Penghapusan sementara dan perlindungan penghapusan menyeluruh HSM Terkelola
Artikel ini menjelaskan dua fitur pemulihan HSM Terkelola: penghapusan sementara dan perlindungan penghapusan menyeluruh. Ini menyediakan gambaran umum fitur-fitur ini, dan menunjukkan cara mengelolanya menggunakan Azure CLI dan Azure PowerShell.
Untuk informasi selengkapnya, lihat Gambaran umum HSM Terkelola.
Prasyarat
Langganan Azure. Buat akun gratis.
Azure CLI 2.25.0 atau yang lebih baru. Jalankan
az --version
untuk menentukan versi mana yang Anda miliki. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.HSM terkelola. Anda dapat membuatnya menggunakan Azure CLI atau Azure PowerShell.
Pengguna akan memerlukan izin berikut untuk melakukan operasi pada HSM atau kunci yang dihapus sementara:
Penetapan peran Deskripsi Kontributor HSM Terkelola Mencantumkan, memulihkan, dan menghapus menyeluruh HSM yang dihapus sementara Pengguna Kripto HSM Terkelola Mencantumkan kunci yang dihapus sementara Petugas Kripto HSM Terkelola Menghapus menyeluruh dan memulihkan kunci yang dihapus sementara
Apa itu penghapusan sementara dan perlindungan penghapusan menyeluruh?
Penghapusan sementara dan perlindungan penghapusan menyeluruh adalah fitur pemulihan.
Penghapusan sementara dirancang untuk mencegah penghapusan HSM dan kunci Anda secara tidak sengaja. Penghapusan sementara bekerja seperti keranjang sampah. Saat Anda menghapus HSM atau kunci, item tersebut akan tetap dapat dipulihkan selama periode retensi yang dikonfigurasi pengguna atau selama periode default 90 hari. HSM dan kunci dalam status dihapus sementara juga dapat dihapus menyeluruh, yang berarti telah dihapus secara permanen. Penghapusan menyeluruh memungkinkan Anda untuk membuat ulang HSM dan kunci dengan nama yang sama dengan item yang dihapus menyeluruh. Pemulihan dan penghapusan HSM dan kunci memerlukan tugas peran tertentu. Penghapusan sementara tidak dapat dinonaktifkan.
Catatan
Karena sumber daya yang mendasarinya tetap dialokasikan untuk HSM Anda bahkan ketika berada dalam keadaan dihapus, sumber daya HSM akan terus dikenai biaya per jam saat berada dalam keadaan tersebut.
Nama HSM yang dikelola secara global unik di setiap lingkungan cloud. Sehingga Anda tidak dapat membuat HSM terkelola dengan nama yang sama dengan yang ada dalam keadaan terhapus sementara. Demikian pula, nama-nama kunci unik dalam HSM. Sehingga Anda tidak dapat membuat kunci dengan nama yang sama dengan yang ada dalam keadaan terhapus sementara.
Untuk informasi selengkapnya, lihat Gambaran umum penghapusan sementara HSM Terkelola.
Perlindungan penghapusan menyeluruh dirancang untuk mencegah penghapusan HSM dan kunci Anda oleh orang dalam yang berbahaya. Ini seperti keranjang sampah dengan kunci berbasis waktu. Anda dapat memulihkan item kapan saja selama periode retensi yang dapat dikonfigurasi. Anda tidak akan dapat menghapus secara permanen atau menghapus menyeluruh HSM atau kunci hingga periode retensi berakhir. Ketika periode retensi berakhir, HSM atau kunci akan dihapus menyeluruh secara otomatis.
Catatan
Tidak ada peran atau izin administrator yang dapat mengambil alih, menonaktifkan, atau menghindari perlindungan penghapusan menyeluruh. Jika perlindungan penghapusan menyeluruh diaktifkan, perlindungan tidak dapat dinonaktifkan atau diambil alih oleh siapa pun, termasuk Microsoft. Jadi Anda harus memulihkan HSM yang dihapus atau menunggu periode retensi berakhir sebelum Anda dapat menggunakan kembali nama HSM.
Mengelola kunci dan HSM terkelola
HSM Terkelola (CLI)
Untuk memeriksa status penghapusan sementara dan perlindungan penghapusan menyeluruh untuk HSM terkelola:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
Untuk menghapus HSM:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
Tindakan ini dapat dipulihkan karena penghapusan sementara aktif secara default.
Untuk mencantumkan semua HSM yang dihapus sementara:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
Untuk memulihkan HSM yang dihapus sementara:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
Untuk menghapus menyeluruh HSM yang dihapus sementara:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
Peringatan
Operasi ini akan menghapus HSM Anda secara permanen.
Untuk mengaktifkan perlindungan penghapusan menyeluruh pada HSM:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
Kunci (CLI)
Untuk menghapus kunci:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Untuk mencantumkan kunci yang dihapus:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
Untuk memulihkan kunci yang dihapus:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Untuk menghapus menyeluruh kunci yang dihapus sementara:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Peringatan
Operasi ini akan menghapus kunci Anda secara permanen.