Share via

Volledige back-up en herstel en selectief sleutelherstel

  • Artikel

Notitie

Deze functie is alleen beschikbaar voor het resourcetype Beheerde HSM.

Beheerde HSM ondersteunt het maken van een volledige back-up van de hele inhoud van de HSM, met inbegrip van alle sleutels, versies, kenmerken, tags en roltoewijzingen. De back-up wordt versleuteld met cryptografische sleutels die zijn gekoppeld aan het beveiligingsdomein van de HSM.

Back-up is een gegevensvlakbewerking. De oproepende functie die de back-upbewerking initieert, moet gemachtigd zijn om dataAction Microsoft.KeyVault/managedHsm/backup/start/action uit te voeren.

Alleen de volgende ingebouwde rollen hebben toestemming voor het uitvoeren van een volledige back-up:

  • Beheerder van beheerde HSM
  • Back-up van beheerde HSM

Er zijn twee manieren om een volledige back-up/herstel uit te voeren:

  1. Een door de gebruiker toegewezen beheerde identiteit (UAMI) toewijzen aan de beheerde HSM-service. U kunt een back-up maken van uw MHSM en deze herstellen met behulp van een door de gebruiker toegewezen beheerde identiteit, ongeacht of voor uw opslagaccount openbare netwerktoegang of privénetwerktoegang is ingeschakeld. Als het opslagaccount zich achter een privé-eindpunt bevindt, werkt de UAMI-methode met een vertrouwde service-bypass om back-up en herstel mogelijk te maken.
  2. Sas-token voor opslagcontainers gebruiken met machtigingen 'crdw'. Als u een back-up maakt en herstelt met behulp van het SAS-token van de opslagcontainer, moet uw opslagaccount openbare netwerktoegang hebben ingeschakeld.

U moet de volgende informatie opgeven om een volledige back-up uit te voeren:

  • Naam of URL van HSM
  • Naam van het opslagaccount
  • Blobopslagcontainer van het opslagaccount
  • Door de gebruiker toegewezen SAS-token voor beheerde identiteit of opslagcontainer met machtigingen 'crdw'

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. Schermopname van een voorbeeld van Probeer het nu voor Azure Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. Knop om Azure Cloud Shell te starten.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. Schermopname van de knop Cloud Shell in Azure Portal

Azure Cloud Shell gebruiken:

  1. Start Cloud Shell.

  2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

  3. Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.

  4. Selecteer Enter om de code of opdracht uit te voeren.

Vereisten als u een back-up maakt en herstelt met behulp van een door de gebruiker toegewezen beheerde identiteit:

  1. Zorg ervoor dat u azure CLI versie 2.56.0 of hoger hebt. Voer az --version uit om de versie te bekijken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren.
  2. Maak een door de gebruiker toegewezen beheerde identiteit.
  3. Maak een opslagaccount (of gebruik een bestaand opslagaccount).
  4. Als openbare netwerktoegang is uitgeschakeld voor uw opslagaccount, schakelt u de bypass van vertrouwde services in op het opslagaccount op het tabblad Netwerken, onder Uitzonderingen.
  5. Geef de rol 'Inzender voor opslagblobgegevens' op voor de door de gebruiker toegewezen beheerde identiteit die is gemaakt in stap 2 door naar het tabblad Toegangsbeheer in de portal te gaan :> Roltoewijzing toevoegen. Selecteer vervolgens Beheerde identiteit en selecteer de beheerde identiteit die is gemaakt in stap 2 -> Beoordelen en toewijzen
  6. Maak de beheerde HSM en koppel de beheerde identiteit aan de onderstaande opdracht. 
    az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"

Als u een bestaande beheerde HSM hebt, koppelt u de beheerde identiteit door de MHSM bij te werken met de onderstaande opdracht.

 az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"

Volledige back-up

Back-up is een langdurige bewerking, maar retourneert onmiddellijk een taak-id. U kunt de status van het back-upproces controleren met behulp van deze taak-id. Met het back-upproces maakt een map in de aangewezen container met het benoemingspatroon mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}, waarbij HSM_NAME de naam is van de beheerde HSM waarvan een back-up wordt gemaakt en YYYY, MM, DD, HH, mm, SS het jaar, de maand, de dag, het uur, het aantal minuten en seconden van de datum/tijd in UTC zijn dat de back-upopdracht is ontvangen.

Terwijl de back-up wordt uitgevoerd, werkt de HSM mogelijk niet op volledige doorvoer, omdat sommige HSM-partities bezig zijn met het uitvoeren van de back-upbewerking.

Back-up maken van HSM met door de gebruiker toegewezen beheerde identiteit

az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer

Back-up maken van HSM met sas-token

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}

Volledig herstel

Met volledig herstel kunt u de inhoud van de HSM volledig herstellen met een eerdere back-up, met inbegrip van alle sleutels, versies, kenmerken, tags en roltoewijzingen. Alles wat momenteel in de HSM is opgeslagen, wordt gewist, en de HSM wordt teruggezet in de toestand zoals die was toen de back-up werd gemaakt.

Belangrijk

Volledig herstel is een erg destructieve en verstorende bewerking. Daarom is het verplicht om een volledige back-up van de HSM te hebben voltooid die u herstelt naar ten minste 30 minuten voordat een restore bewerking kan worden uitgevoerd.

Herstel is een gegevensvlakbewerking. De oproepende functie die de herstelbewerking start, moet gemachtigd zijn om dataAction Microsoft.KeyVault/managedHsm/restore/start/action uit te voeren. De bron-HSM waar de back-up is gemaakt en de doel-HSM waar de herstelbewerking wordt uitgevoerd, moeten hetzelfde beveiligingsdomein hebben. Zie meer informatie over het beveiligingsdomein van een beheerde HSM.

Er zijn twee manieren om een volledige herstelbewerking uit te voeren. U moet de volgende informatie opgeven voor het uitvoeren van een volledige herstelbewerking:

  • Naam of URL van HSM
  • Naam van het opslagaccount
  • Blobcontainer van het opslagaccount
  • Door de gebruiker toegewezen SAS-token voor beheerde identiteit of opslagcontainer met machtigingen rl
  • Naam van de opslagcontainermap waarin de bronback-up wordt opgeslagen

Herstel is een langdurige bewerking, maar retourneert onmiddellijk een taak-id. U kunt de status van het herstelproces controleren met behulp van deze taak-id. Tijdens het herstelproces wordt de HSM in een herstelmodus gezet en worden alle gegevensvlakopdrachten (behalve herstelstatus controleren) uitgeschakeld.

HSM herstellen met behulp van door de gebruiker toegewezen beheerde identiteit

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true

HSM herstellen met behulp van EEN SAS-token

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Restore HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Selectief sleutelherstel

Met selectief sleutelherstel kunt u één afzonderlijke sleutel herstellen met alle bijbehorende sleutelversies van een vorige back-up naar een HSM. De sleutel moet worden opgeschoond om selectief sleutelherstel te laten werken. Als u een voorlopig verwijderde sleutel probeert te herstellen, gebruikt u sleutelherstel. Meer informatie over sleutelherstel.

Selectief sleutelherstel met door de gebruiker toegewezen beheerde identiteit

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2

Selectief sleutelherstel met sas-token

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2

Volgende stappen