Zarządzanie odzyskiwaniem w usłudze Azure Key Vault z funkcją usuwania nietrwałego i ochrony przed przeczyszczeniem

Artykuł
02/20/2024

W tym artykule opisano dwie funkcje odzyskiwania usługi Azure Key Vault, usuwanie nietrwałe i ochronę przed przeczyszczeniem. Ten dokument zawiera omówienie tych funkcji i pokazuje, jak nimi zarządzać za pośrednictwem Azure Portal, interfejsu wiersza polecenia platformy Azure i Azure PowerShell.

Aby uzyskać więcej informacji na temat Key Vault, zobacz

Wymagania wstępne

Subskrypcja platformy Azure — utwórz bezpłatnie
Zainstalowanie programu Azure PowerShell.
Interfejs wiersza polecenia platformy Azure
Key Vault — można go utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure Portal Azure lub Azure PowerShell

Użytkownik będzie potrzebować następujących uprawnień (na poziomie subskrypcji), aby wykonywać operacje na magazynach usuniętych nietrwale:

Uprawnienie	Opis
Microsoft.KeyVault/locations/deletedVaults/read	Wyświetlanie właściwości magazynu kluczy usuniętych nietrwale
Microsoft.KeyVault/locations/deletedVaults/purge/action	Przeczyszczanie nietrwałego magazynu kluczy
Microsoft.KeyVault/locations/operationResults/read	Aby sprawdzić stan przeczyszczania magazynu
współautor Key Vault	Aby odzyskać magazyn usunięty nietrwale

Co to jest usuwanie nietrwałe i ochrona przed przeczyszczaniem

Usuwanie nietrwałe i ochrona przed przeczyszczeniem to dwie różne funkcje odzyskiwania magazynu kluczy.

Usuwanie nietrwałe ma na celu zapobieganie przypadkowemu usunięciu magazynu kluczy i kluczy, wpisów tajnych i certyfikatów przechowywanych wewnątrz magazynu kluczy. Usuwanie nietrwałe można traktować jak kosz. Usunięcie magazynu kluczy lub obiektu magazynu kluczy pozostanie możliwe do odzyskania dla konfigurowalnego okresu przechowywania przez użytkownika lub domyślnie przez 90 dni. Magazyny kluczy w stanie usunięcia nietrwałego mogą być również czyszczone , co oznacza, że zostaną trwale usunięte. Dzięki temu można ponownie utworzyć magazyny kluczy i obiekty magazynu kluczy o tej samej nazwie. Zarówno odzyskiwanie, jak i usuwanie magazynów kluczy i obiektów wymaga uprawnień zasad dostępu z podwyższonym poziomem uprawnień. Po włączeniu usuwania nietrwałego nie można go wyłączyć.

Ważne

Należy natychmiast włączyć usuwanie nietrwałe w magazynach kluczy. Możliwość rezygnacji z usuwania nietrwałego jest przestarzała i zostanie usunięta w lutym 2025 r. Zobacz pełne szczegóły tutaj

Należy pamiętać, że nazwy magazynów kluczy są globalnie unikatowe, dlatego nie będzie można utworzyć magazynu kluczy o takiej samej nazwie jak magazyn kluczy w stanie usunięcia nietrwałego. Podobnie nazwy kluczy, wpisów tajnych i certyfikatów są unikatowe w magazynie kluczy. Nie będzie można utworzyć wpisu tajnego, klucza lub certyfikatu o tej samej nazwie co inny w stanie usunięcia nietrwałego.

Ochrona przed przeczyszczeniem została zaprojektowana w celu zapobiegania usuwaniu magazynu kluczy, kluczy, wpisów tajnych i certyfikatów przez złośliwego niejawnego testera. Pomyśl o tym jako koszu z blokadą opartą na czasie. Elementy można odzyskać w dowolnym momencie w konfigurowalnym okresie przechowywania. Nie będzie można trwale usunąć ani przeczyścić magazynu kluczy do czasu upływu okresu przechowywania. Po upływie okresu przechowywania magazyn kluczy lub obiekt magazynu kluczy zostanie automatycznie przeczyszczony.

Uwaga

Ochrona przed przeczyszczeniem została zaprojektowana tak, aby żadna rola administratora ani uprawnienia nie mogły zastąpić, wyłączyć ani obejść ochrony przed przeczyszczeniem. Gdy ochrona przed przeczyszczaniem zostanie włączona, nikt nie może jej wyłączyć ani przesłonić, włącznie z firmą Microsoft. Oznacza to, że należy odzyskać usunięty magazyn kluczy lub poczekać na upłynięcie okresu przechowywania przed ponownym użyciem nazwy magazynu kluczy.

Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Omówienie usuwania nietrwałego w usłudze Azure Key Vault

Sprawdź, czy usuwanie nietrwałe jest włączone w magazynie kluczy i włącz usuwanie nietrwałe

Zaloguj się w witrynie Azure Portal.
Wybierz magazyn kluczy.
Kliknij blok "Właściwości".
Sprawdź, czy przycisk radiowy obok pozycji Usuwanie nietrwałe jest ustawiony na wartość "Włącz odzyskiwanie".
Jeśli usuwanie nietrwałe nie jest włączone w magazynie kluczy, kliknij przycisk radiowy, aby włączyć usuwanie nietrwałe, a następnie kliknij przycisk "Zapisz".

Na właściwości, usuwanie nietrwałe jest wyróżnione, podobnie jak wartość, aby ją włączyć.

Udzielanie dostępu do jednostki usługi w celu przeczyszczania i odzyskiwania usuniętych wpisów tajnych

Zaloguj się w witrynie Azure Portal.
Wybierz magazyn kluczy.
Kliknij blok "Zasady dostępu".
W tabeli znajdź wiersz podmiotu zabezpieczeń, do którego chcesz udzielić dostępu (lub dodaj nowego podmiotu zabezpieczeń).
Kliknij listę rozwijaną kluczy, certyfikatów i wpisów tajnych.
Przewiń w dół listy rozwijanej i kliknij pozycję "Odzyskaj" i "Przeczyść"
Podmioty zabezpieczeń będą również potrzebować funkcji pobierania i wyświetlania listy, aby wykonywać większość operacji.

W okienku nawigacji po lewej stronie wyróżniono zasady dostępu. W obszarze Zasady dostępu jest wyświetlana lista rozwijana Pozycje tajne, a cztery elementy są zaznaczone: Pobierz, Lista, Odzyskaj i Przeczyść.

Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałego magazynu kluczy

Zaloguj się w witrynie Azure Portal.
Kliknij pasek wyszukiwania w górnej części strony.
Wyszukaj usługę "Key Vault". Nie klikaj pojedynczego magazynu kluczy.
W górnej części ekranu kliknij opcję "Zarządzaj usuniętymi magazynami"
Po prawej stronie ekranu zostanie otwarte okienko kontekstowe.
Wybierz subskrypcję.
Jeśli magazyn kluczy został usunięty nietrwale, zostanie wyświetlony w okienku kontekstowym po prawej stronie.
Jeśli istnieje zbyt wiele magazynów, możesz kliknąć pozycję "Załaduj więcej" w dolnej części okienka kontekstu lub użyć interfejsu wiersza polecenia lub programu PowerShell, aby uzyskać wyniki.
Po znalezieniu magazynu, który chcesz odzyskać lub przeczyścić, zaznacz pole wyboru obok niego.
Wybierz opcję odzyskiwania w dolnej części okienka kontekstowego, jeśli chcesz odzyskać magazyn kluczy.
Wybierz opcję przeczyszczania, jeśli chcesz trwale usunąć magazyn kluczy.

W magazynach kluczy wyróżniono opcję Zarządzaj usuniętymi magazynami.

Na stronie Zarządzanie usuniętymi magazynami kluczy jest wyróżniony i zaznaczony jedyny wymieniony magazyn kluczy, a przycisk Odzyskaj jest wyróżniony.

Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwale usuniętych wpisów tajnych, kluczy i certyfikatów

Zaloguj się w witrynie Azure Portal.
Wybierz magazyn kluczy.
Wybierz blok odpowiadający typowi wpisu tajnego, którym chcesz zarządzać (klucze, wpisy tajne lub certyfikaty).
W górnej części ekranu kliknij pozycję "Zarządzaj usuniętymi kluczami, wpisami tajnymi lub certyfikatami)
Po prawej stronie ekranu zostanie wyświetlone okienko kontekstowe.
Jeśli wpis tajny, klucz lub certyfikat nie jest wyświetlany na liście, nie jest w stanie usunięcia nietrwałego.
Wybierz klucz tajny, klucz lub certyfikat, którym chcesz zarządzać.
Wybierz opcję odzyskiwania lub przeczyszczania w dolnej części okienka kontekstowego.

W obszarze Klucze wyróżniono opcję Zarządzaj usuniętymi kluczami.

Key Vault (interfejs wiersza polecenia)

Sprawdź, czy magazyn kluczy ma włączoną funkcję usuwania nietrwałego

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Włączanie usuwania nietrwałego w magazynie kluczy

Wszystkie nowe magazyny kluczy mają domyślnie włączone usuwanie nietrwałe. Jeśli obecnie masz magazyn kluczy, który nie ma włączonego usuwania nietrwałego, użyj następującego polecenia, aby włączyć usuwanie nietrwałe.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```
Usuwanie magazynu kluczy (możliwe do odzyskania w przypadku włączenia usuwania nietrwałego)
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
```

Wyświetlanie listy wszystkich magazynów kluczy usuniętych nietrwale

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Odzyskiwanie nietrwałego magazynu kluczy

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Przeczyść nietrwale usunięty magazyn kluczy (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE MAGAZYNU KLUCZY)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Włączanie ochrony przed przeczyszczeniem w magazynie kluczy

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certyfikaty (interfejs wiersza polecenia)

Udzielanie dostępu do przeczyszczania i odzyskiwania certyfikatów

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Usuwanie certyfikatu

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Wyświetlanie listy usuniętych certyfikatów

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Odzyskiwanie usuniętego certyfikatu

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Przeczyszczanie nietrwałego certyfikatu (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE CERTYFIKATU)

az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Klucze (interfejs wiersza polecenia)

Udzielanie dostępu do przeczyszczania i odzyskiwania kluczy

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Klawisz Delete

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Wyświetlanie listy usuniętych kluczy

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Odzyskiwanie usuniętego klucza

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Przeczyść nietrwały klucz (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE KLUCZA)

az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Wpisy tajne (interfejs wiersza polecenia)

Udzielanie dostępu do przeczyszczania i odzyskiwania wpisów tajnych

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Usuwanie wpisu tajnego

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Wyświetlanie listy usuniętych wpisów tajnych

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Odzyskiwanie usuniętego wpisu tajnego

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Przeczyszczanie nietrwałego wpisu tajnego (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE WPISU TAJNEGO)
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Key Vault (PowerShell)

Sprawdź, czy magazyn kluczy ma włączoną funkcję usuwania nietrwałego
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Usuwanie magazynu kluczy

Remove-AzKeyVault -VaultName 'ContosoVault'

Wyświetlanie listy wszystkich magazynów kluczy usuniętych nietrwale
```
Get-AzKeyVault -InRemovedState
```

Odzyskiwanie nietrwałego magazynu kluczy

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Przeczyść nietrwały magazyn kluczy (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE MAGAZYNU KLUCZY)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Włączanie ochrony przed przeczyszczeniem w magazynie kluczy

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certyfikaty (PowerShell)

Udzielanie uprawnień do odzyskiwania i przeczyszczania certyfikatów

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Usuwanie certyfikatu

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Wyświetlanie listy wszystkich usuniętych certyfikatów w magazynie kluczy
```
Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
```

Odzyskiwanie certyfikatu w stanie usuniętym

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Przeczyszczanie nietrwałego certyfikatu (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE CERTYFIKATU)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Klucze (PowerShell)

Udzielanie uprawnień do odzyskiwania i przeczyszczania kluczy

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Usuń klucz

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Wyświetlanie listy wszystkich usuniętych kluczy w magazynie kluczy
```
Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
```

Aby odzyskać nietrwały klucz

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Przeczyszczanie nietrwałego klucza (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE KLUCZA)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Wpisy tajne (PowerShell)

Udzielanie uprawnień do odzyskiwania i przeczyszczania wpisów tajnych

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Usuwanie wpisu tajnego o nazwie SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Wyświetlanie listy wszystkich usuniętych wpisów tajnych w magazynie kluczy
```
Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
```

Odzyskiwanie wpisu tajnego w stanie usuniętym

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Przeczyszczanie wpisu tajnego w stanie usuniętym (OSTRZEŻENIE! TA OPERACJA SPOWODUJE TRWAŁE USUNIĘCIE KLUCZA)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```