Manajemen pemulihan Azure Key Vault dengan perlindungan penghapusan sementara dan menyeluruh

Artikel ini mencakup dua fitur pemulihan Azure Key Vault, perlindungan penghapusan sementara, dan menyeluruh. Dokumen ini menyediakan gambaran umum fitur-fitur ini, dan memperlihatkan kepada Anda cara mengelolanya melalui portal Microsoft Azure, Azure CLI, dan Azure PowerShell.

Untuk informasi selengkapnya tentang Key Vault dan rahasia, lihat

• Gambaran Umum Key Vault
• Gambaran umum kunci, rahasia, dan sertifikat Azure Key Vault

Prasyarat

• Langganan Azure - buat satu secara gratis

• Azure PowerShell.

• Azure CLI

• Key Vault - Anda dapat membuatnya menggunakan portal Microsoft AzureAzure CLI, atau Azure PowerShell

• Pengguna akan memerlukan izin berikut (pada tingkat langganan) untuk melakukan operasi pada vault yang dihapus sementara:

  Izin	Deskripsi
  Microsoft.KeyVault/locations/deletedVaults/read	Lihat properti brankas kunci yang dihapus sementara
  Microsoft.KeyVault/locations/deletedVaults/purge/action	Hapus menyeluruh brankas kunci yang dihapus sementara
  Microsoft.KeyVault/locations/operationResults/read	Untuk memeriksa status pembersihan vault
  Kontributor Key Vault	Untuk memulihkan vault yang dihapus sementara

Apa itu perlindungan penghapusan sementara dan menyeluruh

perlindungan Penghapusan sementara dan menyeluruh adalah dua fitur pemulihan brankas kunci yang berbeda.

Penghapusan sementara dirancang untuk mencegah penghapusan yang tidak disengaja dari brankas serta kunci, rahasia, dan sertifikat yang disimpan di dalam brankas kunci. Bayangkan penghapusan sementara seperti keranjang sampah. Saat Anda menghapus brankas kunci atau objek brankas kunci, benda tersebut akan tetap dapat dipulihkan untuk periode retensi yang dikonfigurasi pengguna atau secara default 90 hari. Brankas kunci dalam status dihapus sementara juga dapat dihapus menyeluruh yang berarti telah dihapus secara permanen. Ini memungkinkan Anda membuat ulang brankas kunci dan objek brankas kunci dengan nama yang sama. Memulihkan dan menghapus brankas dan objek memerlukan izin kebijakan akses yang ditingkatkan. Setelah penghapusan sementara diaktifkan, penghapusan tidak dapat dinonaktifkan.

Penting

Anda harus segera mengaktifkan soft-delete pada key vault Anda. Kemampuan untuk tolak penghapusan sementara tidak digunakan lagi dan akan dihapus pada Februari 2025. Lihat detail selengkapnya di sini

Perlu diingat bahwa nama brankas kunci berupa unik secara global, sehingga Anda tidak akan dapat membuat brankas kunci dengan nama yang sama dengan brankaskunci dalam keadaan dihapus sementara. Demikian pula, nama kunci, rahasia, dan sertifikat unik dalam brankas kunci. Anda tidak akan dapat membuat rahasia, kunci, atau sertifikat dengan nama yang sama dengan yang lain dalam status dihapus sementara.

Perlindungan penghapusan menyeluruh dirancang untuk mencegah penghapusan brankas kunci, kunci, rahasia, dan sertifikat Anda oleh orang dalam yang berbahaya. Anggap ini sebagai keranjang sampah dengan kunci berbasis waktu. Anda dapat memulihkan item kapan saja selama periode retensi yang dapat dikonfigurasi. Anda tidak akan dapat menghapus secara permanen atau menghapus menyeluruh brankas kunci hingga periode retensi berlalu. Setelah periode retensi berlalu, brankas kunci atau objek brankas kunci akan dihapus menyeluruh secara otomatis.

Catatan

Perlindungan penghapusan menyeluruh dirancang agar tidak ada peran atau izin administrator yang dapat mengambil alih, menonaktifkan, atau menghindari perlindungan penghapusan menyeluruh. Setelah perlindungan penghapusan diaktifkan, perlindungan tidak dapat dinonaktifkan atau ditimpa oleh siapa pun termasuk Microsoft. Ini berarti Anda harus memulihkan brankas kunci yang dihapus atau menunggu periode retensi berlalu sebelum menggunakan kembali nama brankas.

Untuk informasi selengkapnya tentang penghapusan sementara, lihat Gambaran umum penghapusan sementara Azure Key Vault

portal Microsoft Azure

Verifikasi jika penghapusan sementara diaktifkan pada brankas kunci dan aktifkan penghapusan sementara

1. Masuk ke portal Microsoft Azure.
2. Pilih brankas kunci Anda.
3. Klik blade "Properti".
4. Verifikasi jika tombol radio di samping penghapusan sementara diatur ke "Aktifkan Pemulihan".
5. Jika penghapusan sementara tidak diaktifkan pada brankas kunci, klik tombol radio untuk mengaktifkan penghapusan sementara dan klik "Simpan".

Memberikan akses ke perwakilan layanan untuk menghapus menyeluruh dan memulihkan rahasia yang dihapus

1. Masuk ke portal Microsoft Azure.
2. Pilih brankas kunci Anda.
3. Klik pada blade "Kebijakan Akses".
4. Dalam tabel, temukan baris keamanan utama yang ingin Anda berikan akses (atau tambahkan keamanan utama baru).
5. Klik menu opsi untuk kunci, sertifikat, dan rahasia.
6. Turun ke bagian bawah menu opsi dan klik "Pulihkan" dan "Hapus menyeluruh"
7. Perwakilan keamanan juga perlu fungsionalitas dapatkan dan daftar untuk melakukan sebagian besar operasi.

Daftar, pulihkan, atau hapus menyeluruh brankas kunci yang dihapus sementara

1. Masuk ke portal Microsoft Azure.
2. Klik bar pencarian di bagian atas halaman.
3. Cari layanan "Key Vault". Jangan klik brankas kunci individual.
4. Di bagian atas layar klik opsi untuk "Mengelola vault yang dihapus"
5. Panel konteks akan terbuka di sisi kanan layar Anda.
6. Pilih langganan Anda.
7. Jika brankas kunci Anda telah dihapus sementara, brankas tersebut akan muncul di panel konteks di sebelah kanan.
8. Jika ada terlalu banyak brankas, Anda dapat mengklik "Muat Lainnya" di bagian bawah panel konteks atau gunakan CLI atau PowerShell untuk mendapatkan hasilnya.
9. Setelah menemukan brankas, Anda ingin memulihkan atau menghapus menyeluruh, pilih kotak centang di sebelahnya.
10. Pilih opsi pulihkan di bagian bawah panel konteks jika Anda ingin memulihkan brankas kunci.
11. Pilih opsi hapus menyeluruh jika Anda ingin menghapus brankas kunci secara permanen.

Daftar, pulihkan, atau hapus menyeluruh rahasia, kunci, dan sertifikat yang dihapus sementara

1. Masuk ke portal Microsoft Azure.
2. Pilih brankas kunci Anda.
3. Pilih blade yang sesuai dengan jenis rahasia yang ingin Anda kelola (kunci, rahasia, atau sertifikat).
4. Di bagian atas layar, klik "Kelola yang dihapus (kunci, rahasia, atau sertifikat)
5. Panel konteks akan terbuka di sisi kanan layar Anda.
6. Jika rahasia, kunci, atau sertifikat Anda tidak muncul dalam daftar, mereka tidak dalam status dihapus sementara.
7. Pilih rahasia, kunci, atau sertifikat yang ingin Anda kelola.
8. Pilih opsi untuk memulihkan atau menghapus menyeluruh di bagian bawah panel konteks.

Azure CLI

Key Vault (CLI)

• Verifikasi apakah penghapusan sementara brankas-kunci diaktifkan

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Aktifkan penghapusan sementara pada brankas-vault

  Semua brankas kunci baru memiliki penghapusan sementara yang diaktifkan secara default. Jika saat ini Anda memiliki brankas kunci yang tidak mengaktifkan penghapusan sementara, gunakan perintah berikut untuk mengaktifkan penghapusan sementara.

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
  

• Hapus brankas kunci (dapat dipulihkan jika penghapusan sementara diaktifkan)

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Daftar semua brankas kunci yang dihapus sementara

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault
  

• Pulihkan Key Vault yang Dihapus Sementara

  az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Hapus menyeluruh brankas kunci yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS BRANKAS KUNCI ANDA SECARA PERMANEN)

  az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Aktifkan perlindungan penghapusan menyeluruh pada brankas-kunci

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
  

Sertifikat (CLI)

• Memberikan akses untuk menghapus menyeluruh dan memulihkan sertifikat

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge
  

• Hapus Sertifikat

  az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Mendaftarkan sertifikat yang dihapus

  az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Memulihkan sertifikat yang dihapus

  az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Hapus menyeluruh sertifikat yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS SERTIFIKAT ANDA SECARA PERMANEN)

  az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

Kunci (CLI)

• Memberikan akses untuk menghapus menyeluruh dan memulihkan kunci

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge
  

• Hapus kunci

  az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Mendaftarkan kunci yang dihapus

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Memulihkan kunci yang dihapus

  az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Hapus menyeluruh kunci yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS KUNCI ANDA SECARA PERMANEN)

  az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

Rahasia (CLI)

• Memberikan akses untuk menghapus menyeluruh dan memulihkan kunci

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge
  

• Hapus rahasia

  az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Mendaftarkan rahasia yang dihapus

  az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Memulihkan rahasia yang dihapus

  az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Hapus menyeluruh rahasia yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS RAHASIA ANDA SECARA PERMANEN)

  az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

Azure PowerShell

Key Vault (PowerShell)

• Verifikasi apakah penghapusan sementara brankas-kunci diaktifkan

  Get-AzKeyVault -VaultName "ContosoVault"
  

• Hapus brankas kunci

  Remove-AzKeyVault -VaultName 'ContosoVault'
  

• Daftar semua brankas kunci yang dihapus sementara

  Get-AzKeyVault -InRemovedState
  

• Pulihkan Key Vault yang Dihapus Sementara

  Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus
  

• Hapus menyeluruh brankas-kunci yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS BRANKAS KUNCI ANDA SECARA PERMANEN)

  Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
  

• Aktifkan perlindungan penghapusan menyeluruh pada brankas-kunci

  Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection
  

Sertifikat (PowerShell)

• Memberikan izin untuk memulihkan dan mengapus menyeluruh sertifikat

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge
  

• Menghapus sertifikat

  Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'
  

• Mendaftarkan semua sertifikat yang dihapus dalam brankas kunci

  Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
  

• Memulihkan sertifikat dalam status dihapus

  Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'
  

• Hapus menyeluruh sertifikat yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS SERTIFIKAT ANDA SECARA PERMANEN)

  Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
  

Kunci (PowerShell)

• Memberikan izin untuk memulihkan dan menghapus menyeluruh sertifikat

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge
  

• Menghapus kunci

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'
  

• Mendaftarkan semua kunci yang dihapus di brankas kunci

  Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
  

• Untuk memulihkan ruang kerja yang dihapus sementara

  Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey
  

• Hapus menyeluruh kunci yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS KUNCI ANDA SECARA PERMANEN)

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
  

Rahasia (PowerShell)

• Memberikan izin untuk memulihkan dan menghapus menyeluruh sertifikat

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge
  

• Menghapus rahasia bernama SQLPassword

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword
  

• Mendaftarkan semua rahasia yang dihapus dalam brankas kunci

  Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
  

• Memulihkan rahasia dalam status dihapus

  Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword
  

• Hapus menyeluruh rahasia yang dihapus sementara (PERINGATAN! OPERASI INI AKAN MENGHAPUS RAHASIA ANDA SECARA PERMANEN)

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
  

Langkah berikutnya

• Cmdlet PowerShell Azure Key Vault
• Perintah Azure CLI Key Vault
• Pencadangan Azure Key Vault
• Cara mengaktifkan pembuatan log Key Vault
• Fitur keamanan Azure Key Vault
• Panduan pengembang Azure Key Vault