Gestione del ripristino di Azure Key Vault con protezione dall'eliminazione temporanea e dalla rimozione definitiva

2025-05-30

Questo articolo illustra due funzionalità di ripristino di Azure Key Vault, protezione dall'eliminazione temporanea e la protezione dalla rimozione definitiva. Questo documento offre una panoramica di queste funzionalità e illustra come gestirle tramite il portale di Azure, l'interfaccia della riga di comando di Azure e Azure PowerShell.

Importante

Se per un insieme di credenziali delle chiavi non è abilitata la protezione per l'eliminazione temporanea, l'eliminazione di una chiave la elimina definitivamente. I clienti sono fortemente invitati ad attivare l'applicazione dell'eliminazione temporanea per gli insiemi di credenziali tramite Criteri di Azure.

Panoramica delle opzioni di ripristino

Azure Key Vault offre più opzioni per garantire la disponibilità e la recuperabilità dei dati dell'archivio.

Ridondanza e failover automatici: Key Vault replica automaticamente i dati tra aree e gestisce il failover durante le interruzioni. Vedere Disponibilità e ridondanza di Azure Key Vault
Eliminazione temporanea e protezione dalla rimozione (descritta in questo articolo): impedisce l'eliminazione accidentale o dannosa del caveau o degli oggetti del caveau.
Backup e ripristino manuali: per singoli segreti, chiavi e certificati. Vedere Backup di Azure Key Vault

Questo articolo è incentrato sulle funzionalità di eliminazione temporanea e protezione dalle eliminazioni definitive, che aiutano a proteggere contro eliminazioni accidentali o dannose.

Prerequisiti

Sottoscrizione di Azure: creare un account gratuitamente
Azure PowerShell.
Interfaccia della riga di comando di Azure
Un insieme di credenziali delle chiavi. È possibile crearne uno con il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell

L'utente deve disporre delle autorizzazioni seguenti (a livello di sottoscrizione) per eseguire operazioni sugli insiemi di credenziali eliminati temporaneamente:

Autorizzazione	Descrizione
Microsoft.KeyVault/locations/deletedVaults/read	Visualizza le proprietà di un Key Vault eliminato temporaneamente
Microsoft.KeyVault/locations/deletedVaults/purge/action	Ripulisce un Key Vault eliminato temporaneamente
Microsoft.KeyVault/locations/operationResults/read	Per controllare lo stato di rimozione definitiva dell'insieme di credenziali
Collaboratore di Key Vault	Per ripristinare l'insieme di credenziali eliminato temporaneamente

Informazioni sulla protezione dall'eliminazione temporanea e dalla rimozione definitiva

La protezione dall'Eliminazione temporanea e dalla rimozione definitiva sono due funzionalità diverse del ripristino dell'insieme di credenziali delle chiavi.

L'eliminazione temporanea è progettata per impedire l'eliminazione accidentale dell'insieme di credenziali delle chiavi e di chiavi, segreti e certificati archiviati all'interno dell'insieme di credenziali delle chiavi. Si pensi all'eliminazione temporanea come un cestino. Quando si elimina un insieme di credenziali delle chiavi o un oggetto key vault, questo rimane recuperabile per un periodo di conservazione configurabile dall'utente o per un valore predefinito di 90 giorni. Gli insiemi di credenziali delle chiavi nello stato di eliminazione temporanea possono anche essere eliminati (in maniera definitiva), consentendo di ricreare insiemi di credenziali delle chiavi e oggetti dell'insieme di credenziali delle chiavi con lo stesso nome. Sia il ripristino sia l'eliminazione di insiemi di credenziali delle chiavi e oggetti richiedono autorizzazioni dei criteri di accesso elevate. Dopo l'abilitazione dell'eliminazione temporanea, non sarà possibile disabilitarla.

È importante notare che i nomi degli insiemi di credenziali delle chiavi sono globalmente univoci, quindi non è possibile creare un insieme di credenziali delle chiavi con lo stesso nome di un insieme di credenziali delle chiavi che si trova nello stato di eliminazione temporanea. Analogamente, i nomi di chiavi, segreti e certificati sono univoci all'interno di un insieme di credenziali delle chiavi. Non è possibile creare un segreto, una chiave o un certificato con lo stesso nome di un altro nello stato eliminato temporaneamente.

La protezione dalla rimozione definitiva è stata progettata per impedire l'eliminazione dell'insieme di credenziali delle chiavi, di chiavi, segreti e certificati da parte di utenti malintenzionati interni. Si pensi a un cestino con un blocco basato sul tempo. È possibile ripristinare gli elementi in qualsiasi momento durante il periodo di conservazione configurabile. Non sarà possibile eliminare o rimuovere definitivamente un insieme di credenziali delle chiavi fino al termine del periodo di conservazione. Una volta scaduto il periodo di conservazione, l'insieme di credenziali delle chiavi o il relativo oggetto viene eliminato automaticamente.

Nota

La protezione dalla rimozione definitiva è stata progettata in modo che nessun ruolo amministratore o autorizzazione possa eseguire l'override, disabilitare o aggirare la protezione dalla rimozione definitiva. Quando la protezione dall'eliminazione è abilitata, non può essere disabilitata o sottoposta a override da altri utenti, incluso Microsoft. Ciò significa che è necessario ripristinare un insieme di credenziali delle chiavi eliminato o attendere che il periodo di conservazione sia trascorso prima di riutilizzare il nome dell'insieme di credenziali delle chiavi.

Queste funzionalità sono fortemente consigliate per gli ambienti di produzione.

Per altre informazioni sull'eliminazione temporanea, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault

Verificare se l'eliminazione temporanea è abilitata in un insieme di credenziali delle chiavi e abilitare l'eliminazione temporanea

Accedere al portale di Azure.
Seleziona il tuo Key Vault.
Selezionare il pannello "Proprietà".
Verificare se il pulsante di opzione accanto a Eliminazione temporanea è impostato su "Abilita ripristino".
Se l'eliminazione temporanea non è abilitata nell'insieme di credenziali delle chiavi, selezionare il pulsante di opzione per abilitare l'eliminazione temporanea e selezionare clic su "Salva".

On Properties, Soft-delete is highlighted, as is the value to enable it. In Proprietà, Soft-delete è evidenziato, così come il valore per abilitarla.

Concedere l'accesso a un'entità servizio per rimuovere definitivamente e ripristinare i segreti eliminati

Accedere al portale di Azure.
Seleziona il tuo Key Vault.
Selezionare il pannello "Criteri di accesso".
Nella tabella trovare la riga dell'entità di sicurezza a cui si vuole concedere l'accesso o aggiungere una nuova entità di sicurezza.
Selezionare l'elenco a discesa per chiavi, certificati e segreti.
Scorrere fino alla fine dell'elenco a discesa e selezionare "Ripristina" e "Rimuovi"
Per eseguire la maggior parte delle operazioni, le entità di sicurezza richiedono anche la funzionalità "get" e "list".

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge. Nel riquadro di spostamento sinistro i criteri di accesso sono evidenziati. In Criteri di accesso viene visualizzato l'elenco a discesa Posizioni segrete e quattro elementi sono selezionati: Recupera, Elenco, Ripristina e Ripulitura.

Elencare, ripristinare o rimuovere definitivamente un insieme di credenziali delle chiavi eliminato temporaneamente

Accedere al portale di Azure.
Selezionare la barra di ricerca nella parte superiore della pagina.
Cercare il servizio "Key Vault". Non selezionare un singolo insieme di credenziali delle chiavi.
Nella parte superiore della schermata selezionare l'opzione "Gestisci insiemi di credenziali eliminati"
Viene aperto un riquadro di contesto sul lato destro dello schermo.
Selezionare la propria sottoscrizione.
Se l'insieme di credenziali delle chiavi è stato eliminato temporaneamente, viene visualizzato nel riquadro di contesto a destra.
Se sono presenti troppi insiemi di credenziali, è possibile selezionare "Carica altro" nella parte inferiore del riquadro di contesto oppure usare l'interfaccia della riga di comando o PowerShell per ottenere i risultati.
Dopo aver trovato il vault che si desidera recuperare o eliminare, selezionare la casella di controllo accanto.
Selezionare l'opzione di ripristino nella parte inferiore del riquadro di contesto se si vuole ripristinare il key vault.
Selezionare l'opzione ripulitura se si vuole eliminare definitivamente il Key Vault.

On Key vaults, the Manage deleted vaults option is highlighted. Negli insiemi di credenziali delle chiavi l'opzione Gestisci insiemi di credenziali eliminati è evidenziata.

On Manage deleted key vaults, the only listed key vault is highlighted and selected, and the Recover button is highlighted. In Gestisci insiemi di credenziali delle chiavi eliminati, l'unico insieme di credenziali delle chiavi elencato è evidenziato e selezionato e il pulsante Ripristina è evidenziato.

Elencare, ripristinare o rimuovere definitivamente segreti, chiavi e certificati eliminati temporaneamente

Accedere al portale di Azure.
Seleziona il tuo Key Vault.
Selezionare il pannello corrispondente al tipo di segreto che si vuole gestire (chiavi, segreti o certificati).
Nella parte superiore della schermata selezionare "Gestisci eliminati (chiavi, segreti o certificati)
Sul lato destro della schermata viene visualizzato un riquadro di contesto.
Se il segreto, la chiave o il certificato non viene visualizzato nell'elenco, non si trova nello stato di eliminazione temporanea.
Selezionare il segreto, la chiave o il certificato da gestire.
Selezionare l'opzione per ripristinare o ripulire nella parte inferiore del riquadro di contesto.

In Chiavi, l'opzione Gestisci chiavi eliminate è evidenziata.

Insieme di credenziali delle chiavi (interfaccia della riga di comando)

Verificare se l'eliminazione temporanea è abilitata per un insieme di credenziali delle chiavi
```
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
```
Abilitare l'eliminazione temporanea nell'insieme di credenziali delle chiavi

Per impostazione predefinita, l'eliminazione temporanea è abilitata per tutti i nuovi insiemi di credenziali delle chiavi. Se hai attualmente un Key Vault in cui l'eliminazione temporanea non è abilitata, usa il comando seguente per abilitarla.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```
Eliminare l'insieme di credenziali delle chiavi (ripristinabile se l'eliminazione temporanea è abilitata)
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
```

Elencare tutti gli insiemi di credenziali delle chiavi eliminati temporaneamente

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Ripristinare l'insieme di credenziali delle chiavi eliminato temporaneamente
```
az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```
Rimuovere definitivamente l'insieme di credenziali delle chiavi eliminato temporaneamente (AVVISO! QUESTA OPERAZIONE ELIMINERÀ DEFINITIVAMENTE L'INSIEME DI CREDENZIALI DELLE CHIAVI)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Abilitare la protezione dalla cancellazione nel Key Vault

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certificati (interfaccia della riga di comando)

Concedere l'accesso per la rimozione definitiva e il recupero dei certificati

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Eliminare il certificato

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Elencare i certificati eliminati

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Ripristinare il certificato eliminato

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Cancellare il certificato eliminato temporaneamente (AVVISO! QUESTA OPERAZIONE CANCELLERÀ PERMANENTEMENTE IL TUO CERTIFICATO)
```
az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
```

Chiavi (interfaccia della riga di comando)

Concedere l'accesso per la rimozione definitiva e il recupero delle chiavi

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Elimina chiave

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Elencare le chiavi eliminate

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Ripristinare la chiave eliminata

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Rimuovere definitivamente la chiave eliminata temporaneamente (AVVISO! QUESTA OPERAZIONE ELIMINERÀ DEFINITIVAMENTE LA CHIAVE)
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
```

Segreti (interfaccia della riga di comando)

Concedere l'accesso per la rimozione definitiva e il recupero dei segreti

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Eliminare un segreto

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Elenco dei segreti eliminati

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Ripristinare il segreto eliminato

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Rimuovere definitivamente il segreto eliminato temporaneamente (AVVISO! QUESTA OPERAZIONE ELIMINERÀ DEFINITIVAMENTE IL SEGRETO)
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Insieme di credenziali delle chiavi (PowerShell)

Verificare se l'eliminazione temporanea è abilitata per un insieme di credenziali delle chiavi
```
Get-AzKeyVault -VaultName "ContosoVault"
```
Eliminare l'insieme di credenziali delle chiavi
```
Remove-AzKeyVault -VaultName 'ContosoVault'
```
Elencare tutti gli insiemi di credenziali delle chiavi eliminati temporaneamente
```
Get-AzKeyVault -InRemovedState
```

Ripristinare l'insieme di credenziali delle chiavi eliminato temporaneamente

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Rimuovere definitivamente l'insieme di credenziali delle chiavi eliminato temporaneamente (AVVISO! QUESTA OPERAZIONE ELIMINERÀ DEFINITIVAMENTE L'INSIEME DI CREDENZIALI DELLE CHIAVI)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Abilitare la protezione dalla cancellazione nel Key Vault

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certificati (PowerShell)

Concedere le autorizzazioni per ripristinare e rimuovere definitivamente i certificati

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Eliminare un certificato

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Elencare tutti i certificati eliminati in un Key Vault

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Ripristinare un certificato che si trova nello stato eliminato

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Rimuovere definitivamente un certificato eliminato temporaneamente (AVVISO! QUESTA OPERAZIONE ELIMINERÀ DEFINITIVAMENTE IL CERTIFICATO)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Chiavi (PowerShell)

Concedere le autorizzazioni per ripristinare e rimuovere definitivamente le chiavi

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Eliminare una chiave

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Elencare tutte le chiavi eliminate in un archivio delle chiavi
```
Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
```

Per recuperare una chiave eliminata temporaneamente

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Rimuovere definitivamente una chiave eliminata temporaneamente (AVVISO! QUESTA OPERAZIONE ELIMINERÀ DEFINITIVAMENTE LA CHIAVE)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Segreti (PowerShell)

Concedere le autorizzazioni per ripristinare e rimuovere definitivamente i segreti

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Eliminare un segreto denominato SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Elenca tutti i segreti eliminati in una cassaforte delle chiavi
```
Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
```

Recuperare un segreto dallo stato eliminato

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Rimuovere definitivamente un segreto che si trova nello stato eliminato (AVVISO! QUESTA OPERAZIONE ELIMINERÀ DEFINITIVAMENTE LA CHIAVE)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

Condividi tramite