Tworzenie i przywracanie kopii zapasowej usługi Azure Key Vault

  • Artykuł

W tym dokumencie pokazano, jak utworzyć kopię zapasową wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Kopia zapasowa jest przeznaczona do udostępnienia kopii w trybie offline wszystkich wpisów tajnych w mało prawdopodobnym przypadku, w którym utracisz dostęp do magazynu kluczy.

Omówienie

Usługa Azure Key Vault automatycznie udostępnia funkcje ułatwiające utrzymanie dostępności i zapobieganie utracie danych. Tworzenie kopii zapasowych wpisów tajnych tylko wtedy, gdy masz krytyczne uzasadnienie biznesowe. Tworzenie kopii zapasowych wpisów tajnych w magazynie kluczy może powodować wyzwania operacyjne, takie jak utrzymywanie wielu zestawów dzienników, uprawnień i kopii zapasowych po wygaśnięciu lub rotacji wpisów tajnych.

Usługa Key Vault utrzymuje dostępność w scenariuszach awarii i automatycznie przełączy żądania w tryb failover do sparowanego regionu bez żadnej interwencji użytkownika. Aby uzyskać więcej informacji, zobacz Dostępność i nadmiarowość usługi Azure Key Vault.

Jeśli chcesz mieć ochronę przed przypadkowym lub złośliwym usunięciem wpisów tajnych, skonfiguruj funkcje ochrony przed usuwaniem nietrwałym i przeczyszczania w magazynie kluczy. Aby uzyskać więcej informacji, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault.

Ograniczenia

Ważne

Usługa Key Vault nie obsługuje możliwości tworzenia kopii zapasowych ponad 500 wcześniejszych wersji klucza, wpisu tajnego lub obiektu certyfikatu. Próba utworzenia kopii zapasowej klucza, wpisu tajnego lub obiektu certyfikatu może spowodować wystąpienie błędu. Nie można usunąć poprzednich wersji klucza, wpisu tajnego lub certyfikatu.

Usługa Key Vault nie zapewnia obecnie możliwości tworzenia kopii zapasowej całego magazynu kluczy w ramach jednej operacji i kluczy, wpisów tajnych i certyfikatów muszą być kopiami zapasowymi w sposób niezaumyślny.

Rozważ również następujące problemy:

  • Tworzenie kopii zapasowych wpisów tajnych, które mają wiele wersji, może powodować błędy przekroczenia limitu czasu.
  • Kopia zapasowa tworzy migawkę do punktu w czasie. Wpisy tajne mogą być odnawiane podczas tworzenia kopii zapasowej, co powoduje niezgodność kluczy szyfrowania.
  • Jeśli przekroczysz limity usługi magazynu kluczy dla żądań na sekundę, magazyn kluczy zostanie ograniczony, a kopia zapasowa zakończy się niepowodzeniem.

Uwagi dotyczące projektowania

Podczas tworzenia kopii zapasowej obiektu magazynu kluczy, takiego jak wpis tajny, klucz lub certyfikat, operacja tworzenia kopii zapasowej pobierze obiekt jako zaszyfrowany obiekt blob. Nie można odszyfrować tego obiektu blob poza platformą Azure. Aby uzyskać użyteczne dane z tego obiektu blob, musisz przywrócić obiekt blob do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure.

Wymagania wstępne

Aby utworzyć kopię zapasową obiektu magazynu kluczy, musisz mieć następujące elementy:

  • Uprawnienia na poziomie współautora lub wyższym w subskrypcji platformy Azure.
  • Podstawowy magazyn kluczy zawierający wpisy tajne, których kopię zapasową chcesz utworzyć.
  • Pomocniczy magazyn kluczy, w którym zostaną przywrócone wpisy tajne.

Tworzenie kopii zapasowej i przywracanie z witryny Azure Portal

Wykonaj kroki opisane w tej sekcji, aby utworzyć kopię zapasową i przywrócić obiekty przy użyciu witryny Azure Portal.

Wykonywanie kopii zapasowej

  1. Przejdź do portalu Azure Portal.

  2. Wybierz magazyn kluczy.

  3. Przejdź do obiektu (wpisu tajnego, klucza lub certyfikatu), którego kopię zapasową chcesz utworzyć.

    Screenshot showing where to select the Keys setting and an object in a key vault.

  4. Wybierz obiekt.

  5. Wybierz pozycję Pobierz kopię zapasową.

    Screenshot showing where to select the Download Backup button in a key vault.

  6. Wybierz Pobierz.

    Screenshot showing where to select the Download button in a key vault.

  7. Zapisz zaszyfrowany obiekt blob w bezpiecznej lokalizacji.

Przywracanie

  1. Przejdź do portalu Azure Portal.

  2. Wybierz magazyn kluczy.

  3. Przejdź do typu obiektu (wpisu tajnego, klucza lub certyfikatu), który chcesz przywrócić.

  4. Wybierz pozycję Przywróć kopię zapasową.

    Screenshot showing where to select Restore Backup in a key vault.

  5. Przejdź do lokalizacji, w której zapisano zaszyfrowany obiekt blob.

  6. Wybierz przycisk OK.

Tworzenie kopii zapasowej i przywracanie z interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Następne kroki