Protezione dalla rimozione definitiva e dall’eliminazione temporanea del modulo di protezione hardware gestito
Questo articolo descrive due funzionalità di ripristino del modulo di protezione hardware gestito: protezione dalla rimozione definitiva e dall’eliminazione temporanea. Offre una panoramica di queste funzionalità e illustra come gestirle usando l'interfaccia della riga di comando di Azure e Azure PowerShell.
Per altre informazioni, vedere la panoramica del modulo di protezione hardware gestito.
Prerequisiti
Una sottoscrizione di Azure. Crearne una gratuitamente.
Interfaccia della riga di comando di Azure 2.25.0 o versione successiva. Eseguire
az --version
per determinare la versione in uso. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.Un HSM gestito. È possibile crearne uno usando l'interfaccia della riga di comando di Azure o Azure PowerShell.
Gli utenti dovranno disporre delle autorizzazioni seguenti per eseguire operazioni su chiavi o moduli di protezione hardware eliminati temporaneamente:
Assegnazione di ruolo Descrizione Managed HSM Contributor Elencare, ripristinare e rimuovere moduli di protezione hardware eliminati temporaneamente Managed HSM Crypto User Elencare le chiavi eliminate temporaneamente Managed HSM Crypto Officer Rimuovere e ripristinare le chiavi eliminate temporaneamente
Cosa sono la protezione dall'eliminazione temporanea e dalla rimozione definitiva?
Protezione dalla rimozione definitiva ed Eliminazione temporanea sono funzionalità di recupero.
Eliminazione temporanea è progettata per impedire l'eliminazione accidentale del modulo di protezione hardware e delle chiavi. L'eliminazione temporanea funziona come un cestino. Quando si elimina un modulo di protezione hardware o una chiave, rimarrà recuperabile per un periodo di conservazione configurabile o per un periodo predefinito di 90 giorni. I moduli di protezione hardware e le chiavi nello stato eliminato temporaneamente possono anche essere rimossi definitivamente, il che significa che vengono eliminati definitivamente. L'eliminazione consente di ricreare moduli di protezione hardware e chiavi con lo stesso nome dell'elemento eliminato. Sia il ripristino che l'eliminazione di moduli di protezione hardware e chiavi richiedono assegnazioni di ruolo specifiche. L'eliminazione temporanea non può essere disabilitata.
Nota
Poiché le risorse sottostanti rimangono allocate al modulo di protezione hardware anche quando si trova in uno stato eliminato, la risorsa HSM continuerà ad accumulare addebiti orari mentre si trova in tale stato.
I nomi del modulo di protezione hardware gestito sono globalmente univoci in ogni ambiente cloud. Non è quindi possibile creare un modulo di protezione hardware gestito con lo stesso nome di quello esistente in uno stato di eliminazione temporanea. Analogamente, i nomi delle chiavi sono univoci all'interno di un modulo di protezione hardware. Non è possibile creare una chiave con lo stesso nome di quella esistente nello stato di eliminazione temporanea.
Per altre informazioni, vedere Panoramica dell'eliminazione temporanea del modulo di protezione hardware gestito.
La Protezione dalla rimozione definitiva è progettata per impedire l'eliminazione dei moduli di protezione hardware e delle chiavi da parte di utenti malintenzionati. È come un cestino con un blocco basato sul tempo. È possibile ripristinare gli elementi in qualsiasi momento durante il periodo di conservazione configurabile. Non sarà possibile eliminare o rimuovere definitivamente un modulo di protezione hardware o una chiave fino al termine del periodo di conservazione. Al termine del periodo di conservazione, il modulo di protezione hardware o la chiave verranno eliminati automaticamente.
Nota
Nessun ruolo amministratore o autorizzazione possa eseguire l'override, disabilitare o aggirare la protezione dalla rimozione definitiva. Se la protezione dalla rimozione definitiva è abilitata, questa non può essere disabilitata o sottoposta a override, nemmeno da Microsoft. È quindi necessario recuperare un modulo di protezione hardware eliminato o attendere che il periodo di conservazione venga terminato prima di poter riutilizzare il nome del modulo di protezione hardware.
Gestire chiavi e moduli di protezione hardware gestiti
Moduli di protezione hardware gestiti (interfaccia della riga di comando)
Per controllare lo stato dell'eliminazione temporanea e della protezione dalla rimozione temporanea per un modulo di protezione hardware gestito:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
Per eliminare un modulo di protezione hardware:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
Questa azione è reversibile perché l'eliminazione temporanea è attivata per impostazione predefinita.
Per elencare tutti i moduli di protezione hardware eliminati temporaneamente:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
Per recuperare un modulo di protezione hardware eliminato temporaneamente:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
Per rimuovere definitivamente un modulo di protezione hardware eliminato temporaneamente:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
Avviso
Questa operazione eliminerà definitivamente il modulo di protezione hardware.
Per abilitare la protezione dalla rimozione definitiva in un modulo di protezione hardware:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
Chiavi (interfaccia della riga di comando)
Per eliminare una chiave:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Per elencare le chiavi eliminate:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
Per recuperare una chiave eliminata:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Per rimuovere definitivamente una chiave eliminata temporaneamente:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
Avviso
Questa operazione eliminerà definitivamente la chiave.