Backup e ripristino completo e ripristino selettivo delle chiavi
Nota
Questa funzionalità è disponibile solo per il modulo di protezione hardware gestito del tipo di risorsa.
Il modulo di protezione hardware gestito supporta la creazione di un backup completo dell'intero contenuto del modulo di protezione hardware, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Il backup viene crittografato con le chiavi di crittografia associate al dominio di sicurezza del modulo di protezione hardware.
Il backup è un'operazione del piano dati. Il chiamante che avvia l'operazione di backup deve avere l'autorizzazione per eseguire l'azione dati Microsoft.KeyVault/managedHsm/backup/start/action.
Solo i ruoli predefiniti seguenti sono autorizzati a eseguire il backup completo:
- Managed HSM Administrator
- Managed HSM Backup
Esistono due modi per eseguire un backup/ripristino completo:
- Assegnazione di un'identità gestita assegnata dall'utente al servizio del modulo di protezione hardware gestito. È possibile eseguire il backup e il ripristino di MHSM usando un'identità gestita assegnata dall'utente, indipendentemente dal fatto che l'account di archiviazione abbia abilitato l'accesso alla rete pubblica o l'accesso alla rete privata. Se l'account di archiviazione si trova dietro un endpoint privato, il metodo UAMI funziona con bypass del servizio attendibile per consentire il backup e il ripristino.
- Uso del token di firma di accesso condiviso del contenitore di archiviazione con autorizzazioni "crdw". Il backup e il ripristino tramite il token di firma di accesso condiviso del contenitore di archiviazione richiede che l'account di archiviazione disponga dell'accesso alla rete pubblica abilitato.
Per eseguire un backup completo, è necessario specificare le informazioni seguenti:
- Nome o URL del modulo di protezione hardware
- Nome account di archiviazione
- Contenitore di archiviazione BLOB dell'account di archiviazione
- Token di firma di accesso condiviso dell'identità gestita o del contenitore di archiviazione assegnato dall'utente con autorizzazioni "crdw"
Azure Cloud Shell
Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione | Esempio/Collegamento |
|---|---|
| Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. |  |
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |  |
| Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. |  |
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.
Selezionare INVIO per eseguire il codice o il comando.
Prerequisiti se si eseguono il backup e il ripristino usando l'identità gestita assegnata dall'utente:
- Assicurarsi di avere l'interfaccia della riga di comando di Azure versione 2.56.0 o successiva. Eseguire
az --versionper trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure. - Creare un'identità gestita assegnata dall'utente.
- Creare un account di archiviazione (o usare un account di archiviazione esistente).
- Se l'accesso alla rete pubblica è disabilitato nell'account di archiviazione, abilitare il bypass del servizio attendibile nell'account di archiviazione nella scheda "Rete" , in "Eccezioni".
- Fornire l'accesso al ruolo "Collaboratore ai dati BLOB di archiviazione" all'identità gestita assegnata dall'utente creata nel passaggio 2, passando alla scheda "Controllo di accesso" nel portale -> Aggiungi assegnazione di ruolo. Selezionare quindi "identità gestita" e selezionare l'identità gestita creata nel passaggio 2 -> Rivedi e assegna
- Creare il modulo di protezione hardware gestito e associare l'identità gestita al comando seguente.
az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
Se si dispone di un modulo di protezione hardware gestito esistente, associare l'identità gestita aggiornando MHSM con il comando seguente.
az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
Backup completo
Il backup è un'operazione a esecuzione prolungata, ma che restituisce immediatamente un ID processo, che potrà essere usato per controllare lo stato del processo di backup. Il processo di backup crea all'interno del contenitore designato una cartella il cui nome è conforme al formato di denominazione mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}, in cui HSM_NAME è il nome del modulo di protezione hardware gestito di cui viene eseguito il backup e YYYY, MM, DD, HH, MM, mm, SS sono rispettivamente l'anno, il mese, il giorno, l'ora, i minuti e i secondi in formato ora UTC in cui è stato ricevuto il comando di backup.
Durante l'esecuzione del backup, il modulo di protezione hardware potrebbe non funzionare alla velocità effettiva, perché alcune partizioni del modulo di protezione hardware sono occupate con l'esecuzione dell'operazione di backup.
Eseguire il backup del modulo di protezione hardware usando l'identità gestita assegnata dall'utente
az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer
Eseguire il backup del modulo di protezione hardware usando il token di firma di accesso condiviso
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Create a container
az storage container create --account-name mhsmdemobackup --name mhsmdemobackupcontainer --account-key $skey
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Backup HSM
az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}
Ripristino completo
Il ripristino completo consente di ripristinare completamente l'intero contenuto del modulo di protezione hardware con un backup precedente, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Tutto il contenuto attualmente archiviato nel modulo di protezione hardware verrà cancellato e verrà ripristinato allo stato in cui si trovava quando è stato creato il backup di origine.
Importante
Il ripristino completo è un'operazione estremamente distruttiva. È pertanto obbligatorio aver completato un backup completo almeno 30 minuti prima di un'operazione di restore.
Il ripristino è un'operazione del piano dati. Il chiamante che avvia l'operazione di ripristino deve avere l'autorizzazione per eseguire l'azione dati Microsoft.KeyVault/managedHsm/restore/start/action. Il modulo di protezione hardware di origine in cui è stato creato il backup e il modulo di protezione hardware di destinazione in cui verrà eseguito il ripristino devono avere lo stesso dominio di sicurezza. Per altre informazioni, vedere Dominio di sicurezza del modulo di protezione hardware gestito.
Esistono due modi per eseguire un ripristino completo. Per eseguire un ripristino completo, è necessario specificare le informazioni seguenti:
- Nome o URL del modulo di protezione hardware
- Nome account di archiviazione
- Contenitore BLOB dell'account di archiviazione
- Token di firma di accesso condiviso dell'identità gestita o del contenitore di archiviazione assegnato dall'utente con autorizzazioni
rl - Nome della cartella del contenitore di archiviazione in cui è archiviato il backup di origine
Il ripristino è un'operazione a esecuzione prolungata ma restituirà immediatamente un ID processo, che potrà essere usato per controllare lo stato del processo di ripristino. Durante il processo di ripristino, il modulo di protezione hardware passa alla modalità di ripristino e tutti i comandi del piano dati (eccetto quello per il controllo dello stato del ripristino) sono disabilitati.
Eseguire il ripristino del modulo di protezione hardware usando l'identità gestita assegnata dall'utente
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true
Eseguire il ripristino del modulo di protezione hardware usando il token di firma di accesso condiviso
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Restore HSM
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860
Ripristino selettivo delle chiavi
Il ripristino selettivo delle chiavi consente di ripristinare una singola chiave con tutte le relative versioni da un backup precedente in un modulo di protezione hardware.
Ripristino selettivo delle chiavi usando l'identità gestita assegnata dall'utente
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2
Ripristino selettivo delle chiavi con token di firma di accesso condiviso
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2
Passaggi successivi
- Vedere Gestire un modulo di protezione hardware gestito con l'interfaccia della riga di comando di Azure.
- Per altre informazioni, vedere Dominio di sicurezza del modulo di protezione hardware gestito
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per