Back-up en herstel van Azure Key Vault

In dit document leest u hoe u een back-up maakt van geheimen, sleutels en certificaten die zijn opgeslagen in een sleutelkluis. Een back-up is bedoeld om u een offline kopie te bieden van al uw geheimen in het onwaarschijnlijke geval dat u geen toegang meer hebt tot uw sleutelkluis.

Overzicht

Azure Key Vault biedt automatisch functies om de beschikbaarheid van gegevens te garanderen en gegevensverlies te voorkomen. Maak alleen back-ups van geheimen als dit vanuit bedrijfsoogpunt noodzakelijk is. Het maken van een back-up van geheimen in uw sleutelkluis kan operationele uitdagingen met zich meebrengen, zoals het onderhouden van meerdere logboeken, machtigingen en back-ups wanneer geheimen verlopen of roteren.

Key Vault onderhoudt de beschikbaarheid in noodscenario's en voert automatisch failoververzoeken uit naar een gekoppelde regio zonder dat tussenkomst van een gebruiker nodig is. Zie Beschikbaarheid en redundantie in Azure Key Vault voor meer informatie.

Als u uw geheimen wilt beveiligen tegen onbedoelde of opzettelijke verwijdering, moet u de beveiligingsfuncties voor voorlopig verwijderen en opschonen voor uw sleutelkluis configureren. Zie Azure Key Vault: overzicht van voorlopig verwijderen voor meer informatie.

Beperkingen

Belangrijk

Key Vault ondersteunt de mogelijkheid niet om meer een back-up te maken van meer dan 500 eerdere versies van een sleutel, geheim of certificaatobject. Als u probeert een back-up te maken van een sleutel, geheim of certificaatobject, leidt dat mogelijk tot een fout. Het is niet mogelijk om eerdere versies van een sleutel, geheim of certificaat te verwijderen.

Key Vault biedt momenteel geen manier om een back-up te maken van een volledige sleutelkluis in één bewerking en sleutels, geheimen en certificaten moeten indvidually back-ups zijn.

Houd ook rekening met de volgende problemen:

• Het maken van een back-up van geheimen met meerdere versies kan leiden tot time-outfouten.
• Met een back-up wordt een momentopname gemaakt van een bepaald tijdstip. Geheimen kunnen tijdens een back-up worden vernieuwd, waardoor het kan gebeuren dat versleutelingssleutels niet overeenkomen.
• Als u de limieten voor de sleutelkluisservice voor aanvragen per seconde overschrijdt, wordt uw sleutelkluis beperkt en zal de back-up mislukken.

Ontwerpoverwegingen

Wanneer u een back-up maakt van een object dat is opgeslagen in een sleutelkluis (zoals een geheim, sleutel of certificaat), wordt het object door de back-upbewerking gedownload als een versleutelde blob. Deze blob kan niet buiten Azure worden ontsleuteld. Als u bruikbare gegevens uit deze blob wilt ophalen, moet u de blob herstellen in een sleutelkluis binnen hetzelfde Azure-abonnement en dezelfde Azure-geografie.

Vereisten

Als u een back-up van een sleutelkluisobject wilt maken, hebt u het volgende nodig:

• Machtigingen op inzenderniveau of hoger voor een Azure-abonnement.
• Een primaire sleutelkluis met de geheimen waarvan u een back-up wilt maken.
• Een secundaire sleutelkluis waarnaar geheimen worden teruggezet.

Back-ups maken en herstellen met de Azure-portal

Volg de stappen in deze sectie voor het maken en herstellen van back-ups van objecten met behulp van de Azure-portal.

Een back-up maken

1. Ga naar de Azure-portal.

2. Selecteer uw sleutelkluis.

3. Ga naar het object (geheim, sleutel of certificaat) waarvan u een back-up wilt maken.

   

4. Selecteer het object.

5. Selecteer Back-up downloaden.

   

6. Selecteer Downloaden.

   

7. Sla de versleutelde blob op een veilige locatie op.

Herstellen

1. Ga naar de Azure-portal.

2. Selecteer uw sleutelkluis.

3. Ga naar het type object (geheim, sleutel of certificaat) dat u wilt herstellen.

4. Selecteer Back-up terugzetten.

   

5. Ga naar de locatie waar u de versleutelde blob hebt opgeslagen.

6. Selecteer OK.

Back-ups maken en herstellen vanuit de Azure CLI of Azure PowerShell

Azure-CLI

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Azure PowerShell

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '{AZURE SUBSCRIPTION ID}'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -Name '{Certificate Name}'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '{Key Vault Name}' -Name '{Key Name}'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '{Key Vault Name}' -Name '{Secret Name}'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '{Key Vault Name}' -InputFile '{File Path}'

Volgende stappen

• Een Azure-sleutelkluis verplaatsen tussen regio's
• Key Vault-logboekregistratie inschakelen voor Key Vault