Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Als voor een sleutelkluis geen beveiliging voor voorlopig verwijderen is ingeschakeld, verwijdert u deze definitief door een sleutel te verwijderen. Klanten worden sterk aangemoedigd om de soft delete-handhaving in te schakelen voor hun beveiligde opslagruimten via Azure Policy.
Belangrijk
Wanneer een Key Vault voorlopig wordt verwijderd, worden services die zijn geïntegreerd met de Key Vault verwijderd. Bijvoorbeeld: Azure RBAC-rollentoewijzingen en Event Grid-abonnementen. Het herstellen van een zacht verwijderde Sleutelkluis herstelt deze services niet. Ze moeten opnieuw worden gemaakt.
Met de Key Vault-functie voor voorlopig verwijderen kunt u de verwijderde kluizen en verwijderde sleutelkluisobjecten herstellen (bijvoorbeeld sleutels, geheimen, certificaten), ook wel voorlopig verwijderen genoemd. In het bijzonder richten we ons op de volgende scenario's: deze beveiliging biedt de volgende beveiligingen:
- Zodra een geheim, sleutel, certificaat of sleutelkluis is verwijderd, blijft deze herstelbaar voor een configureerbare periode van 7 tot 90 kalenderdagen. Als er geen configuratie is opgegeven, wordt de standaardherstelperiode ingesteld op 90 dagen om gebruikers voldoende tijd te bieden om een onbedoelde verwijdering van geheimen te zien en erop te reageren.
- Er moeten twee bewerkingen worden uitgevoerd om een geheim permanent te verwijderen. Ten eerste moet een gebruiker het object verwijderen, waardoor het object de status Voorlopig verwijderd krijgt. Ten tweede moet een gebruiker het object opschonen in de status Voorlopig verwijderd. Deze beveiliging vermindert het risico dat een gebruiker per ongeluk of kwaadwillend een geheim of een sleutelkluis verwijdert.
- Als u een geheim, sleutel of certificaat in de status "Soft Deleted" wilt opschonen, moet aan een beveiligingsidentiteit toestemming voor de opschoonbewerking worden verleend (bijvoorbeeld met de ingebouwde sleutelkluisrol "Sleutelkluis Opschoningsoperator").
Ondersteunende interfaces
De functie voor voorlopig verwijderen is beschikbaar via de REST API, de Azure CLI, Azure PowerShell- en .NET/C# -interfaces en ARM-sjablonen.
Scenarios
Azure Key Vaults zijn bijgehouden resources, beheerd door Azure Resource Manager. Azure Resource Manager geeft ook een goed gedefinieerd gedrag op voor verwijdering. Hiervoor moet een geslaagde DELETE-bewerking ertoe leiden dat de resource niet meer toegankelijk is. Met de functie voorlopig verwijderen wordt het herstel van het verwijderde object opgelost, ongeacht of de verwijdering per ongeluk of opzettelijk is.
In het typische scenario verwijdert een gebruiker per ongeluk een sleutelkluis of een sleutelkluisobject; als dat sleutelkluis- of sleutelkluisobject voor een vooraf bepaalde periode kan worden hersteld, kan de gebruiker de verwijdering ongedaan maken en de gegevens herstellen.
In een ander scenario kan een malafide gebruiker proberen een sleutelkluis of een sleutelkluisobject, zoals een sleutel in een kluis, te verwijderen om een bedrijfsverstoring te veroorzaken. Door het verwijderen van het sleutelkluis- of sleutelkluisobject te scheiden van de daadwerkelijke verwijdering van de onderliggende gegevens, kan worden gebruikt als veiligheidsmaatregel door bijvoorbeeld machtigingen voor het verwijderen van gegevens te beperken tot een andere, vertrouwde rol. Deze aanpak vereist effectief quorum voor een bewerking die anders kan leiden tot een onmiddellijk gegevensverlies.
Gedrag bij voorlopig verwijderen
Wanneer voorlopig verwijderen is ingeschakeld, worden resources die zijn gemarkeerd als verwijderde resources gedurende een opgegeven periode bewaard (standaard 90 dagen). De service biedt verder een mechanisme voor het herstellen van het verwijderde object, waardoor de verwijdering in feite ongedaan wordt maken.
Bij het maken van een nieuwe sleutelkluis is zacht verwijderen standaard ingeschakeld. Zodra soft delete is ingeschakeld voor een sleutelkluis, kan het niet worden uitgeschakeld.
Het interval van het retentiebeleid kan alleen worden geconfigureerd tijdens het aanmaken van de key vault en kan daarna niet meer worden gewijzigd. U kunt deze instellen vanaf 7 tot 90 dagen, waarbij 90 dagen de standaardwaarde zijn. Hetzelfde interval geldt voor zowel voorlopig verwijderen als het bewaarbeleid voor beveiliging tegen opschonen.
U kunt de naam van een sleutelkluis die voorlopig is verwijderd, pas opnieuw gebruiken als de bewaarperiode is verlopen.
Beveiliging tegen leegmaken
Beveiliging tegen opschonen is een optioneel Key Vault-gedrag en is niet standaard ingeschakeld. Beveiliging tegen verwijderen kan alleen worden ingeschakeld zodra soft-verwijderen is ingeschakeld. Bescherming tegen opschoning wordt aanbevolen bij het gebruik van sleutels voor encryptie om gegevensverlies te voorkomen. Voor de meeste Azure-services die kunnen worden geïntegreerd met Azure Key Vault, zoals Storage, is opschoningsbeveiliging vereist om gegevensverlies te voorkomen.
Wanneer beveiliging tegen opschonen is ingeschakeld, kunnen een kluis of een object met de status Verwijderd pas worden opgeschoond nadat de bewaarperiode is verstreken. Voorlopig verwijderde kluizen en objecten kunnen nog steeds worden hersteld, zodat het bewaarbeleid wordt gevolgd.
De standaardretentieperiode is 90 dagen, maar het is mogelijk om het bewaarbeleidsinterval in te stellen op een waarde van 7 tot 90 dagen via Azure Portal. Zodra het bewaarbeleidsinterval is ingesteld en opgeslagen, kan het niet worden gewijzigd voor die kluis.
Opschoningsbeveiliging kan worden ingeschakeld via CLI, PowerShell of Portal.
Toegestane opschoning
Permanent verwijderen en opschonen van een sleutelkluis is mogelijk via een POST-bewerking op de proxyresource en vereist speciale bevoegdheden. In het algemeen kunnen alleen de eigenaar van het abonnement of een gebruiker met de RBAC-rol "Key Vault Purge Operator" een sleutelkluis leegmaken. De POST-bewerking zorgt voor de onmiddellijke en definitieve verwijdering van die kluis.
Uitzonderingen zijn:
- Wanneer het Azure-abonnement is gemarkeerd als niet-verwijderbaar. In dit geval kan alleen de service de daadwerkelijke verwijdering uitvoeren en doet dit als een gepland proces.
- Wanneer het
--enable-purge-protectionargument is ingeschakeld voor de kluis zelf. In dit geval wacht Key Vault 7 tot 90 dagen vanaf het moment dat het oorspronkelijke geheime object is gemarkeerd voor verwijdering om het object definitief te verwijderen.
Zie voor de stappen Hoe Key Vault-soft-delete te gebruiken met CLI: Een sleutelkluis verwijderen of Hoe Key Vault-soft-delete te gebruiken met PowerShell: Een sleutelkluis verwijderen.
Key Vault herstel
Wanneer een sleutelkluis wordt verwijderd, maakt de service een proxyresource onder het abonnement, waarbij voldoende metagegevens worden toegevoegd voor herstel. De proxyresource is een opgeslagen object dat beschikbaar is op dezelfde locatie als de verwijderde sleutelkluis.
Sleutelkluisobjectherstel
Wanneer een sleutelkluisobject, zoals een sleutel, wordt verwijderd, plaatst de service het object in een verwijderde status, waardoor het niet toegankelijk is voor eventuele ophaalbewerkingen. In deze status kan het sleutelkluisobject alleen worden weergegeven, hersteld of geforceerd/permanent worden verwijderd. Als u de objecten wilt weergeven, gebruikt u de Azure CLI-opdracht az keyvault key list-deleted (zoals beschreven in Het gebruik van Key Vault voor voorlopig verwijderen met CLI) of de Azure PowerShell-opdracht Get-AzKeyVault -InRemovedState (zoals beschreven in Het gebruik van Key Vault voor voorlopig verwijderen met PowerShell).
Tegelijkertijd plant Key Vault het verwijderen van de onderliggende gegevens die overeenkomen met het verwijderde sleutelkluis- of sleutelkluisobject voor uitvoering na een vooraf bepaald bewaarinterval. De DNS-record die overeenkomt met de kluis wordt ook bewaard tijdens het bewaarinterval.
Bewaarperiode voor zacht verwijderen
Voorlopig verwijderde resources worden gedurende een bepaalde periode van 90 dagen bewaard. Tijdens het soft-delete retentie-interval is het volgende van toepassing:
- U kunt alle sleutelkluizen en sleutelkluisobjecten in de soft-delete status voor uw abonnement weergeven en toegang krijgen tot verwijderings- en herstelinformatie over deze kluizen.
- Alleen gebruikers met speciale machtigingen kunnen verwijderde kluizen weergeven. We raden aan dat onze gebruikers een aangepaste rol aanmaken met deze speciale machtigingen voor het verwijderen van kluizen.
- Een sleutelkluis met dezelfde naam kan niet op dezelfde locatie worden gemaakt; een sleutelkluisobject kan dus niet worden gemaakt in een bepaalde kluis als die sleutelkluis een object met dezelfde naam bevat en die de status Verwijderd heeft.
- Alleen een specifieke bevoegde gebruiker kan een sleutelkluis of sleutelkluisobject herstellen door een herstelopdracht uit te geven op de bijbehorende proxyresource.
- Een gebruiker die lid is van de aangepaste rol en bevoegd is om een sleutelkluis binnen de resourcegroep te maken, kan de sleutelkluis herstellen.
- Alleen een gebruiker met specifieke bevoegdheden kan een sleutelkluis of sleutelkluisobject geforceerd verwijderen door een verwijderopdracht uit te geven op de bijbehorende proxyresource.
Tenzij een sleutelkluis of sleutelkluisobject wordt hersteld, voert de service aan het einde van de bewaarperiode een verwijdering uit van het voorlopig verwijderde sleutelkluis- of sleutelkluisobject en de inhoud ervan. Het verwijderen van resources kan niet opnieuw worden gepland.
Gevolgen voor facturering
Over het algemeen zijn er slechts twee bewerkingen mogelijk wanneer een object (een sleutelkluis of sleutel of geheim) de status Verwijderd heeft: 'leegmaken' en 'herstellen'. Alle andere bewerkingen mislukken. Hoewel het object bestaat, kunnen er dus geen bewerkingen worden uitgevoerd en dus geen gebruik plaatsvindt, dus geen factuur. Er zijn echter de volgende uitzonderingen:
- De acties 'opschonen' en 'herstellen' tellen mee voor normale sleutelkluisbewerkingen en worden gefactureerd.
- Als het object een HSM-sleutel is, worden de kosten voor de beveiligde HSM-sleutel per sleutelversie per maand toegepast als er in de afgelopen 30 dagen een sleutelversie is gebruikt. Daarna kunnen er geen bewerkingen worden uitgevoerd omdat het object de status Verwijderd heeft, zodat er geen kosten in rekening worden gebracht.
Volgende stappen
De volgende drie handleidingen bieden de primaire gebruiksscenario's voor het gebruik van voorlopig verwijderen.