Delen via


Azure Key Vault: overzicht van voorlopig verwijderen

Belangrijk

Als voor een sleutelkluis geen beveiliging voor voorlopig verwijderen is ingeschakeld, verwijdert u deze definitief door een sleutel te verwijderen. Klanten worden sterk aangeraden om afdwinging van voorlopig verwijderen in te schakelen voor hun kluizen via Azure Policy.

Belangrijk

Wanneer een Key Vault voorlopig wordt verwijderd, worden services die zijn geïntegreerd met de Key Vault verwijderd. Bijvoorbeeld: Azure RBAC-rollentoewijzingen en Event Grid-abonnementen. Als u een voorlopig verwijderde Sleutelkluis herstelt, worden deze services niet hersteld. Ze moeten opnieuw worden gemaakt.

Met de Key Vault-functie voor voorlopig verwijderen kunt u de verwijderde kluizen en verwijderde sleutelkluisobjecten herstellen (bijvoorbeeld sleutels, geheimen, certificaten), ook wel voorlopig verwijderen genoemd. In het bijzonder richten we ons op de volgende scenario's: deze beveiliging biedt de volgende beveiligingen:

  • Zodra een geheim, sleutel, certificaat of sleutelkluis is verwijderd, blijft deze herstelbaar voor een configureerbare periode van 7 tot 90 kalenderdagen. Als er geen configuratie is opgegeven, wordt de standaardherstelperiode ingesteld op 90 dagen om gebruikers voldoende tijd te bieden om een onbedoelde verwijdering van geheimen te zien en erop te reageren.
  • Er moeten twee bewerkingen worden uitgevoerd om een geheim permanent te verwijderen. Ten eerste moet een gebruiker het object verwijderen, waardoor het object de status Voorlopig verwijderd krijgt. Ten tweede moet een gebruiker het object opschonen in de status Voorlopig verwijderd. Deze beveiliging vermindert het risico dat een gebruiker per ongeluk of kwaadwillend een geheim of een sleutelkluis verwijdert.
  • Als u een geheim, sleutel, certificaat met de status Voorlopig verwijderd wilt opschonen, moet aan een beveiligingsprincipaal een machtiging voor opschoning worden verleend (bijvoorbeeld met de ingebouwde sleutelkluisrol Sleutelkluis opschoningsoperator).

Ondersteunende interfaces

De functie voor voorlopig verwijderen is beschikbaar via de REST API, de Azure CLI, Azure PowerShell en .NET/C# -interfaces, evenals ARM-sjablonen.

Scenario's

Azure Key Vaults zijn bijgehouden resources, beheerd door Azure Resource Manager. Azure Resource Manager geeft ook een goed gedefinieerd gedrag op voor verwijdering. Hiervoor moet een geslaagde DELETE-bewerking ertoe leiden dat de resource niet meer toegankelijk is. Met de functie voorlopig verwijderen wordt het herstel van het verwijderde object opgelost, ongeacht of de verwijdering per ongeluk of opzettelijk is.

  1. In het typische scenario verwijdert een gebruiker per ongeluk een sleutelkluis of een sleutelkluisobject; als dat sleutelkluis- of sleutelkluisobject voor een vooraf bepaalde periode kan worden hersteld, kan de gebruiker de verwijdering ongedaan maken en de gegevens herstellen.

  2. In een ander scenario kan een rogue gebruiker proberen een sleutelkluis of een sleutelkluisobject, zoals een sleutel in een kluis, te verwijderen om een bedrijfsonderbreking te veroorzaken. Door het verwijderen van het sleutelkluis- of sleutelkluisobject te scheiden van de daadwerkelijke verwijdering van de onderliggende gegevens, kan worden gebruikt als veiligheidsmaatregel door bijvoorbeeld machtigingen voor het verwijderen van gegevens te beperken tot een andere, vertrouwde rol. Deze aanpak vereist effectief quorum voor een bewerking die anders kan leiden tot een onmiddellijk gegevensverlies.

Gedrag bij voorlopig verwijderen

Wanneer voorlopig verwijderen is ingeschakeld, worden resources die zijn gemarkeerd als verwijderde resources gedurende een opgegeven periode bewaard (standaard 90 dagen). De service biedt verder een mechanisme voor het herstellen van het verwijderde object, waardoor de verwijdering in feite ongedaan wordt maken.

Bij het maken van een nieuwe sleutelkluis is voorlopig verwijderen standaard ingeschakeld. Zodra voorlopig verwijderen is ingeschakeld voor een sleutelkluis, kan deze niet worden uitgeschakeld.

Het interval van het bewaarbeleid kan alleen worden geconfigureerd tijdens het maken van de sleutelkluis en kan daarna niet meer worden gewijzigd. U kunt deze instellen vanaf 7 tot 90 dagen, waarbij 90 dagen de standaardwaarde zijn. Hetzelfde interval geldt voor zowel voorlopig verwijderen als het bewaarbeleid voor beveiliging tegen opschonen.

U kunt de naam van een sleutelkluis die voorlopig is verwijderd, pas opnieuw gebruiken als de bewaarperiode is verlopen.

Beveiliging tegen leegmaken

Beveiliging tegen opschonen is een optioneel Key Vault-gedrag en is niet standaard ingeschakeld. Beveiliging tegen opschonen kan alleen worden ingeschakeld zodra voorlopig verwijderen is ingeschakeld. Beveiliging tegen opschonen wordt aanbevolen bij het gebruik van sleutels voor versleuteling om gegevensverlies te voorkomen. Voor de meeste Azure-services die kunnen worden geïntegreerd met Azure Key Vault, zoals Storage, is opschoningsbeveiliging vereist om gegevensverlies te voorkomen.

Wanneer beveiliging tegen opschonen is ingeschakeld, kunnen een kluis of een object met de status Verwijderd pas worden opgeschoond nadat de bewaarperiode is verstreken. Voorlopig verwijderde kluizen en objecten kunnen nog steeds worden hersteld, zodat het bewaarbeleid wordt gevolgd.

De standaardretentieperiode is 90 dagen, maar het is mogelijk om het bewaarbeleidsinterval in te stellen op een waarde van 7 tot 90 dagen via Azure Portal. Zodra het bewaarbeleidsinterval is ingesteld en opgeslagen, kan het niet worden gewijzigd voor die kluis.

Opschoningsbeveiliging kan worden ingeschakeld via CLI, PowerShell of Portal.

Toegestane opschoning

Permanent verwijderen, opschonen, een sleutelkluis is mogelijk via een POST-bewerking op de proxyresource en vereist speciale bevoegdheden. Over het algemeen kan alleen de eigenaar van het abonnement of een gebruiker met de RBAC-rol Sleutelkluis opschonen een sleutelkluis leegmaken. De POST-bewerking activeert de onmiddellijke en onherstelbare verwijdering van die kluis.

Uitzonderingen zijn:

  • Wanneer het Azure-abonnement is gemarkeerd als ongedaan maken. In dit geval kan alleen de service de daadwerkelijke verwijdering uitvoeren en doet dit als een gepland proces.
  • Wanneer het --enable-purge-protection argument is ingeschakeld voor de kluis zelf. In dit geval wacht Key Vault 7 tot 90 dagen vanaf het moment dat het oorspronkelijke geheime object is gemarkeerd voor verwijdering om het object definitief te verwijderen.

Zie Key Vault voorlopig verwijderen gebruiken met CLI: Een sleutelkluis opschonen of Key Vault voorlopig verwijderen gebruiken met PowerShell: Een sleutelkluis leegmaken.

Key Vault-herstel

Wanneer een sleutelkluis wordt verwijderd, maakt de service een proxyresource onder het abonnement, waarbij voldoende metagegevens worden toegevoegd voor herstel. De proxyresource is een opgeslagen object dat beschikbaar is op dezelfde locatie als de verwijderde sleutelkluis.

Key Vault-objectherstel

Wanneer een sleutelkluisobject, zoals een sleutel, wordt verwijderd, plaatst de service het object in een verwijderde status, waardoor het niet toegankelijk is voor eventuele ophaalbewerkingen. In deze status kan het sleutelkluisobject alleen worden weergegeven, hersteld of geforceerd/permanent worden verwijderd. Als u de objecten wilt weergeven, gebruikt u de Azure CLI-opdracht az keyvault key list-deleted (zoals beschreven in Het gebruik van Key Vault voor voorlopig verwijderen met CLI) of de Azure PowerShell-opdracht Get-AzKeyVault -InRemovedState (zoals beschreven in Het gebruik van Key Vault voor voorlopig verwijderen met PowerShell).

Tegelijkertijd plant Key Vault het verwijderen van de onderliggende gegevens die overeenkomen met het verwijderde sleutelkluis- of sleutelkluisobject voor uitvoering na een vooraf bepaald bewaarinterval. De DNS-record die overeenkomt met de kluis wordt ook bewaard tijdens het bewaarinterval.

Bewaarperiode voor voorlopig verwijderen

Voorlopig verwijderde resources worden gedurende een bepaalde periode van 90 dagen bewaard. Tijdens het retentieinterval voor voorlopig verwijderen is het volgende van toepassing:

  • U kunt alle sleutelkluizen en sleutelkluisobjecten in de status voorlopig verwijderen voor uw abonnement weergeven, evenals toegang tot verwijderings- en herstelgegevens over deze kluizen.
    • Alleen gebruikers met speciale machtigingen kunnen verwijderde kluizen vermelden. We raden aan dat onze gebruikers een aangepaste rol maken met deze speciale machtigingen voor het verwerken van verwijderde kluizen.
  • Een sleutelkluis met dezelfde naam kan niet op dezelfde locatie worden gemaakt; een sleutelkluisobject kan dus niet worden gemaakt in een bepaalde kluis als die sleutelkluis een object met dezelfde naam bevat en die de status Verwijderd heeft.
  • Alleen een specifieke bevoegde gebruiker kan een sleutelkluis of sleutelkluisobject herstellen door een herstelopdracht uit te geven op de bijbehorende proxyresource.
    • De gebruiker, lid van de aangepaste rol, die de bevoegdheid heeft om een sleutelkluis onder de resourcegroep te maken, kan de kluis herstellen.
  • Alleen een gebruiker met specifieke bevoegdheden kan een sleutelkluis of sleutelkluisobject geforceerd verwijderen door een verwijderopdracht uit te geven op de bijbehorende proxyresource.

Tenzij een sleutelkluis of sleutelkluisobject wordt hersteld, voert de service aan het einde van het bewaarinterval een opschoning uit van het voorlopig verwijderde sleutelkluis- of sleutelkluisobject en de inhoud ervan. Het verwijderen van resources kan niet opnieuw worden gepland.

Gevolgen voor facturering

Over het algemeen zijn er slechts twee bewerkingen mogelijk wanneer een object (een sleutelkluis of sleutel of geheim) de status Verwijderd heeft: 'leegmaken' en 'herstellen'. Alle andere bewerkingen mislukken. Hoewel het object bestaat, kunnen er dus geen bewerkingen worden uitgevoerd en dus geen gebruik plaatsvindt, dus geen factuur. Er zijn echter de volgende uitzonderingen:

  • De acties 'opschonen' en 'herstellen' tellen mee voor normale sleutelkluisbewerkingen en worden gefactureerd.
  • Als het object een HSM-sleutel is, worden de kosten voor de beveiligde HSM-sleutel per sleutelversie per maand toegepast als er in de afgelopen 30 dagen een sleutelversie is gebruikt. Daarna kunnen er geen bewerkingen worden uitgevoerd omdat het object de status Verwijderd heeft, zodat er geen kosten in rekening worden gebracht.

Volgende stappen

De volgende drie handleidingen bieden de primaire gebruiksscenario's voor het gebruik van voorlopig verwijderen.