Gestione del ripristino di Azure Key Vault con protezione dall'eliminazione temporanea e dalla rimozione definitiva

Questo articolo illustra due funzionalità di ripristino di Azure Key Vault, protezione dall'eliminazione temporanea e la protezione dalla rimozione definitiva. Questo documento offre una panoramica di queste funzionalità e illustra come gestirle tramite il portale di Azure, l'interfaccia della riga di comando di Azure e Azure PowerShell.

Per altre informazioni su Key Vault, vedere:

Prerequisiti

Informazioni sulla protezione dall'eliminazione temporanea e dalla rimozione definitiva

La protezione dall'Eliminazione temporanea e dalla rimozione definitiva sono due funzionalità diverse del ripristino dell'insieme di credenziali delle chiavi.

L'eliminazione temporanea è progettata per impedire l'eliminazione accidentale dell'insieme di credenziali delle chiavi e delle chiavi, dei segreti e dei certificati archiviati all'interno dell'insieme di credenziali delle chiavi. Si pensi all'eliminazione temporanea come un cestino. Quando lo si elimina, un insieme di credenziali delle chiavi o un oggetto Key Vault rimarrà recuperabile per un periodo di conservazione configurabile dall'utente o per un valore predefinito di 90 giorni. Gli insiemi di credenziali delle chiavi nello stato di eliminazione temporanea possono anche essere rimossi definitivamente, ovvero vengono eliminati definitivamente. Ciò consente di ricreare insiemi di credenziali delle chiavi e oggetti Key Vault con lo stesso nome. Sia il ripristino sia l'eliminazione di insiemi di credenziali delle chiavi e oggetti richiedono autorizzazioni dei criteri di accesso elevate. Dopo l'abilitazione dell'eliminazione temporanea, non sarà possibile disabilitarla.

Importante

È necessario abilitare immediatamente l'eliminazione temporanea sugli insiemi di credenziali delle chiavi. La possibilità di rifiutare esplicitamente l'eliminazione temporanea è deprecata e verrà rimossa a febbraio 2025. Per i dettagli completi, vedere qui

È importante notare che i nomi degli insiemi di credenziali delle chiavi sono globalmente univoci, quindi non sarà possibile creare un insieme di credenziali delle chiavi con lo stesso nome di un insieme di credenziali delle chiavi che si trova nello stato di eliminazione temporanea. Analogamente, i nomi di chiavi, segreti e certificati sono univoci all'interno di un insieme di credenziali delle chiavi. Non sarà possibile creare un segreto, una chiave o un certificato con lo stesso nome di un altro elemento che si trova nello stato di eliminazione temporanea.

La protezione dalla rimozione definitiva è stata progettata per impedire l'eliminazione dell'insieme di credenziali delle chiavi, di chiavi, segreti e certificati da parte di utenti malintenzionati interni. Si pensi a questa funzione come un cestino con un blocco basato sulle tempistiche. È possibile ripristinare gli elementi in qualsiasi momento durante il periodo di conservazione configurabile. Non sarà possibile eliminare o rimuovere definitivamente un insieme di credenziali delle chiavi fino al termine del periodo di conservazione. Una volta trascorso il periodo di conservazione, l'insieme di credenziali delle chiavi o il suo oggetto verrà eliminato automaticamente.

Nota

La protezione dalla rimozione definitiva è stata progettata in modo che nessun ruolo amministratore o autorizzazione possa eseguire l'override, disabilitare o aggirare la protezione dalla rimozione definitiva. Una volta abilitata la protezione dall'eliminazione, questa non può essere disabilitata o sottoposta a override, nemmeno da Microsoft. Ciò significa che è necessario ripristinare un insieme di credenziali delle chiavi eliminato o attendere che il periodo di conservazione sia trascorso prima di riutilizzare il nome dell'insieme di credenziali delle chiavi.

Per altre informazioni sull'eliminazione temporanea, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault

Verificare se l'eliminazione temporanea è abilitata in un insieme di credenziali delle chiavi e abilitare l'eliminazione temporanea

  1. Accedere al portale di Azure.
  2. Selezionare l'insieme di credenziali delle chiavi.
  3. Fare clic sul pannello "Proprietà".
  4. Verificare se il pulsante di opzione accanto a Eliminazione temporanea è impostato su "Abilita ripristino".
  5. Se l'eliminazione temporanea non è abilitata nell'insieme di credenziali delle chiavi, fare clic sul pulsante di opzione per abilitare l'eliminazione temporanea e fare clic su "Salva".

On Properties, Soft-delete is highlighted, as is the value to enable it.

Concedere l'accesso a un'entità servizio per rimuovere definitivamente e ripristinare i segreti eliminati

  1. Accedere al portale di Azure.
  2. Selezionare l'insieme di credenziali delle chiavi.
  3. Fare clic sul pannello "Criteri di accesso".
  4. Nella tabella trovare la riga dell'entità di sicurezza a cui si vuole concedere l'accesso o aggiungere una nuova entità di sicurezza.
  5. Fare clic sull'elenco a discesa per chiavi, certificati e segreti.
  6. Scorrere fino alla fine dell'elenco a discesa e fare clic su "Ripristina" e "Ripulisci"
  7. Per eseguire la maggior parte delle operazioni, le entità di sicurezza necessitano anche di funzionalità get ed list.

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge.

Elencare, ripristinare o rimuovere definitivamente un insieme di credenziali delle chiavi eliminato temporaneamente

  1. Accedere al portale di Azure.
  2. Identificare la barra di ricerca nella parte superiore della pagina.
  3. Cercare il servizio "Key Vault". Non fare clic su un singolo insieme di credenziali.
  4. Nella parte superiore dello schermo, fare clic sull'opzione "Gestisci vault eliminati"
  5. Un riquadro di contesto verrà aperto sul lato destro dello schermo.
  6. Selezionare la propria sottoscrizione.
  7. Se il Key Vault è stato eliminato temporaneamente, verrà visualizzato nel riquadro di contesto a destra.
  8. Se sono presenti troppi insiemi di credenziali (vault) è possibile fare clic su "Carica altro" nella parte inferiore del riquadro di contesto oppure usare l'interfaccia della riga di comando o PowerShell per ottenere i risultati.
  9. Dopo aver trovato il Key Vault che si desidera ripristinare o eliminare, selezionare la casella di controllo accanto.
  10. Selezionare l'opzione di ripristino nella parte inferiore del riquadro di contesto se si vuole ripristinare il key vault.
  11. Selezionare l'opzione ripulitura se si vuole eliminare definitivamente il Key Vault.

On Key vaults, the Manage deleted vaults option is highlighted.

On Manage deleted key vaults, the only listed key vault is highlighted and selected, and the Recover button is highlighted.

Elencare, ripristinare o rimuovere definitivamente segreti, chiavi e certificati eliminati temporaneamente

  1. Accedere al portale di Azure.
  2. Selezionare l'insieme di credenziali delle chiavi.
  3. Selezionare il pannello corrispondente al tipo di segreto che si vuole gestire (chiavi, segreti o certificati).
  4. Nella parte superiore della schermata fare clic su "Gestisci eliminati (chiavi, segreti o certificati)
  5. Sul lato destro dello schermo verrà visualizzato un riquadro di contesto.
  6. Se il segreto, la chiave o il certificato non viene visualizzato nell'elenco, non si trova nello stato di eliminazione temporanea.
  7. Selezionare il segreto, la chiave o il certificato da gestire.
  8. Selezionare l'opzione per ripristinare o ripulire nella parte inferiore del riquadro di contesto.

On Keys, the Manage deleted keys option is highlighted.

Passaggi successivi