Pełne tworzenie kopii zapasowej i przywracanie i przywracanie selektywnego klucza
Uwaga
Ta funkcja jest dostępna tylko dla zarządzanego modułu HSM typu zasobu.
Zarządzany moduł HSM obsługuje tworzenie pełnej kopii zapasowej całej zawartości modułu HSM, w tym wszystkich kluczy, wersji, atrybutów, tagów i przypisań ról. Kopia zapasowa jest szyfrowana przy użyciu kluczy kryptograficznych skojarzonych z domeną zabezpieczeń modułu HSM.
Tworzenie kopii zapasowej to operacja na płaszczyźnie danych. Obiekt wywołujący inicjujący operację tworzenia kopii zapasowej musi mieć uprawnienia do wykonywania operacji dataAction Microsoft.KeyVault/managedHsm/backup/start/action.
Tylko następujące wbudowane role mają uprawnienia do wykonywania pełnej kopii zapasowej:
- Administrator zarządzanego modułu HSM
- Zarządzana kopia zapasowa modułu HSM
Istnieją dwa sposoby wykonywania pełnej kopii zapasowej/przywracania:
- Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika (UAMI) do zarządzanej usługi HSM. Możesz utworzyć kopię zapasową i przywrócić maszynę MHSM przy użyciu tożsamości zarządzanej przypisanej przez użytkownika niezależnie od tego, czy konto magazynu ma włączony dostęp do sieci publicznej, czy dostęp do sieci prywatnej. Jeśli konto magazynu znajduje się za prywatnym punktem końcowym, metoda UAMI współpracuje z zaufanym obejściem usługi, aby umożliwić tworzenie kopii zapasowych i przywracanie.
- Używanie tokenu SAS kontenera magazynu z uprawnieniami "crdw". Tworzenie kopii zapasowej i przywracanie przy użyciu tokenu SAS kontenera magazynu wymaga włączenia dostępu do sieci publicznej.
Aby wykonać pełną kopię zapasową, należy podać następujące informacje:
- Nazwa lub adres URL modułu HSM
- Nazwa konta magazynu
- Kontener magazynu obiektów blob konta magazynu
- Tożsamość zarządzana przypisana przez użytkownika LUB token SAS kontenera magazynu z uprawnieniami "crdw"
Azure Cloud Shell
Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby uruchomić środowisko Azure Cloud Shell:
| Opcja | Przykład/link |
|---|---|
| Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell. |  |
| Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. |  |
| Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. |  |
Aby użyć usługi Azure Cloud Shell:
Uruchom usługę Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając klawisze Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.
Wybierz klawisz Enter, aby uruchomić kod lub polecenie.
Wymagania wstępne dotyczące tworzenia kopii zapasowej i przywracania przy użyciu tożsamości zarządzanej przypisanej przez użytkownika:
- Upewnij się, że masz interfejs wiersza polecenia platformy Azure w wersji 2.56.0 lub nowszej. Uruchom polecenie
az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. - Utwórz tożsamość zarządzaną przypisaną przez użytkownika.
- Utwórz konto magazynu (lub użyj istniejącego konta magazynu).
- Jeśli dostęp do sieci publicznej jest wyłączony na koncie magazynu, włącz obejście zaufanej usługi na koncie magazynu na karcie "Sieć" w obszarze "Wyjątki".
- Podaj dostęp roli "Współautor danych obiektu blob magazynu" do tożsamości zarządzanej przypisanej przez użytkownika utworzonej w kroku 2, przechodząc do karty "Kontrola dostępu" w portalu —> Dodaj przypisanie roli. Następnie wybierz pozycję "Tożsamość zarządzana" i wybierz tożsamość zarządzaną utworzoną w kroku 2 —> Przeglądanie i przypisywanie
- Utwórz zarządzany moduł HSM i skojarz tożsamość zarządzaną za pomocą poniższego polecenia.
az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
Jeśli masz istniejący zarządzany moduł HSM, skojarz tożsamość zarządzaną, aktualizując narzędzie MHSM za pomocą poniższego polecenia.
az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2"
Pełna kopia zapasowa
Kopia zapasowa jest długotrwałą operacją, ale natychmiast zwraca identyfikator zadania. Stan procesu tworzenia kopii zapasowej można sprawdzić przy użyciu tego identyfikatora zadania. Proces tworzenia kopii zapasowej tworzy folder wewnątrz wyznaczonego kontenera z następującym wzorcem mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}nazewnictwa , gdzie HSM_NAME jest nazwą zarządzanego modułu HSM, którego kopia zapasowa jest tworzona, a RRRR, MM, DD, HH, MM, mm, SS to rok, miesiąc, data, godzina, minuty i sekundy daty/godziny w formacie UTC po odebraniu polecenia kopii zapasowej.
Chociaż tworzenie kopii zapasowej jest w toku, moduł HSM może nie działać w pełnej przepływności, ponieważ niektóre partycje HSM będą zajęte wykonywaniem operacji tworzenia kopii zapasowej.
Tworzenie kopii zapasowej modułu HSM przy użyciu tożsamości zarządzanej przypisanej przez użytkownika
az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer
Tworzenie kopii zapasowej modułu HSM przy użyciu tokenu SAS
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Create a container
az storage container create --account-name mhsmdemobackup --name mhsmdemobackupcontainer --account-key $skey
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Backup HSM
az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}
Pełne przywracanie
Pełne przywracanie umożliwia całkowite przywrócenie zawartości modułu HSM przy użyciu poprzedniej kopii zapasowej, w tym wszystkich kluczy, wersji, atrybutów, tagów i przypisań ról. Wszystkie elementy przechowywane obecnie w module HSM zostaną wyczyszczone i powróci do tego samego stanu, w których znajdowała się podczas tworzenia źródłowej kopii zapasowej.
Ważne
Pełne przywracanie to bardzo destrukcyjna i destrukcyjna operacja. W związku z tym należy wykonać pełną kopię zapasową co najmniej 30 minut przed wykonaniem restore operacji.
Przywracanie to operacja płaszczyzny danych. Obiekt wywołujący rozpoczynający operację przywracania musi mieć uprawnienia do wykonywania operacji dataAction Microsoft.KeyVault/managedHsm/restore/start/action. Źródłowy moduł HSM, w którym utworzono kopię zapasową, oraz docelowy moduł HSM, w którym będzie wykonywane przywracanie, musi mieć tę samą domenę zabezpieczeń. Zobacz więcej o domenie zabezpieczeń zarządzanego modułu HSM.
Istnieją 2 sposoby wykonywania pełnego przywracania. Aby wykonać pełne przywracanie, należy podać następujące informacje:
- Nazwa lub adres URL modułu HSM
- Nazwa konta magazynu
- Kontener obiektów blob konta magazynu
- Tożsamość zarządzana przypisana przez użytkownika LUB token SAS kontenera magazynu z uprawnieniami
rl - Nazwa folderu kontenera magazynu, w którym jest przechowywana kopia zapasowa źródła
Przywracanie jest długotrwałą operacją, ale natychmiast zwróci identyfikator zadania. Stan procesu przywracania można sprawdzić przy użyciu tego identyfikatora zadania. Gdy proces przywracania jest w toku, moduł HSM wprowadza tryb przywracania, a wszystkie polecenia płaszczyzny danych (z wyjątkiem stanu sprawdzania przywracania) są wyłączone.
Przywracanie modułu HSM przy użyciu tożsamości zarządzanej przypisanej przez użytkownika
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true
Przywracanie modułu HSM przy użyciu tokenu SAS
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})
# Generate a container sas token
sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})
# Restore HSM
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860
Selektywne przywracanie klucza
Selektywne przywracanie klucza umożliwia przywrócenie jednego pojedynczego klucza ze wszystkimi jego wersjami klucza z poprzedniej kopii zapasowej do modułu HSM.
Selektywne przywracanie klucza przy użyciu tożsamości zarządzanej przypisanej przez użytkownika
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2
Selektywne przywracanie klucza przy użyciu tokenu SAS
az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2
Następne kroki
- Zobacz Zarządzanie zarządzanym modułem HSM przy użyciu interfejsu wiersza polecenia platformy Azure.
- Dowiedz się więcej o domenie zabezpieczeń zarządzanego modułu HSM