Zarządzanie odzyskiwaniem usługi Azure Key Vault przy użyciu funkcji usuwania nietrwałego i ochrony przed przeczyszczeniem
W tym artykule opisano dwie funkcje odzyskiwania usługi Azure Key Vault, usuwanie nietrwałe i ochronę przed przeczyszczeniem. Ten dokument zawiera omówienie tych funkcji i pokazuje, jak zarządzać nimi za pośrednictwem witryny Azure Portal, interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell.
Aby uzyskać więcej informacji na temat usługi Key Vault, zobacz
Wymagania wstępne
Subskrypcja platformy Azure — utwórz bezpłatnie subskrypcję platformy Azure
Magazyn kluczy — można go utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure w witrynie Azure Portal lub programu Azure PowerShell
Użytkownik będzie potrzebował następujących uprawnień (na poziomie subskrypcji), aby wykonywać operacje na magazynach usuniętych nietrwale:
Uprawnienie opis Microsoft.KeyVault/locations/deletedVaults/read Wyświetlanie właściwości nietrwałego magazynu kluczy Microsoft.KeyVault/locations/deletedVaults/purge/action Przeczyszczanie nietrwałego magazynu kluczy Microsoft.KeyVault/locations/operationResults/read Aby sprawdzić stan przeczyszczania magazynu Współautor usługi Key Vault Aby odzyskać magazyn usunięty nietrwale
Co to jest usuwanie nietrwałe i ochrona przed przeczyszczaniem
Usuwanie nietrwałe i ochrona przed przeczyszczeniem to dwie różne funkcje odzyskiwania magazynu kluczy.
Usuwanie nietrwałe zostało zaprojektowane tak, aby zapobiec przypadkowemu usunięciu magazynu kluczy i kluczy, wpisów tajnych i certyfikatów przechowywanych w magazynie kluczy. Pomyśl o usunięciu nietrwałym, jak kosz. Usunięcie magazynu kluczy lub obiektu magazynu kluczy pozostanie możliwe do odzyskania dla konfigurowalnego okresu przechowywania przez użytkownika lub domyślnie 90 dni. Magazyny kluczy w stanie usunięcia nietrwałego można również przeczyścić, co oznacza, że zostaną trwale usunięte. Dzięki temu można ponownie utworzyć magazyny kluczy i obiekty magazynu kluczy o tej samej nazwie. Zarówno odzyskiwanie, jak i usuwanie magazynów kluczy i obiektów wymaga podniesionych uprawnień zasad dostępu. Po włączeniu usuwania nietrwałego nie można go wyłączyć.
Ważne
Należy natychmiast włączyć usuwanie nietrwałe w magazynach kluczy. Możliwość rezygnacji z usuwania nietrwałego jest przestarzała i zostanie usunięta w lutym 2025 r. Zobacz pełne szczegóły tutaj
Należy pamiętać, że nazwy magazynów kluczy są globalnie unikatowe, więc nie będzie można utworzyć magazynu kluczy o takiej samej nazwie jak magazyn kluczy w stanie usunięcia nietrwałego. Podobnie nazwy kluczy, wpisów tajnych i certyfikatów są unikatowe w magazynie kluczy. Nie będzie można utworzyć wpisu tajnego, klucza lub certyfikatu o takiej samej nazwie jak inny w stanie usunięcia nietrwałego.
Ochrona przed przeczyszczeniem została zaprojektowana w taki sposób, aby zapobiec usunięciu magazynu kluczy, kluczy, wpisów tajnych i certyfikatów przez złośliwy tester. Pomyśl o tym jako kosz z blokadą opartą na czasie. Elementy można odzyskać w dowolnym momencie w konfigurowalnym okresie przechowywania. Nie będzie można trwale usunąć ani przeczyścić magazynu kluczy do czasu upływu okresu przechowywania. Po upływie okresu przechowywania magazyn kluczy lub obiekt magazynu kluczy zostanie automatycznie przeczyszczony.
Uwaga
Ochrona przed przeczyszczeniem została zaprojektowana tak, aby żadna rola administratora ani uprawnienia nie mogły zastąpić, wyłączyć ani obejść ochrony przed przeczyszczeniem. Gdy ochrona przed przeczyszczaniem zostanie włączona, nikt nie może jej wyłączyć ani przesłonić, włącznie z firmą Microsoft. Oznacza to, że musisz odzyskać usunięty magazyn kluczy lub poczekać na upłynięcie okresu przechowywania przed ponownym użyciem nazwy magazynu kluczy.
Aby uzyskać więcej informacji na temat usuwania nietrwałego, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault
Sprawdź, czy usuwanie nietrwałe jest włączone w magazynie kluczy i włącz usuwanie nietrwałe
- Zaloguj się w witrynie Azure Portal.
- Wybierz magazyn kluczy.
- Kliknij blok "Właściwości".
- Sprawdź, czy przycisk radiowy obok pozycji Usuwanie nietrwałe jest ustawiony na wartość "Włącz odzyskiwanie".
- Jeśli usuwanie nietrwałe nie jest włączone w magazynie kluczy, kliknij przycisk radiowy, aby włączyć usuwanie nietrwałe, a następnie kliknij przycisk "Zapisz".
Udzielanie dostępu do jednostki usługi w celu przeczyszczania i odzyskiwania usuniętych wpisów tajnych
- Zaloguj się w witrynie Azure Portal.
- Wybierz magazyn kluczy.
- Kliknij blok "Zasady dostępu".
- W tabeli znajdź wiersz podmiotu zabezpieczeń, do którego chcesz udzielić dostępu (lub dodaj nowego podmiotu zabezpieczeń).
- Kliknij listę rozwijaną kluczy, certyfikatów i wpisów tajnych.
- Przewiń w dół listy rozwijanej i kliknij pozycję "Odzyskaj" i "Przeczyść"
- Podmioty zabezpieczeń będą również potrzebować funkcji pobierania i wyświetlania listy, aby wykonywać większość operacji.
Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałego magazynu kluczy
- Zaloguj się w witrynie Azure Portal.
- Kliknij pasek wyszukiwania na górze strony.
- Wyszukaj usługę „Key Vault”. Nie klikaj pojedynczego magazynu kluczy.
- W górnej części ekranu kliknij opcję „Zarządzaj usuniętymi magazynami”
- Po prawej stronie ekranu otworzy się okienko kontekstowe.
- Wybierz subskrypcję.
- Jeśli magazyn kluczy nie został usunięty trwale, zostanie wyświetlony w okienku kontekstowym po prawej stronie.
- Jeśli istnieje zbyt wiele magazynów, możesz użyć do uzyskania wyników pozycji „Załaduj więcej” w dolnej części okienka kontekstu lub interfejsu wiersza polecenia albo programu PowerShell.
- Po znalezieniu magazynu, który chcesz odzyskać lub przeczyścić, zaznacz pole wyboru obok niego.
- Wybierz opcję odzyskiwania w dolnej części okienka kontekstowego, jeśli chcesz odzyskać magazyn kluczy.
- Wybierz opcję przeczyszczania, jeśli chcesz trwale usunąć magazyn kluczy.
Wyświetlanie, odzyskiwanie lub przeczyszczanie nietrwałych wpisów tajnych, kluczy i certyfikatów
- Zaloguj się w witrynie Azure Portal.
- Wybierz magazyn kluczy.
- Wybierz blok odpowiadający typowi wpisu tajnego, którym chcesz zarządzać (klucze, wpisy tajne lub certyfikaty).
- W górnej części ekranu kliknij pozycję "Zarządzaj usuniętymi kluczami, wpisami tajnymi lub certyfikatami)
- Po prawej stronie ekranu zostanie wyświetlone okienko kontekstowe.
- Jeśli na liście nie ma wpisu tajnego, klucza lub certyfikatu, nie jest on w stanie usunięcia nietrwałego.
- Wybierz klucz tajny, klucz lub certyfikat, którym chcesz zarządzać.
- Wybierz opcję odzyskania lub przeczyszczenia w dolnej części okienka kontekstowego.
Następne kroki
- Polecenia cmdlet programu PowerShell usługi Azure Key Vault
- Polecenia interfejsu wiersza polecenia platformy Azure usługi Key Vault
- Kopia zapasowa usługi Azure Key Vault
- Jak włączyć rejestrowanie usługi Key Vault
- Funkcje zabezpieczeń usługi Azure Key Vault
- Przewodnik dewelopera usługi Azure Key Vault