Beheerde HSM-beveiliging voor voorlopig verwijderen en opschonen

Artikel
02/20/2024

In dit artikel worden twee herstelfuncties van beheerde HSM beschreven: voorlopig verwijderen en beveiliging tegen opschonen. Het biedt een overzicht van deze functies en laat zien hoe u deze kunt beheren met behulp van de Azure CLI en Azure PowerShell.

Zie Overzicht van beheerde HSM voor meer informatie.

Vereisten

Een Azure-abonnement. Maak er gratis een.
De PowerShell-module.
Azure CLI 2.25.0 of hoger. Voer uit az --version om te bepalen welke versie u hebt. Zie Azure CLI installeren als u de CLI wilt installeren of een upgrade wilt uitvoeren.
Een beheerde HSM. U kunt er een maken met behulp van de Azure CLI of Azure PowerShell.

Gebruikers hebben de volgende machtigingen nodig om bewerkingen uit te voeren op voorlopig verwijderde HSM's of sleutels:

Roltoewijzing	Description
Inzender van beheerde HSM	Voorlopig verwijderde HSM's weergeven, herstellen en opschonen
Cryptogebruiker van beheerde HSM	Voorlopig verwijderde sleutels weergeven
Crypto Officer van beheerde HSM	Voorlopig verwijderde sleutels opschonen en herstellen

Wat zijn beveiliging tegen voorlopig verwijderen en opschonen?

Voorlopig verwijderen en beveiliging tegen opschonen zijn herstelfuncties.

Voorlopig verwijderen is ontworpen om onbedoelde verwijdering van uw HSM en sleutels te voorkomen. Voorlopig verwijderen werkt als een prullenbak. Wanneer u een HSM of een sleutel verwijdert, blijft deze herstelbaar gedurende een configureerbare bewaarperiode of voor een standaardperiode van 90 dagen. HSM's en sleutels met de status Voorlopig verwijderd kunnen ook worden opgeschoond, wat betekent dat ze permanent worden verwijderd. Met opschonen kunt u HSM's en sleutels opnieuw maken met dezelfde naam als het opgeschoonde item. Voor zowel het herstellen als verwijderen van HSM's en sleutels zijn specifieke roltoewijzingen vereist. Voorlopig verwijderen kan niet worden uitgeschakeld.

Notitie

Omdat de onderliggende resources toegewezen blijven aan uw HSM, zelfs wanneer deze de status Verwijderd heeft, blijven er uurkosten in rekening worden gebracht voor de HSM-resource terwijl deze zich in die status bevindt.

Namen van beheerde HSM's zijn wereldwijd uniek in elke cloudomgeving. U kunt dus geen beheerde HSM maken met dezelfde naam als een HSM met de status Voorlopig verwijderd. Op dezelfde manier zijn de namen van sleutels uniek binnen een HSM. U kunt geen sleutel maken met dezelfde naam als een sleutel die de status Voorlopig verwijderd heeft.

Zie Managed HSM soft-delete overview (Overzicht van voorlopig verwijderen van beheerde HSM) voor meer informatie.

Beveiliging tegen opschonen is ontworpen om te voorkomen dat uw HSM's en sleutels door een kwaadwillende insider worden verwijderd. Het is net een prullenbak met een vergrendeling op basis van tijd. U kunt items op elk gewenst moment tijdens de configureerbare bewaarperiode herstellen. U kunt een HSM of sleutel pas definitief verwijderen of opschonen als de bewaarperiode is afgelopen. Wanneer de bewaarperiode afloopt, wordt de HSM of sleutel automatisch opgeschoond.

Notitie

Geen enkele beheerdersrol of -machtiging kan beveiliging tegen opschonen overschrijven, uitschakelen of omzeilen. Als beveiliging tegen opschonen is ingeschakeld, kan deze door niemand worden uitgeschakeld of overschreven, met inbegrip van Microsoft. U moet dus een verwijderde HSM herstellen of wachten tot de bewaarperiode is afgelopen voordat u de HSM-naam opnieuw kunt gebruiken.

Beheerde HSM's (CLI)

De status van de beveiliging voor voorlopig verwijderen en opschonen voor een beheerde HSM controleren:
```
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Een HSM verwijderen:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Deze actie kan worden hersteld omdat voorlopig verwijderen standaard is ingeschakeld.

Ga als volgende te werk om alle voorlopig verwijderde HSM's weer te geven:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Een voorlopig verwijderde HSM herstellen:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Een voorlopig verwijderde HSM opschonen:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Waarschuwing

Met deze bewerking wordt uw HSM definitief verwijderd.

Beveiliging tegen opschonen inschakelen op een HSM:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Sleutels (CLI)

Een sleutel verwijderen:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Verwijderde sleutels weergeven:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Een verwijderde sleutel herstellen:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Een voorlopig verwijderde sleutel opschonen:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Waarschuwing

Met deze bewerking wordt uw sleutel definitief verwijderd.

Beheerde HSM's (PowerShell)

De status van de beveiliging voor voorlopig verwijderen en opschonen voor een beheerde HSM controleren:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
Een HSM verwijderen:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Deze actie kan worden hersteld omdat voorlopig verwijderen standaard is ingeschakeld.

Sleutels (PowerShell)

Een sleutel verwijderen:

Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'

Alle verwijderde sleutels weergeven:

Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState

Een voorlopig verwijderde sleutel herstellen:

Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey

Een voorlopig verwijderde sleutel opschonen:
```
Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
```
Waarschuwing

Met deze bewerking wordt uw sleutel definitief verwijderd.