Sekilas tentang Penghapusan Sementara di Azure Key Vault

Penting

Anda harus segera mengaktifkan soft-delete pada key vault Anda. Kemampuan untuk tolak penghapusan sementara tidak digunakan lagi dan akan dihapus pada Februari 2025. Lihat detail selengkapnya di sini

Penting

Jika Key Vault dihapus sementara, layanan yang terintegrasi dengan Key Vault akan dihapus. Misalnya: Penetapan peran Azure RBAC dan langganan Event Grid. Memulihkan Key Vault yang dihapus sementara tidak akan memulihkan layanan ini. Layanan perlu dibuat kembali.

Fitur soft-delete Key Vault memungkinkan pemulihan vault yang dihapus dan objek key vault yang dihapus (misalnya, kunci, rahasia, sertifikat), yang dikenal sebagai soft-delete. Secara khusus, kami menjawab skenario berikut: Pengamanan ini menawarkan perlindungan berikut:

• Setelah rahasia, kunci, sertifikat, atau key vault dihapus, semuanya tetap dapat dipulihkan dalam periode yang dapat dikonfigurasi selama 7 hingga 90 hari kalender. Jika tidak ada konfigurasi yang ditentukan, periode pemulihan default akan diatur ke 90 hari. Ini memberi pengguna cukup waktu untuk melihat penghapusan rahasia yang tidak disengaja dan menanggapinya.
• Dua operasi harus dilakukan untuk menghapus rahasia secara permanen. Pertama pengguna harus menghapus objek, yang memasukkannya ke dalam status dihapus sementara. Kedua, pengguna harus membersihkan objek yang dalam status dihapus sementara. Perlindungan tambahan ini mengurangi risiko pengguna secara tidak sengaja atau dengan jahat menghapus rahasia atau key vault.
• Untuk menghapus menyeluruh rahasia, kunci, sertifikat dalam status dihapus sementara, prinsip keamanan harus diberikan izin operasi "hapus menyeluruh".

Antarmuka yang mendukung

Fitur soft-delete tersedia melalui antarmuka REST API,Azure CLI, Azure PowerShell, dan .NET/C#, serta templat ARM.

Skenario

Azure Key Vault adalah sumber daya terlacak, yang dikelola oleh Azure Resource Manager. Azure Resource Manager juga menentukan perilaku yang terdefinisi dengan baik untuk penghapusan, yang mengharuskan operasi DELETE yang sukses harus mengakibatkan sumber daya tersebut tidak dapat diakses lagi. Fitur soft-delete menjawab pemulihan objek yang dihapus, terlepas apakah penghapusan itu tidak disengaja atau disengaja.

1. Dalam skenario umum, pengguna dapat secara tidak sengaja menghapus brankas kunci atau objek brankas kunci; jika brankas kunci atau objek brankas kunci tersebut dapat dipulihkan untuk periode yang telah ditentukan, pengguna dapat membatalkan penghapusan dan memulihkan data mereka.

2. Dalam skenario yang berbeda, pengguna nakal dapat mencoba menghapus brankas kunci atau objek brankas kunci, seperti kunci di dalam brankas, untuk menyebabkan gangguan bisnis. Memisahkan penghapusan key vault atau objek key vault dari penghapusan aktual data yang mendasarinya dapat digunakan sebagai langkah keamanan oleh, misalnya, membatasi izin penghapusan data ke peran tepercaya yang berbeda. Pendekatan ini secara efektif memerlukan kuorum untuk operasi yang mungkin mengakibatkan kehilangan data segera.

Perilaku penghapusan sementara

Saat soft-delete diaktifkan, sumber daya yang ditandai sebagai sumber daya yang dihapus akan disimpan selama periode tertentu (90 hari secara default). Layanan ini selanjutnya menyediakan mekanisme untuk memulihkan objek yang dihapus, yang pada dasarnya membatalkan penghapusan.

Saat membuat key vault baru, soft-delete menyala secara default. Setelah penghapusan sementara diaktifkan pada brankas kunci, penghapusan tidak dapat dinonaktifkan.

Interval kebijakan penyimpanan hanya dapat dikonfigurasi selama pembuatan brankas kunci dan tidak dapat diubah setelahnya. Anda memiliki opsi untuk mengaturnya di mana saja dari 7 hingga 90 hari, dengan 90 hari menjadi default. Interval yang sama berlaku untuk penghapusan sementara dan kebijakan penyimpanan perlindungan penghapusan menyeluruh.

Anda tidak dapat menggunakan kembali nama brankas kunci yang telah dihapus sementara hingga periode retensi berlalu.

Perlindungan penghapusan menyeluruh

Perlindungan purge (penghapusan menyeluruh) adalah perilaku Key Vault opsional dan tidak diaktifkan secara default. Perlindungan penghapusan menyeluruh hanya dapat diaktifkan setelah penghapusan sementara diaktifkan. Perlu perlindungan penghapusan menyeluruh saat menggunakan kunci pada enkripsi untuk mencegah kehilangan data. Sebagian besar layanan Azure yang terintegrasi dengan Azure Key Vault, seperti Storage, memerlukan perlindungan penghapusan menyeluruh untuk mencegah kehilangan data.

Saat perlindungan penghapusan menyeluruh aktif, vault atau objek dalam status terhapus tidak dapat dihapus menyeluruh hingga periode penyimpanan telah berlalu. Vault dan objek yang dihapus sementara masih dapat dipulihkan, memastikan bahwa kebijakan penyimpanan akan diikuti.

Periode retensi default adalah 90 hari, tetapi dimungkinkan untuk mengatur interval kebijakan penyimpanan ke nilai dari 7 hingga 90 hari hingga portal Azure. Setelah interval kebijakan penyimpanan diatur dan disimpan, interval tersebut tidak dapat diubah untuk vault tersebut.

Perlindungan Penghapusan Menyeluruh dapat diaktifkan melalui CLI, PowerShell, atau Portal.

Penghapusan menyeluruh yang diizinkan

Menghapus, menghapus secara menyeluruh, sebuah key vault secara permanen dimungkinkan melalui operasi POST pada sumber daya proxy dan memerlukan hak istimewa. Umumnya, hanya pemilik langganan yang dapat menghapus key vault secara menyeluruh. Operasi POST memicu penghapusan vault itu dengan segera dan tidak dapat dipulihkan.

Pengecualian adalah:

• Saat langganan Azure telah ditandai sebagai tidak dapat dihapus. Dalam hal ini, hanya layanan yang kemudian dapat melakukan penghapusan aktual, dan melakukannya sebagai proses terjadwal.
• Ketika argumen --enable-purge-protection diaktifkan pada kubah itu sendiri. Dalam hal ini, Key Vault akan menunggu selama 7 hingga 90 hari sejak objek rahasia asli ditandai untuk dihapus untuk menghapus objek secara permanen.

Untuk langkah-langkah, lihat Cara menggunakan soft-delete Key Vault dengan CLI: Menghapus key vault secara menyeluruh atau Cara menggunakan soft-delete Key Vault dengan PowerShell: Menghapus key vault secara menyeluruh.

Pemulihan key vault

Setelah menghapus key vault, layanan membuat sumber daya proksi di bawah langganan, menambahkan metadata yang memadai untuk pemulihan. Sumber daya proksi adalah objek yang disimpan, tersedia di lokasi yang sama dengan key vault yang dihapus.

Pemulihan objek key vault

Setelah menghapus objek key vault, seperti kunci, layanan akan menempatkan objek dalam keadaan dihapus, sehingga tidak dapat diakses oleh operasi pengambilan apa pun. Sementara dalam keadaan ini, objek key vault hanya dapat dicantumkan, dipulihkan, atau dihapus secara paksa/permanen. Untuk melihat objek, gunakan perintah Azure CLI az keyvault key list-deleted (seperti yang didokumentasikan dalam Cara menggunakan penghapusan sementara Key Vault dengan CLI), atau parameter Azure PowerShell Get-AzKeyVault -InRemovedState (seperti yang dijelaskan dalam Cara menggunakan penghapusan sementara Key Vault dengan PowerShell).

Pada saat yang sama, Key Vault akan menjadwalkan penghapusan data yang mendasari sesuai dengan key vault atau objek key vault yang dihapus untuk dieksekusi setelah interval penyimpanan yang telah ditentukan sebelumnya. Catatan DNS yang terkait dengan vault juga disimpan selama interval penyimpanan.

Periode penyimpanan soft-delete

Sumber daya yang dihapus sementara disimpan selama jangka waktu yang ditetapkan, 90 hari. Selama interval penyimpanan soft-delete, hal berikut ini berlaku:

• Anda dapat mencantumkan semua brankas kunci dan objek brankas kunci dalam status penghapusan sementara untuk langganan Anda serta informasi penghapusan dan pemulihan akses tentangnya.
  • Hanya pengguna dengan izin khusus yang dapat mencantumkan vault yang dihapus. Kami menyarankan agar pengguna kami membuat peran khusus dengan izin khusus ini untuk menangani vault yang dihapus.
• Brankas kunci dengan nama yang sama tidak dapat dibuat di lokasi yang sama; secara sesuai, objek brankas kunci tidak dapat dibuat dalam vault tertentu jika brankas kunci tersebut berisi objek dengan nama yang sama dan yang dalam status dihapus.
• Hanya pengguna dengan hak istimewa khusus yang dapat memulihkan brankas kunci atau objek brankas kunci dengan mengeluarkan perintah pemulihan pada sumber daya proksi yang sesuai.
  • Pengguna, anggota peran kustom, yang memiliki hak istimewa untuk membuat key vault di bawah grup sumber daya yang dapat memulihkan vault.
• Hanya pengguna istimewa khusus yang dapat menghapus secara paksa brankas kunci atau objek brankas kunci dengan mengeluarkan perintah hapus pada sumber daya proksi yang sesuai.

Kecuali jika key vault atau objek key vault dipulihkan, di akhir interval penyimpanan, layanan akan melakukan penghapusan menyeluruh key vault atau objek key vault yang dihapus sementara beserta kontennya. Penghapusan sumber daya tidak dapat dijadwalkan ulang.

Implikasi penagihan

Secara umum, ketika objek (key vault atau kunci atau rahasia) dalam keadaan dihapus, hanya ada dua operasi yang mungkin: ‘purge’ (hapus menyeluruh) dan 'recover’ (pulihkan). Semua operasi lainnya akan gagal. Oleh karena itu, meskipun objeknya ada, tidak ada operasi yang dapat dilakukan dan karenanya tidak ada penggunaan yang akan terjadi, jadi tidak ada tagihan. Namun ada pengecualian berikut:

• Tindakan 'purge' dan 'recover' akan diperhitungkan dalam operasi key vault normal dan akan ditagih.
• Jika objeknya adalah HSM-key, biaya 'HSM Protected key' per versi kunci per bulan akan berlaku jika versi kunci telah digunakan dalam 30 hari terakhir. Setelah itu, karena objek dalam keadaan dihapus tidak ada operasi yang dapat dilakukan terhadapnya, sehingga tidak ada biaya yang akan berlaku.

Langkah berikutnya

Tiga panduan berikut ini menawarkan beberapa skenario penggunaan utama dalam penggunaan penghapusan sementara.

• Cara menggunakan soft-delete Key Vault dengan Portal
• Cara menggunakan soft-delete Key Vault dengan PowerShell
• Cara menggunakan soft-delete Key Vault dengan CLI