Sekilas tentang Penghapusan Sementara di Azure Key Vault
Penting
Jika brankas kunci tidak mengaktifkan perlindungan penghapusan sementara, menghapus kunci akan menghapusnya secara permanen. Pelanggan sangat dianjurkan untuk mengaktifkan penegakan penghapusan sementara untuk vault mereka melalui Azure Policy.
Penting
Jika Key Vault dihapus sementara, layanan yang terintegrasi dengan Key Vault akan dihapus. Misalnya: Penetapan peran Azure RBAC dan langganan Event Grid. Memulihkan Key Vault yang dihapus sementara tidak akan memulihkan layanan ini. Layanan perlu dibuat kembali.
Fitur soft-delete Key Vault memungkinkan pemulihan vault yang dihapus dan objek key vault yang dihapus (misalnya, kunci, rahasia, sertifikat), yang dikenal sebagai soft-delete. Secara khusus, kami menjawab skenario berikut: Pengamanan ini menawarkan perlindungan berikut:
- Setelah rahasia, kunci, sertifikat, atau brankas kunci dihapus, itu tetap dapat dipulihkan untuk periode yang dapat dikonfigurasi 7 hingga 90 hari kalender. Jika tidak ada konfigurasi yang ditentukan, periode pemulihan default diatur ke 90 hari untuk memberi pengguna waktu yang memadai untuk melihat penghapusan dan respons rahasia yang tidak disengaja.
- Dua operasi harus dilakukan untuk menghapus rahasia secara permanen. Pertama pengguna harus menghapus objek, yang memasukkannya ke dalam status dihapus sementara. Kedua, pengguna harus membersihkan objek yang dalam status dihapus sementara. Perlindungan ini mengurangi risiko pengguna secara tidak sengaja atau berbahaya menghapus rahasia atau brankas kunci.
- Untuk menghapus menyeluruh rahasia, kunci, sertifikat dalam status dihapus sementara, prinsip keamanan harus diberikan izin operasi "hapus menyeluruh" (dengan peran bawaan Key Vault"Operator Penghapusan Key Vault", misalnya).
Antarmuka yang mendukung
Fitur soft-delete tersedia melalui antarmuka REST API,Azure CLI, Azure PowerShell, dan .NET/C#, serta templat ARM.
Skenario
Azure Key Vault adalah sumber daya terlacak, yang dikelola oleh Azure Resource Manager. Azure Resource Manager juga menentukan perilaku yang terdefinisi dengan baik untuk penghapusan, yang mengharuskan operasi DELETE yang sukses harus mengakibatkan sumber daya tersebut tidak dapat diakses lagi. Fitur soft-delete menjawab pemulihan objek yang dihapus, terlepas apakah penghapusan itu tidak disengaja atau disengaja.
Dalam skenario umum, pengguna secara tidak sengaja menghapus brankas kunci atau objek brankas kunci; jika brankas kunci atau objek brankas kunci tersebut dapat dipulihkan untuk periode yang telah ditentukan, pengguna dapat membatalkan penghapusan dan memulihkan data mereka.
Dalam skenario yang berbeda, pengguna nakal dapat mencoba menghapus brankas kunci atau objek brankas kunci, seperti kunci di dalam brankas, untuk menyebabkan gangguan bisnis. Memisahkan penghapusan key vault atau objek key vault dari penghapusan aktual data yang mendasarinya dapat digunakan sebagai langkah keamanan oleh, misalnya, membatasi izin penghapusan data ke peran tepercaya yang berbeda. Pendekatan ini secara efektif memerlukan kuorum untuk operasi yang mungkin mengakibatkan kehilangan data segera.
Perilaku penghapusan sementara
Saat soft-delete diaktifkan, sumber daya yang ditandai sebagai sumber daya yang dihapus akan disimpan selama periode tertentu (90 hari secara default). Layanan ini selanjutnya menyediakan mekanisme untuk memulihkan objek yang dihapus, yang pada dasarnya membatalkan penghapusan.
Saat membuat key vault baru, soft-delete menyala secara default. Setelah penghapusan sementara diaktifkan pada brankas kunci, itu tidak dapat dinonaktifkan.
Interval kebijakan penyimpanan hanya dapat dikonfigurasi selama pembuatan brankas kunci dan tidak dapat diubah setelahnya. Anda dapat mengaturnya di mana saja dari 7 hingga 90 hari, dengan 90 hari menjadi default. Interval yang sama berlaku untuk penghapusan sementara dan kebijakan penyimpanan perlindungan penghapusan menyeluruh.
Anda tidak dapat menggunakan kembali nama brankas kunci yang dihapus sementara, hingga periode retensi berakhir.
Perlindungan penghapusan menyeluruh
Perlindungan purge (penghapusan menyeluruh) adalah perilaku Key Vault opsional dan tidak diaktifkan secara default. Perlindungan penghapusan menyeluruh hanya dapat diaktifkan setelah penghapusan sementara diaktifkan. Perlu perlindungan penghapusan menyeluruh saat menggunakan kunci pada enkripsi untuk mencegah kehilangan data. Sebagian besar layanan Azure yang terintegrasi dengan Azure Key Vault, seperti Storage, memerlukan perlindungan penghapusan menyeluruh untuk mencegah kehilangan data.
Saat perlindungan penghapusan menyeluruh aktif, brankas atau objek dalam status dihapus tidak dapat dihapus menyeluruh hingga periode retensi berlalu. Vault dan objek yang dihapus sementara masih dapat dipulihkan, memastikan bahwa kebijakan penyimpanan diikuti.
Periode retensi default adalah 90 hari, tetapi dimungkinkan untuk mengatur interval kebijakan penyimpanan ke nilai dari 7 hingga 90 hari hingga portal Azure. Setelah interval kebijakan penyimpanan diatur dan disimpan, interval kebijakan tersebut tidak dapat diubah untuk vault tersebut.
Perlindungan Penghapusan Menyeluruh dapat diaktifkan melalui CLI, PowerShell, atau Portal.
Penghapusan menyeluruh yang diizinkan
Menghapus, menghapus secara menyeluruh, sebuah key vault secara permanen dimungkinkan melalui operasi POST pada sumber daya proxy dan memerlukan hak istimewa. Secara umum, hanya pemilik langganan atau pengguna dengan peran RBAC "Operator Penghapusan Menyeluruh Key Vault" yang dapat menghapus menyeluruh brankas kunci. Operasi POST memicu penghapusan vault itu dengan segera dan tidak dapat dipulihkan.
Pengecualian adalah:
- Saat langganan Azure ditandai sebagai tidak dapat dibatalkan. Dalam hal ini, hanya layanan yang kemudian dapat melakukan penghapusan aktual, dan melakukannya sebagai proses terjadwal.
- Ketika argumen
--enable-purge-protection
diaktifkan pada kubah itu sendiri. Dalam hal ini, Key Vault akan menunggu selama 7 hingga 90 hari sejak objek rahasia asli ditandai untuk dihapus untuk menghapus objek secara permanen.
Untuk langkah-langkah, lihat Cara menggunakan soft-delete Key Vault dengan CLI: Menghapus key vault secara menyeluruh atau Cara menggunakan soft-delete Key Vault dengan PowerShell: Menghapus key vault secara menyeluruh.
Pemulihan key vault
Saat brankas kunci dihapus, layanan membuat sumber daya proksi di bawah langganan, menambahkan metadata yang memadai untuk pemulihan. Sumber daya proksi adalah objek yang disimpan, tersedia di lokasi yang sama dengan key vault yang dihapus.
Pemulihan objek key vault
Ketika objek brankas kunci, seperti kunci, dihapus, layanan menempatkan objek dalam status dihapus, membuatnya tidak dapat diakses oleh operasi pengambilan apa pun. Sementara dalam keadaan ini, objek key vault hanya dapat dicantumkan, dipulihkan, atau dihapus secara paksa/permanen. Untuk melihat objek, gunakan perintah Azure CLI az keyvault key list-deleted
(seperti yang didokumentasikan dalam Cara menggunakan penghapusan sementara Key Vault dengan CLI), atau parameter Azure PowerShell Get-AzKeyVault -InRemovedState
(seperti yang dijelaskan dalam Cara menggunakan penghapusan sementara Key Vault dengan PowerShell).
Pada saat yang sama, Key Vault akan menjadwalkan penghapusan data yang mendasari sesuai dengan key vault atau objek key vault yang dihapus untuk dieksekusi setelah interval penyimpanan yang telah ditentukan sebelumnya. Catatan DNS yang sesuai dengan vault juga dipertahankan selama interval retensi.
Periode penyimpanan soft-delete
Sumber daya yang dihapus sementara disimpan selama jangka waktu yang ditetapkan, 90 hari. Selama interval penyimpanan soft-delete, hal berikut ini berlaku:
- Anda dapat mencantumkan semua brankas kunci dan objek brankas kunci dalam status penghapusan sementara untuk langganan Anda serta informasi penghapusan dan pemulihan akses tentangnya.
- Hanya pengguna dengan izin khusus yang dapat mencantumkan vault yang dihapus. Kami menyarankan agar pengguna kami membuat peran khusus dengan izin khusus ini untuk menangani vault yang dihapus.
- Brankas kunci dengan nama yang sama tidak dapat dibuat di lokasi yang sama; secara sesuai, objek brankas kunci tidak dapat dibuat dalam vault tertentu jika brankas kunci tersebut berisi objek dengan nama yang sama dan yang dalam status dihapus.
- Hanya pengguna dengan hak istimewa khusus yang dapat memulihkan brankas kunci atau objek brankas kunci dengan mengeluarkan perintah pemulihan pada sumber daya proksi yang sesuai.
- Pengguna, anggota peran kustom, yang memiliki hak istimewa untuk membuat key vault di bawah grup sumber daya yang dapat memulihkan vault.
- Hanya pengguna istimewa khusus yang dapat menghapus secara paksa brankas kunci atau objek brankas kunci dengan mengeluarkan perintah hapus pada sumber daya proksi yang sesuai.
Kecuali jika key vault atau objek key vault dipulihkan, di akhir interval penyimpanan, layanan akan melakukan penghapusan menyeluruh key vault atau objek key vault yang dihapus sementara beserta kontennya. Penghapusan sumber daya tidak dapat dijadwalkan ulang.
Implikasi penagihan
Secara umum, ketika objek (key vault atau kunci atau rahasia) dalam keadaan dihapus, hanya ada dua operasi yang mungkin: ‘purge’ (hapus menyeluruh) dan 'recover’ (pulihkan). Semua operasi lainnya akan gagal. Oleh karena itu, meskipun objeknya ada, tidak ada operasi yang dapat dilakukan dan karenanya tidak ada penggunaan yang akan terjadi, jadi tidak ada tagihan. Namun ada pengecualian berikut:
- Tindakan 'purge' dan 'recover' akan diperhitungkan dalam operasi key vault normal dan akan ditagih.
- Jika objeknya adalah HSM-key, biaya 'HSM Protected key' per versi kunci per bulan akan berlaku jika versi kunci telah digunakan dalam 30 hari terakhir. Setelah itu, karena objek dalam keadaan dihapus tidak ada operasi yang dapat dilakukan terhadapnya, sehingga tidak ada biaya yang akan berlaku.
Langkah berikutnya
Tiga panduan berikut ini menawarkan beberapa skenario penggunaan utama dalam penggunaan penghapusan sementara.