Cadangan dan pemulihan Azure Key Vault
Dokumen ini memperlihatkan kepada Anda cara mencadangkan rahasia, kunci, dan sertifikat yang tersimpan di brankas kunci Anda. Cadangan dimaksudkan untuk memberi Anda salinan offline dari semua rahasia Anda jika Anda kehilangan akses ke brankas kunci Anda.
Gambaran Umum
Azure Key Vault secara otomatis menyediakan fitur untuk membantu Anda mempertahankan ketersediaan dan mencegah kehilangan data. Cadangkan rahasia hanya jika Anda memiliki pembenaran bisnis yang kritis. Mencadangkan rahasia di kubah utama Anda dapat memperkenalkan tantangan operasional seperti memelihara beberapa set log, izin, dan cadangan saat rahasia kedaluwarsa atau berputar.
Vault Utama mempertahankan ketersediaan dalam skenario bencana dan secara otomatis akan gagal atas permintaan ke wilayah yang dipasangkan tanpa intervensi dari pengguna. Untuk informasi selengkapnya, lihat Ketersediaan dan redundansi Azure Key Vault.
Jika Anda menginginkan perlindungan terhadap penghapusan rahasia Anda yang tidak disengaja atau berbahaya, konfigurasikan fitur perlindungan penghapusan lunak dan pembersihan pada brankas kunci Anda. Untuk informasi selengkapnya, lihat Gambaran umum penghapusan lunak Azure Key Vault.
Batasan
Penting
Vault Kunci tidak mendukung kemampuan untuk mencadangkan lebih dari 500 versi sebelumnya dari objek kunci, rahasia, atau sertifikat. Coba mencadangkan kunci, rahasia, atau obyek sertifikat bisa timbul galat. Tidak dimungkinkan untuk menghapus versi sebelumnya dari kunci, rahasia, atau sertifikat.
Key Vault saat ini tidak menyediakan cara untuk mencadangkan seluruh brankas kunci dalam satu operasi dan kunci, rahasia dan sertitifikat harus dicadangkan secara terhitung.
Pertimbangkan juga masalah berikut:
- Mencadangkan rahasia yang memiliki beberapa versi dapat menyebabkan kesalahan waktu habis.
- Cadangan membuat snapshot point-in-time. Rahasia mungkin diperpanjang selama pencadangan, menyebabkan ketidakcocokan kunci enkripsi.
- Jika Anda melebihi batas layanan kubah utama untuk permintaan per detik, brankas kunci Anda akan dicekik, dan cadangan akan gagal.
Pertimbangan Desain
Ketika Anda mencadangkan objek brankas kunci, seperti rahasia, kunci, atau sertifikat, operasi pencadangan akan mengunduh objek sebagai gumpalan terenkripsi. Gumpalan ini tidak dapat didekripsi di luar Azure. Untuk mendapatkan data yang dapat digunakan dari gumpalan ini, Anda harus memulihkan gumpalan ke dalam brankas kunci dalam langganan Azure yang sama dan geografi Azure.
Prasyarat
Untuk mencadangkan objek brankas kunci, Anda harus memiliki:
- Izin tingkat kontributor atau yang lebih tinggi pada langganan Azure.
- Brankas kunci utama yang berisi rahasia yang ingin Anda cadangkan.
- Brankas kunci sekunder di mana rahasia akan dipulihkan.
Mencadangkan dan memulihkan dari portal Microsoft Azure
Ikuti langkah-langkah di bagian ini untuk mencadangkan dan memulihkan objek dengan menggunakan portal Microsoft Azure.
cadangkan
Buka portal Microsoft Azure.
Pilih brankas kunci Anda.
Buka objek (rahasia, kunci, atau sertifikat) yang ingin Anda cadangkan.
Pilih objek.
Pilih Unduh Microsoft Azure Backup.
Pilih Unduh.
Simpan blob terenkripsi di lokasi yang aman.
Pulihkan
Buka portal Microsoft Azure.
Pilih brankas kunci Anda.
Buka tipe objek (rahasia, kunci, atau sertifikat) yang ingin Anda pulihkan.
Pilih Pulihkan Microsoft Azure Backup.
Buka lokasi tempat Anda menyimpan blob terenkripsi.
Pilih OK.
Mencadangkan dan memulihkan dari Azure CLI atau Azure PowerShell
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}