Backup completo e ripristino e ripristino selettivo delle chiavi

Nota

Questa funzionalità è disponibile solo per il modulo di protezione hardware gestito del tipo di risorsa.

Il modulo di protezione hardware gestito supporta la creazione di un backup completo dell'intero contenuto del modulo di protezione hardware, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Il backup viene crittografato con le chiavi di crittografia associate al dominio di sicurezza del modulo di protezione hardware.

Il backup è un'operazione del piano dati. Il chiamante che avvia l'operazione di backup deve avere l'autorizzazione per eseguire l'azione dati Microsoft.KeyVault/managedHsm/backup/start/action.

Solo i ruoli predefiniti seguenti sono autorizzati a eseguire il backup completo:

  • Managed HSM Administrator
  • Managed HSM Backup

Esistono due modi per eseguire un backup/ripristino completo:

  1. Assegnazione di un'identità gestita assegnata dall'utente al servizio HSM gestito. È possibile eseguire il backup e il ripristino di MHSM usando un'identità gestita assegnata dall'utente indipendentemente dal fatto che l'account di archiviazione disponga dell'accesso alla rete pubblica o dell'accesso alla rete privata abilitato. Se l'account di archiviazione si trova dietro un endpoint privato, il metodo UAMI funziona con bypass del servizio attendibile per consentire il backup e il ripristino.
  2. Uso del token di firma di accesso condiviso del contenitore di archiviazione con autorizzazioni "crdw". Il backup e il ripristino tramite il token di firma di accesso condiviso del contenitore di archiviazione richiede che l'account di archiviazione disponga dell'accesso alla rete pubblica abilitato.

Per eseguire un backup completo, è necessario fornire le informazioni seguenti:

  • Nome o URL del modulo di protezione hardware
  • Nome account di archiviazione
  • Contenitore di archiviazione BLOB dell'account di archiviazione
  • Token di firma di accesso condiviso dell'identità gestita o del contenitore di archiviazione assegnato dall'utente con autorizzazioni 'crdw'

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un codice o di un blocco di comandi. Selezionando Prova non viene copiato automaticamente il codice o il comando in Cloud Shell. Screenshot that shows an example of Try It for Azure Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. Button to launch Azure Cloud Shell.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. Screenshot that shows the Cloud Shell button in the Azure portal

Per usare Azure Cloud Shell:

  1. Avviare Cloud Shell.

  2. Selezionare il pulsante Copia in un blocco di codice (o blocco di comandi) per copiare il codice o il comando.

  3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux oppure selezionando CMD+MAIUSC+V in macOS.

  4. Selezionare INVIO per eseguire il codice o il comando.

Prerequisiti se si esegue il backup e il ripristino usando l'identità gestita assegnata dall'utente:

  1. Assicurarsi di avere l'interfaccia della riga di comando di Azure versione 2.56.0 o successiva. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.
  2. Creare un'identità gestita assegnata dall'utente.
  3. Creare un account di archiviazione (o usare un account di archiviazione esistente).
  4. Se l'accesso alla rete pubblica è disponibile nell'account di archiviazione, abilitare il bypass del servizio attendibile nell'account di archiviazione nella scheda "Rete", in "Eccezioni".
  5. Fornire l'accesso al ruolo "Collaboratore ai dati blob di archiviazione" all'identità gestita assegnata dall'utente creata nel passaggio 2. A tale scopo, passare alla scheda "Controllo di accesso" nel portale -> Aggiungi assegnazione di ruolo. Selezionare quindi "identità gestita" e selezionare l'identità gestita creata nel passaggio 2 -> Rivedi e assegna
  6. Creare il modulo di protezione hardware gestito e associare l'identità gestita al comando seguente.
    az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 
    

Se si dispone di un modulo di protezione hardware gestito esistente, associare l'identità gestita aggiornando MHSM al comando seguente.

 az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 

Backup completo

Il backup è un'operazione a esecuzione prolungata ma restituirà immediatamente un ID processo, che potrà essere usato per controllare lo stato del processo di backup. Il processo di backup crea all'interno del contenitore designato una cartella il cui nome è conforme al formato di denominazione mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}, in cui HSM_NAME è il nome del modulo di protezione hardware gestito di cui viene eseguito il backup e YYYY, MM, DD, HH, MM, mm, SS sono rispettivamente l'anno, il mese, il giorno, l'ora, i minuti e i secondi in formato ora UTC in cui è stato ricevuto il comando di backup.

Mentre il backup è in corso, il modulo di protezione hardware potrebbe non funzionare a velocità effettiva completa perché alcune partizioni del modulo di protezione hardware saranno occupate durante l'esecuzione dell'operazione di backup.

Eseguire il backup del modulo di protezione hardware usando l'identità gestita assegnata dall'utente

az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer

Eseguire il backup del modulo di protezione hardware usando il token di firma di accesso condiviso

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription 361da5d4-a47a-4c79-afdd-d66f684f4070

Ripristino completo

Il ripristino completo consente di ripristinare completamente l'intero contenuto del modulo di protezione hardware con un backup precedente, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Tutto il contenuto attualmente archiviato nel modulo di protezione hardware verrà cancellato e verrà ripristinato allo stato in cui si trovava quando è stato creato il backup di origine.

Importante

Il ripristino completo è un'operazione estremamente distruttiva. Pertanto, è obbligatorio aver completato un backup completo almeno 30 minuti prima di un'operazione restore .

Il ripristino è un'operazione del piano dati. Il chiamante che avvia l'operazione di ripristino deve avere l'autorizzazione per eseguire l'azione dati Microsoft.KeyVault/managedHsm/restore/start/action. Il modulo di protezione hardware di origine in cui è stato creato il backup e il modulo di protezione hardware di destinazione in cui verrà eseguito il ripristino devono avere lo stesso dominio di sicurezza. Per altre informazioni, vedere Dominio di sicurezza del modulo di protezione hardware gestito.

Esistono due modi per eseguire un ripristino completo. Per eseguire un ripristino completo, è necessario specificare le informazioni seguenti:

  • Nome o URL del modulo di protezione hardware
  • Nome account di archiviazione
  • Contenitore BLOB dell'account di archiviazione
  • Token di firma di accesso condiviso del contenitore di archiviazione o identità gestita assegnata dall'utente con autorizzazioni rl
  • Archiviazione nome della cartella del contenitore in cui è archiviato il backup di origine

Il ripristino è un'operazione a esecuzione prolungata ma restituirà immediatamente un ID processo, che potrà essere usato per controllare lo stato del processo di ripristino. Durante il processo di ripristino, il modulo di protezione hardware passa alla modalità di ripristino e tutti i comandi del piano dati (eccetto quello per il controllo dello stato del ripristino) sono disabilitati.

Ripristinare HSM usando l'identità gestita assegnata dall'utente

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true

Ripristinare il modulo di protezione hardware usando il token di firma di accesso condiviso

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Restore HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Ripristino selettivo delle chiavi

Il ripristino selettivo delle chiavi consente di ripristinare una singola chiave con tutte le relative versioni chiave da un backup precedente a un modulo di protezione hardware.

Ripristino selettivo della chiave usando l'identità gestita assegnata dall'utente

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2

Ripristino selettivo delle chiavi con token di firma di accesso condiviso

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2

Passaggi successivi