Udostępnij za pośrednictwem

Zarządzanie odzyskiwaniem usługi Azure Key Vault przy użyciu funkcji usuwania nietrwałego i ochrony przed przeczyszczeniem

  • Artykuł

W tym artykule opisano dwie funkcje odzyskiwania usługi Azure Key Vault, usuwanie nietrwałe i ochronę przed przeczyszczeniem. Ten dokument zawiera omówienie tych funkcji i pokazuje, jak zarządzać nimi za pośrednictwem witryny Azure Portal, interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell.

Aby uzyskać więcej informacji na temat usługi Key Vault, zobacz

Wymagania wstępne

Co to jest usuwanie nietrwałe i ochrona przed przeczyszczaniem

Usuwanie nietrwałe i ochrona przed przeczyszczeniem to dwie różne funkcje odzyskiwania magazynu kluczy.

Usuwanie nietrwałe zostało zaprojektowane tak, aby zapobiec przypadkowemu usunięciu magazynu kluczy i kluczy, wpisów tajnych i certyfikatów przechowywanych w magazynie kluczy. Pomyśl o usunięciu nietrwałym, jak kosz. Usunięcie magazynu kluczy lub obiektu magazynu kluczy pozostanie możliwe do odzyskania dla konfigurowalnego okresu przechowywania przez użytkownika lub domyślnie 90 dni. Magazyny kluczy w stanie usunięcia nietrwałego można również przeczyścić, co oznacza, że zostaną trwale usunięte. Dzięki temu można ponownie utworzyć magazyny kluczy i obiekty magazynu kluczy o tej samej nazwie. Zarówno odzyskiwanie, jak i usuwanie magazynów kluczy i obiektów wymaga podniesionych uprawnień zasad dostępu. Po włączeniu usuwania nietrwałego nie można go wyłączyć.

Ważne

Należy natychmiast włączyć usuwanie nietrwałe w magazynach kluczy. Możliwość rezygnacji z usuwania nietrwałego jest przestarzała i zostanie usunięta w lutym 2025 r. Zobacz pełne szczegóły tutaj

Należy pamiętać, że nazwy magazynów kluczy są globalnie unikatowe, więc nie będzie można utworzyć magazynu kluczy o takiej samej nazwie jak magazyn kluczy w stanie usunięcia nietrwałego. Podobnie nazwy kluczy, wpisów tajnych i certyfikatów są unikatowe w magazynie kluczy. Nie będzie można utworzyć wpisu tajnego, klucza lub certyfikatu o takiej samej nazwie jak inny w stanie usunięcia nietrwałego.

Ochrona przed przeczyszczeniem została zaprojektowana w taki sposób, aby zapobiec usunięciu magazynu kluczy, kluczy, wpisów tajnych i certyfikatów przez złośliwy tester. Pomyśl o tym jako kosz z blokadą opartą na czasie. Elementy można odzyskać w dowolnym momencie w konfigurowalnym okresie przechowywania. Nie będzie można trwale usunąć ani przeczyścić magazynu kluczy do czasu upływu okresu przechowywania. Po upływie okresu przechowywania magazyn kluczy lub obiekt magazynu kluczy zostanie automatycznie przeczyszczony.

Uwaga

Ochrona przed przeczyszczeniem została zaprojektowana tak, aby żadna rola administratora ani uprawnienia nie mogły zastąpić, wyłączyć ani obejść ochrony przed przeczyszczeniem. Gdy ochrona przed przeczyszczaniem zostanie włączona, nikt nie może jej wyłączyć ani przesłonić, włącznie z firmą Microsoft. Oznacza to, że musisz odzyskać usunięty magazyn kluczy lub poczekać na upłynięcie okresu przechowywania przed ponownym użyciem nazwy magazynu kluczy.

Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault

Sprawdź, czy usuwanie nietrwałe jest włączone w magazynie kluczy i włącz usuwanie nietrwałe

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Kliknij blok "Właściwości".
  4. Sprawdź, czy przycisk radiowy obok pozycji Usuwanie nietrwałe jest ustawiony na wartość "Włącz odzyskiwanie".
  5. Jeśli usuwanie nietrwałe nie jest włączone w magazynie kluczy, kliknij przycisk radiowy, aby włączyć usuwanie nietrwałe, a następnie kliknij przycisk "Zapisz".

Na właściwości, usuwanie nietrwałe jest wyróżnione, podobnie jak wartość, aby ją włączyć.

Udzielanie dostępu do jednostki usługi w celu przeczyszczania i odzyskiwania usuniętych wpisów tajnych

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Kliknij blok "Zasady dostępu".
  4. W tabeli znajdź wiersz podmiotu zabezpieczeń, do którego chcesz udzielić dostępu (lub dodaj nowego podmiotu zabezpieczeń).
  5. Kliknij listę rozwijaną kluczy, certyfikatów i wpisów tajnych.
  6. Przewiń w dół listy rozwijanej i kliknij pozycję "Odzyskaj" i "Przeczyść"
  7. Podmioty zabezpieczeń będą również potrzebować funkcji pobierania i wyświetlania listy, aby wykonywać większość operacji.

W okienku nawigacji po lewej stronie wyróżniono zasady dostępu. W obszarze Zasady dostępu zostanie wyświetlona lista rozwijana Pozycje wpisów tajnych, a cztery elementy są zaznaczone: Pobierz, Wyświetl, Odzyskaj i Przeczyść.

Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałego magazynu kluczy

  1. Zaloguj się w witrynie Azure Portal.
  2. Kliknij pasek wyszukiwania na górze strony.
  3. Wyszukaj usługę „Key Vault”. Nie klikaj pojedynczego magazynu kluczy.
  4. W górnej części ekranu kliknij opcję „Zarządzaj usuniętymi magazynami”
  5. Po prawej stronie ekranu otworzy się okienko kontekstowe.
  6. Wybierz subskrypcję.
  7. Jeśli magazyn kluczy nie został usunięty trwale, zostanie wyświetlony w okienku kontekstowym po prawej stronie.
  8. Jeśli istnieje zbyt wiele magazynów, możesz użyć do uzyskania wyników pozycji „Załaduj więcej” w dolnej części okienka kontekstu lub interfejsu wiersza polecenia albo programu PowerShell.
  9. Po znalezieniu magazynu, który chcesz odzyskać lub przeczyścić, zaznacz pole wyboru obok niego.
  10. Wybierz opcję odzyskiwania w dolnej części okienka kontekstowego, jeśli chcesz odzyskać magazyn kluczy.
  11. Wybierz opcję przeczyszczania, jeśli chcesz trwale usunąć magazyn kluczy.

W magazynach kluczy wyróżniono opcję Zarządzaj usuniętymi magazynami.

W obszarze Zarządzanie usuniętymi magazynami kluczy jest wyróżniony i zaznaczony jedyny na liście magazyn kluczy, a przycisk Odzyskaj jest wyróżniony.

Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałych wpisów tajnych, kluczy i certyfikatów

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Wybierz blok odpowiadający typowi wpisu tajnego, którym chcesz zarządzać (klucze, wpisy tajne lub certyfikaty).
  4. W górnej części ekranu kliknij pozycję "Zarządzaj usuniętymi kluczami, wpisami tajnymi lub certyfikatami)
  5. Po prawej stronie ekranu zostanie wyświetlone okienko kontekstowe.
  6. Jeśli na liście nie ma wpisu tajnego, klucza lub certyfikatu, nie jest on w stanie usunięcia nietrwałego.
  7. Wybierz klucz tajny, klucz lub certyfikat, którym chcesz zarządzać.
  8. Wybierz opcję odzyskania lub przeczyszczenia w dolnej części okienka kontekstowego.

W obszarze Klucze wyróżniono opcję Zarządzaj usuniętymi kluczami.

Następne kroki