Voorlopig verwijderen wordt ingeschakeld voor alle sleutelkluizen

  • Artikel

Waarschuwing

Wijziging die fouten veroorzaakt: u moet voorlopig verwijderen van uw sleutelkluizen onmiddellijk inschakelen. Kijk hieronder voor de details.

Als een geheim wordt verwijderd en de sleutelkluis geen beveiliging voor voorlopig verwijderen heeft, wordt het permanent verwijderd. Hoewel gebruikers zich momenteel kunnen afmelden voor voorlopig verwijderen tijdens het maken van de sleutelkluis, is deze mogelijkheid afgeschaft. In februari 2025 schakelt Microsoft beveiliging voor voorlopig verwijderen in voor alle sleutelkluizen en kunnen gebruikers zich niet langer afmelden of voorlopig verwijderen uitschakelen. Hierdoor worden geheimen beschermd tegen onbedoelde of kwaadwillende verwijdering door een gebruiker.

Diagram waarin wordt weergegeven hoe een sleutelkluis wordt verwijderd met bescherming tegen voorlopig verwijderen en zonder beveiliging tegen voorlopig verwijderen.

Zie Azure Key Vault: overzicht van voorlopig verwijderen voor meer informatie over de functie voor voorlopig verwijderen.

Kan mijn toepassing werken terwijl Voorlopig verwijderen is ingeschakeld?

Namen van sleutelkluizen zijn globaal uniek. De namen van geheimen die zijn opgeslagen in een sleutelkluis, zijn ook uniek. De naam van een sleutelkluis of sleutelkluisobject met de status Voorlopig verwijderd, kan niet opnieuw worden gebruikt.

Als er bijvoorbeeld programmatisch een sleutelkluis met de naam 'kluis A' wordt gemaakt en 'kluis A' later wordt verwijderd, krijgt de sleutelkluis de status voorlopig verwijderd. De toepassing kan pas een andere sleutelkluis met de naam 'kluis A' maken als de sleutelkluis uit de status Voorlopig verwijderd is gehaald.

En als er een sleutel met de naam test key in 'kluis A' wordt gemaakt en de sleutel later wordt verwijderd, kan de toepassing pas een nieuwe sleutel met de naam test key in 'kluis A' maken als het object test key uit de status Voorlopig verwijderd wordt gehaald.

Als u probeert een sleutelkluisobject te verwijderen en dit vervolgens opnieuw te maken met dezelfde naam zonder het object eerst permanent te verwijderen, kan dit leiden tot conflictfouten. Deze fouten zorgen er mogelijk voor dat uw toepassingen of automatisering mislukken. Neem contact op met uw ontwikkelteam voordat u de volgende vereiste wijzigingen aan de toepassing en het beheer aanbrengt.

Toepassingswijzigingen

Als uw toepassing ervan uitgaat dat voorlopig verwijderen niet is ingeschakeld en verwacht dat verwijderde geheimen of namen van sleutelkluizen direct beschikbaar zijn voor hergebruik, moet u de volgende wijzigingen aanbrengen in uw toepassingslogica.

  1. Verwijder de oorspronkelijke sleutelkluis of het geheim.
  2. Voer een opschoning uit van de sleutelkluis of het geheim met de status van voorlopig verwijderd.
  3. Wacht tot de opschoning is voltooid. Onmiddellijk opnieuw maken kan leiden tot een conflict.
  4. Maak de sleutelkluis opnieuw met dezelfde naam.
  5. Als de maakbewerking nog steeds leidt tot een naamconflict, probeert u de sleutelkluis opnieuw te maken. In het ergste geval duurt het mogelijk tot 10 minuten voordat Azure DNS-records zijn bijgewerkt.

Beheerwijzigingen

Beveiligings-principals die toegang moeten hebben tot permanent verwijderde geheimen, moeten meer toegangsbeleidsmachtigingen krijgen om deze geheimen en de sleutelkluis op te schonen.

Schakel alle Azure Policy toewijzingen in uw sleutelkluizen uit die verplicht stellen dat voorlopig verwijderen is uitgeschakeld. Mogelijk moet u dit probleem escaleren naar een beheerder die Azure Policy toewijzingen beheert die zijn toegepast op uw omgeving. Als deze beleidstoewijzing niet is uitgeschakeld, verliest u mogelijk de mogelijkheid om nieuwe sleutelkluizen te maken binnen het bereik van de toegepaste beleidstoewijzing.

Als uw organisatie onderhevig is aan wettelijke nalevingsvereisten en het niet is toegestaan om verwijderde sleutelkluizen en geheimen voor langere tijd in een herstelbare staat te houden, moet u de bewaarperiode van voorlopig verwijderen aanpassen om te voldoen aan de standaarden van uw organisatie. U kunt de bewaarperiode instellen op 7 tot 90 dagen.

Procedures

Uw sleutelkluizen controleren om te kijken of de functie voor voorlopig verwijderen is ingeschakeld

  1. Meld u aan bij de Azure-portal.
  2. Zoek naar Azure Policy.
  3. Selecteer Definities.
  4. Selecteer onder Categorie de optie Key Vault in het filter.
  5. Selecteer de beleidsregel Voorlopig verwijderen moet zijn ingeschakeld voor de sleutelkluis.
  6. Selecteer Toewijzen.
  7. Stel het bereik in op uw abonnement.
  8. Controleer of het effect van de beleidsregel is ingesteld op Controleren.
  9. Selecteer Controleren + maken. Een volledige scan van uw omgeving duurt mogelijk tot 24 uur.
  10. Klik in het venster Azure Policy op Naleving.
  11. Selecteer het beleid dat u hebt toegepast.

U kunt nu filteren op welke sleutelkluizen voorlopig verwijderen hebben ingeschakeld (conforme resources) en voor welke sleutelkluizen voorlopig verwijderen is uitgeschakeld (niet-conforme resources).

Voorlopig verwijderen inschakelen voor een bestaande sleutelkluis

  1. Meld u aan bij de Azure-portal.
  2. Zoek uw sleutelkluis.
  3. Selecteer Eigenschappen onder Instellingen.
  4. Schakel onder Voorlopig verwijderen de optie Herstel van deze kluis en de objecten inschakelen in.
  5. Stel de bewaarperiode in voor voorlopig verwijderen.
  6. Selecteer Opslaan.

Machtigingen voor het opschonen van toegangsbeleidsmachtigingen toekennen aan een beveiligings-principal

  1. Meld u aan bij de Azure-portal.
  2. Zoek uw sleutelkluis.
  3. Selecteer Toegangsbeleid onder Instellingen.
  4. Selecteer de service-principal waaraan u toegang wilt verlenen.
  5. Balder door elk vervolgkeuzemenu onder Sleutel, Geheim en Certificaatmachtigingen tot u Machtigingsbewerkingen ziet. Selecteer de machtiging Opschonen.

Veelgestelde vragen

Heeft deze wijziging gevolgen voor mij?

Als u de voorlopig verwijderen al hebt ingeschakeld of als u geen sleutelkluisobjecten verwijdert en met dezelfde naam opnieuw probeert te maken, zult u waarschijnlijk geen verandering merken in het gedrag van de sleutelkluis.

Als u een toepassing hebt die regelmatig sleutelkluisobjecten verwijdert en met dezelfde naamconventies probeert een nieuwe kluis te maken, moet u de toepassingslogica aanpassen om het verwachte gedrag te behouden. Raadpleeg het gedeelte Toepassingswijzigingen in dit artikel.

Hoe kan ik voordeel hebben van deze wijziging?

Met de beveiliging door voorlopig verwijderen beschikt uw organisatie over een extra beveiligingslaag die bescherming biedt tegen onbedoelde of kwaadwillende verwijdering. Als sleutelkluisbeheerder kunt u de toegang beperken tot zowel herstelmachtigingen als machtigingen voor opschonen.

Als een gebruiker per ongeluk een sleutelkluis of geheim verwijdert, kunt u hem of haar toegangsmachtigingen verlenen om het geheim zelf te herstellen zonder dat u het risico loopt dat het geheim of de sleutelkluis permanent wordt verwijderd. Dit self-service proces vermindert de downtime in uw omgeving en garandeert de beschikbaarheid van geheimen.

Hoe kan ik erachter komen of ik actie moet ondernemen?

Volg de stappen in het gedeelte Controleren of voorlopig verwijderen is ingeschakeld in uw sleutelkluizen in dit artikel. Deze wijziging is van invloed op elke sleutelkluis waarvoor voorlopig verwijderen nog niet is ingeschakeld.

Welke actie moet ik nemen?

Nadat u hebt bevestigd dat u geen wijzigingen hoeft door te voeren in uw toepassingslogica, schakelt u voorlopig verwijderen voor al uw sleutelkluizen in.

Wanneer moet ik actie ondernemen?

Om ervoor te zorgen dat uw toepassingen niet worden beïnvloed, schakelt u de optie voor voorlopig verwijderen zo snel mogelijk in voor al uw sleutelkluizen.

Volgende stappen