendelkeznek teljes biztonsági mentési engedéllyel:

  • Felügyeleti HSM rendszergazdája
  • Felügyelt HSM biztonsági mentése

A teljes biztonsági mentés/visszaállítás kétféleképpen hajtható végre:

  1. Felhasználó által hozzárendelt felügyelt identitás (UAMI) hozzárendelése a felügyelt HSM szolgáltatáshoz. Az MHSM biztonsági mentése és visszaállítása felhasználó által hozzárendelt felügyelt identitással történik, függetlenül attól, hogy a tárfiók nyilvános hálózati hozzáféréssel vagy privát hálózati hozzáféréssel rendelkezik-e. Ha a tárfiók egy privát végpont mögött található, az UAMI metódus megbízható szolgáltatás-megkerüléssel működik a biztonsági mentés és a visszaállítás engedélyezéséhez.
  2. Tároló SAS-jogkivonat használata "crdw" engedélyekkel. A tároló SAS-jogkivonatával végzett biztonsági mentéshez és visszaállításhoz a tárfióknak engedélyeznie kell a nyilvános hálózati hozzáférést.

A teljes biztonsági mentés végrehajtásához a következő adatokat kell megadnia:

  • HSM neve vagy URL-címe
  • Tárfiók neve
  • Tárfiók Blob Storage-tárolója
  • Felhasználó által hozzárendelt felügyelt identitás vagy tároló SAS-jogkivonata "crdw" engedélyekkel

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Lehetőség Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe. Képernyőkép az Azure Cloud Shell kipróbálásának példájáról.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. Gomb az Azure Cloud Shell elindításához.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. Képernyőkép az Azure Portal Cloud Shell gombjáról

Az Azure Cloud Shell használata:

  1. Indítsa el a Cloud Shellt.

  2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

  3. Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.

  4. A kód vagy parancs futtatásához válassza az Enter lehetőséget .

Előfeltételek a felhasználó által hozzárendelt felügyelt identitással történő biztonsági mentéshez és visszaállításhoz:

  1. Győződjön meg arról, hogy az Azure CLI 2.56.0-s vagy újabb verzióját használja. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket.
  2. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást.
  3. Tárfiók létrehozása (vagy meglévő tárfiók használata).
  4. Ha a nyilvános hálózati hozzáférés le van tiltva a tárfiókon, engedélyezze a megbízható szolgáltatás megkerülését a tárfiók "Hálózatkezelés" lapján, a "Kivételek" területen.
  5. A 2. lépésben létrehozott felhasználó által hozzárendelt felügyelt identitáshoz a "Storage Blob-adatok közreműködője" szerepkörhöz való hozzáférést a portál "Hozzáférés-vezérlés" lapjának –> Szerepkör-hozzárendelés hozzáadása lapjára kattintva adhatja meg. Ezután válassza a "felügyelt identitás" lehetőséget, és válassza ki a 2. lépésben létrehozott felügyelt identitást –> Áttekintés + Hozzárendelés
  6. Hozza létre a felügyelt HSM-et, és társítsa a felügyelt identitást az alábbi paranccsal. 
    az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"

Ha már rendelkezik felügyelt HSM-szel, társítsa a felügyelt identitást az MHSM és az alábbi parancs frissítésével.

 az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"

Teljes biztonsági mentés

A biztonsági mentés egy hosszú ideig futó művelet, de azonnal visszaad egy feladatazonosítót. Ezzel a feladatazonosítóval ellenőrizheti a biztonsági mentési folyamat állapotát. A biztonsági mentési folyamat létrehoz egy mappát a kijelölt tárolóban az alábbi elnevezési mintával mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}, ahol a HSM_NAME a felügyelt HSM biztonsági mentésének neve, és az YYYY, MM, DD, HH, MM, mm, SS az év, hónap, dátum, óra, perc és másodperc dátum/idő az UTC-ben a biztonsági mentési parancs fogadásakor.

Amíg a biztonsági mentés folyamatban van, előfordulhat, hogy a HSM nem működik teljes átviteli sebességgel, mivel egyes HSM-partíciók a biztonsági mentési művelet végrehajtásával lesznek elfoglalva.

HSM biztonsági mentése felhasználó által hozzárendelt felügyelt identitással

az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer

HSM biztonsági mentése SAS-jogkivonat használatával

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}

Teljes visszaállítás

A teljes visszaállítás lehetővé teszi a HSM tartalmának teljes visszaállítását egy korábbi biztonsági másolattal, beleértve az összes kulcsot, verziót, attribútumot, címkét és szerepkör-hozzárendelést. A HSM-ben jelenleg tárolt összes adat törlődik, és visszaáll arra az állapotra, amelyben a forrás biztonsági mentésének létrehozásakor volt.

Fontos

A teljes visszaállítás nagyon romboló és zavaró művelet. Ezért a művelet végrehajtása előtt restore legalább 30 percre kötelező elvégezni a visszaállítandó HSM teljes biztonsági mentését.

A visszaállítás adatsík-művelet. A visszaállítási műveletet indító hívónak engedéllyel kell rendelkeznie a DataAction Microsoft.KeyVault/managedHsm/restore/start/action végrehajtásához. A forrás HSM-nek, ahol a biztonsági mentés létre lett hozva , és a visszaállítás cél HSM-jének ugyanazzal a biztonsági tartománnyal kell rendelkeznie. További információ a felügyelt HSM biztonsági tartományról.

A teljes visszaállítás kétféleképpen hajtható végre. A teljes visszaállítás végrehajtásához a következő információkat kell megadnia:

  • HSM neve vagy URL-címe
  • Tárfiók neve
  • Tárfiók blobtárolója
  • Felhasználó által hozzárendelt felügyelt identitás vagy tároló SAS-jogkivonata engedélyekkel rl
  • Tárolómappa neve, ahol a forrás biztonsági mentését tárolják

A visszaállítás egy hosszú ideig futó művelet, de azonnal visszaad egy feladatazonosítót. Ezzel a feladatazonosítóval ellenőrizheti a visszaállítási folyamat állapotát. Amikor a visszaállítási folyamat folyamatban van, a HSM visszaállítási módot ad meg, és minden adatsík-parancs (kivéve a visszaállítási állapot ellenőrzését) le van tiltva.

HSM visszaállítása a felhasználó által hozzárendelt felügyelt identitással

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true

HSM visszaállítása SAS-jogkivonat használatával

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Restore HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Szelektív kulcs visszaállítása

A szelektív kulcs-visszaállítás lehetővé teszi egyetlen kulcs visszaállítását az előző biztonsági mentés összes kulcsverziójával egy HSM-be. A kulcsot ki kell üríteni, hogy a szelektív kulcs-visszaállítás működjön. Ha helyreállíthatóan törölt kulcsot próbál helyreállítani, használja a kulcs helyreállítását. További információ a kulcsok helyreállításáról.

Szelektív kulcs-visszaállítás felhasználó által hozzárendelt felügyelt identitással

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2

Szelektív kulcs-visszaállítás SAS-jogkivonat használatával

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2

Következő lépések