Udostępnij za pośrednictwem

Zarządzanie odzyskiwaniem usługi Azure Key Vault przy użyciu funkcji usuwania nietrwałego i ochrony przed przeczyszczeniem

  • Artykuł

W tym artykule opisano dwie funkcje odzyskiwania usługi Azure Key Vault, usuwanie nietrwałe i ochronę przed przeczyszczeniem. Ten dokument zawiera omówienie tych funkcji i pokazuje, jak zarządzać nimi za pośrednictwem witryny Azure Portal, interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell.

Ważne

Jeśli magazyn kluczy nie ma włączonej ochrony przed usuwaniem nietrwałym, usunięcie klucza spowoduje jego trwałe usunięcie. Klienci są zdecydowanie zachęcani do włączania wymuszania usuwania nietrwałego dla swoich magazynów za pośrednictwem usługi Azure Policy.

Aby uzyskać więcej informacji na temat usługi Key Vault, zobacz

Wymagania wstępne

Co to jest usuwanie nietrwałe i ochrona przed przeczyszczaniem

Usuwanie nietrwałe i ochrona przed przeczyszczeniem to dwie różne funkcje odzyskiwania magazynu kluczy.

Usuwanie nietrwałe zostało zaprojektowane tak, aby zapobiec przypadkowemu usunięciu magazynu kluczy i kluczy, wpisów tajnych i certyfikatów przechowywanych w magazynie kluczy. Pomyśl o usunięciu nietrwałym, jak kosz. Usunięcie magazynu kluczy lub obiektu magazynu kluczy pozostaje możliwe do odzyskania dla konfigurowalnego okresu przechowywania przez użytkownika lub domyślnie 90 dni. Magazyny kluczy w stanie usunięcia nietrwałego mogą być również przeczyszczane (trwale usunięte), co umożliwia ponowne utworzenie magazynów kluczy i obiektów magazynu kluczy o tej samej nazwie. Zarówno odzyskiwanie, jak i usuwanie magazynów kluczy i obiektów wymaga podniesionych uprawnień zasad dostępu. Po włączeniu usuwania nietrwałego nie można go wyłączyć.

Należy pamiętać, że nazwy magazynów kluczy są globalnie unikatowe, dlatego nie można utworzyć magazynu kluczy o takiej samej nazwie jak magazyn kluczy w stanie usunięcia nietrwałego. Podobnie nazwy kluczy, wpisów tajnych i certyfikatów są unikatowe w magazynie kluczy. Nie można utworzyć wpisu tajnego, klucza lub certyfikatu o takiej samej nazwie jak inny w stanie usunięcia nietrwałego.

Ochrona przed przeczyszczeniem została zaprojektowana w taki sposób, aby zapobiec usunięciu magazynu kluczy, kluczy, wpisów tajnych i certyfikatów przez złośliwy tester. Pomyśl o tym jako kosz z blokadą opartą na czasie. Elementy można odzyskać w dowolnym momencie w konfigurowalnym okresie przechowywania. Nie będzie można trwale usunąć ani przeczyścić magazynu kluczy do czasu upływu okresu przechowywania. Po upływie okresu przechowywania magazyn kluczy lub obiekt magazynu kluczy zostanie automatycznie przeczyszczone.

Uwaga

Ochrona przed przeczyszczeniem została zaprojektowana tak, aby żadna rola administratora ani uprawnienia nie mogły zastąpić, wyłączyć ani obejść ochrony przed przeczyszczeniem. Po włączeniu ochrony przed przeczyszczeniem nie można jej wyłączyć ani zastąpić przez nikogo, w tym firmę Microsoft. Oznacza to, że musisz odzyskać usunięty magazyn kluczy lub poczekać na upłynięcie okresu przechowywania przed ponownym użyciem nazwy magazynu kluczy.

Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault

Sprawdź, czy usuwanie nietrwałe jest włączone w magazynie kluczy i włącz usuwanie nietrwałe

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Wybierz blok "Właściwości".
  4. Sprawdź, czy przycisk radiowy obok pozycji Usuwanie nietrwałe jest ustawiony na wartość "Włącz odzyskiwanie".
  5. Jeśli usuwanie nietrwałe nie jest włączone w magazynie kluczy, wybierz przycisk radiowy, aby włączyć usuwanie nietrwałe, a następnie wybierz pozycję "Zapisz".

Na właściwości, usuwanie nietrwałe jest wyróżnione, podobnie jak wartość, aby ją włączyć.

Udzielanie dostępu do jednostki usługi w celu przeczyszczania i odzyskiwania usuniętych wpisów tajnych

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Wybierz blok "Zasady dostępu".
  4. W tabeli znajdź wiersz podmiotu zabezpieczeń, do którego chcesz udzielić dostępu (lub dodaj nowego podmiotu zabezpieczeń).
  5. Wybierz listę rozwijaną kluczy, certyfikatów i wpisów tajnych.
  6. Przewiń do dołu listy rozwijanej i wybierz pozycję "Odzyskaj" i "Przeczyść"
  7. Podmioty zabezpieczeń wymagają również funkcji "get" i "list", aby wykonywać większość operacji.

W okienku nawigacji po lewej stronie wyróżniono zasady dostępu. W obszarze Zasady dostępu zostanie wyświetlona lista rozwijana Pozycje wpisów tajnych, a cztery elementy są zaznaczone: Pobierz, Wyświetl, Odzyskaj i Przeczyść.

Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałego magazynu kluczy

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pasek wyszukiwania w górnej części strony.
  3. Wyszukaj usługę „Key Vault”. Nie wybieraj pojedynczego magazynu kluczy.
  4. W górnej części ekranu wybierz opcję "Zarządzaj usuniętymi magazynami"
  5. Po prawej stronie ekranu zostanie otwarte okienko kontekstowe.
  6. Wybierz subskrypcję.
  7. Jeśli magazyn kluczy został usunięty nietrwale, zostanie wyświetlony w okienku kontekstowym po prawej stronie.
  8. Jeśli istnieje zbyt wiele magazynów, możesz wybrać pozycję "Załaduj więcej" w dolnej części okienka kontekstu lub użyć interfejsu wiersza polecenia lub programu PowerShell, aby uzyskać wyniki.
  9. Po znalezieniu magazynu, który chcesz odzyskać lub przeczyścić, zaznacz pole wyboru obok niego.
  10. Wybierz opcję odzyskiwania w dolnej części okienka kontekstowego, jeśli chcesz odzyskać magazyn kluczy.
  11. Wybierz opcję przeczyszczania, jeśli chcesz trwale usunąć magazyn kluczy.

W magazynach kluczy wyróżniono opcję Zarządzaj usuniętymi magazynami.

W obszarze Zarządzanie usuniętymi magazynami kluczy jest wyróżniony i zaznaczony jedyny na liście magazyn kluczy, a przycisk Odzyskaj jest wyróżniony.

Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałych wpisów tajnych, kluczy i certyfikatów

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Wybierz blok odpowiadający typowi wpisu tajnego, którym chcesz zarządzać (klucze, wpisy tajne lub certyfikaty).
  4. W górnej części ekranu wybierz pozycję "Zarządzaj usuniętymi kluczami, wpisami tajnymi lub certyfikatami)
  5. Po prawej stronie ekranu zostanie wyświetlone okienko kontekstowe.
  6. Jeśli na liście nie ma wpisu tajnego, klucza lub certyfikatu, nie jest on w stanie usunięcia nietrwałego.
  7. Wybierz klucz tajny, klucz lub certyfikat, którym chcesz zarządzać.
  8. Wybierz opcję odzyskania lub przeczyszczenia w dolnej części okienka kontekstowego.

W obszarze Klucze wyróżniono opcję Zarządzaj usuniętymi kluczami.

Następne kroki