Felügyelt HSM helyreállítható törlés áttekintése
Fontos
A helyreállítható törlés nem kapcsolható ki felügyelt HSM-erőforrások esetében.
Fontos
A helyreállíthatóan törölt felügyelt HSM-erőforrások számlázása továbbra is a teljes óránkénti díjszabás szerint lesznek kiszámlázva, amíg ki nem ürítik őket.
A felügyelt HSM helyreállítható törlés funkció lehetővé teszi a törölt HSM-ek és kulcsok helyreállítását. Ez a funkció a következő biztosítékokat nyújtja:
- A HSM vagy kulcs törlése után 7–90 naptári napig helyreállítható marad. A HSM létrehozásakor beállíthatja a megőrzési időtartamot. Ha nem ad meg értéket, a rendszer az alapértelmezett 90 napos megőrzési időtartamot használja. Ez az időszak elegendő időt biztosít a felhasználóknak arra, hogy észrevehessenek egy véletlen kulcsot vagy HSM-törlést, és válaszoljanak.
- A kulcs végleges törléséhez a felhasználóknak két műveletet kell végrehajtaniuk. Először törölniük kell a kulcsot, ami helyreállíthatóan törölt állapotba helyezi. Másodszor, ki kell üríteniük a kulcsot a helyreállíthatóan törölt állapotban. A törlési művelethez a felügyelt HSM crypto officer szerepkörre van szükség. Ezek az extra biztosítékok csökkentik annak kockázatát, hogy egy felhasználó véletlenül vagy rosszindulatúan töröl egy kulcsot vagy egy HSM-et.
Helyreállítható törlés működése
A helyreállítható törlés nem kapcsolható ki felügyelt HSM-erőforrások esetében.
A töröltként megjelölt erőforrásokat a rendszer egy adott ideig őrzi meg. A törölt HSM-ek vagy kulcsok helyreállítására is van mechanizmus, így visszavonhatja a törléseket.
Az alapértelmezett megőrzési időtartam 90 nap. HSM-erőforrás létrehozásakor a megőrzési szabályzat időközét 7 és 90 nap közötti értékre állíthatja be. A végleges törlés elleni védelem adatmegőrzési szabályzata ugyanazt az időközt használja. A megőrzési szabályzat beállítása után nem módosíthatja azt.
A helyreállíthatóan törölt HSM-erőforrás nevét csak akkor használhatja újra, ha a megőrzési időszak véget ér, és a HSM-erőforrás törlődik (véglegesen törlődik).
Végleges törlés elleni védelem
A végleges törlés elleni védelem nem kötelező viselkedés. Alapértelmezés szerint nincs engedélyezve. Ezt az Azure CLI vagy a PowerShell használatával kapcsolhatja be.
Ha a törlés elleni védelem be van kapcsolva, a törölt állapotban lévő HSM-et vagy kulcsot nem lehet törölni a megőrzési időszak végéig. A helyreállíthatóan törölt HSM-eket és kulcsokat továbbra is helyreállíthatja, így biztosítható, hogy a megőrzési szabályzat érvényben legyen.
Az alapértelmezett megőrzési időtartam 90 nap. A megőrzési szabályzat időközét 7 és 90 nap közötti értékre állíthatja be a HSM létrehozásakor. A megőrzési szabályzat időköze csak HSM létrehozásakor állítható be. Ez később nem módosítható.
Lásd : Felügyelt HSM helyreállítható törlés használata parancssori felülettel vagy Felügyelt HSM helyreállítható törlés használata a PowerShell-lel.
Felügyelt HSM-helyreállítás
Ha töröl egy HSM-et, a szolgáltatás létrehoz egy proxyerőforrást az előfizetésben, és elegendő metaadatot ad hozzá a helyreállítás engedélyezéséhez. A proxyerőforrás egy tárolt objektum. A törölt HSM-ével azonos helyen érhető el.
Kulcs helyreállítása
A kulcs törlésekor a szolgáltatás törölt állapotba helyezi azt, így az nem érhető el minden művelethez. Ebben az állapotban a kulcsok listázhatók, helyreállíthatók vagy törölhetők. Az objektumok megtekintéséhez használja az Azure CLI-parancsot az keyvault key list-deleted (a Felügyelt HSM helyreállítható törlés és törlés elleni védelem parancssori felülettel) vagy a Azure PowerShell -InRemovedState paramétert (a Felügyelt HSM helyreállítható törlés és törlés elleni védelem a PowerShell-lel című cikkben leírtak szerint).
A kulcs törlésekor a felügyelt HSM előre meghatározott megőrzési időköz után ütemezi a törölt HSM-nek vagy kulcsnak megfelelő mögöttes adatok törlését. A HSM-nek megfelelő DNS-rekord is megmarad a megőrzési időköz alatt.
Helyreállítható törlési megőrzési időtartam
A helyreállíthatóan törölt erőforrásokat a rendszer meghatározott ideig, 90 napig őrzi meg. A helyreállítható törlés megőrzési időköze alatt a következő feltételek érvényesek:
- Az előfizetés helyreállítható törlési állapotában lévő összes HSM-et és kulcsot listázhatja. A törlési és helyreállítási adatokhoz is hozzáférhet.
- A törölt HSM-eket csak a felügyelt HSM-közreműködő szerepkörrel rendelkező felhasználók listázhatják. Javasoljuk, hogy hozzon létre egy egyéni szerepkört ezekkel az engedélyekkel a törölt tárolók kezeléséhez.
- A felügyelt HSM-neveknek egyedinek kell lenniük egy adott helyen. Kulcs létrehozásakor nem használhat nevet, ha a HSM törölt állapotban tartalmaz egy ilyen nevű kulcsot.
- A felügyelt HSM-közreműködői szerepkörrel rendelkező felhasználók csak a felügyelt HSM-eket listázhatják, tekinthetik meg, állíthatják helyre és törölhetik.
- Csak a felügyelt HSM crypto officer szerepkörrel rendelkező felhasználók listázhatják, tekinthetik meg, állíthatják helyre és üríthetik ki a kulcsokat.
Ha nem állít helyre egy felügyelt HSM-et vagy kulcsot, a megőrzési időköz végén a szolgáltatás törli a helyreállíthatóan törölt HSM-et vagy kulcsot. Nem ütemezheti át az erőforrások törlését.
A számlázás következményei
A felügyelt HSM egy bérlős szolgáltatás. Felügyelt HSM létrehozásakor a szolgáltatás fenntartja a HSM számára lefoglalt mögöttes erőforrásokat. Ezek az erőforrások akkor is lefoglalva maradnak, ha a HSM törölt állapotban van. A rendszer a HSM-et fogja kiszámlázni, amíg az törölt állapotban van.
Következő lépések
Ezek a cikkek a helyreállítható törlés használatának fő forgatókönyveit ismertetik:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: