Zarządzana ochrona przed usuwaniem nietrwałym i przeczyszczaniem modułu HSM
W tym artykule opisano dwie funkcje odzyskiwania zarządzanego modułu HSM: usuwanie nietrwałe i ochronę przed przeczyszczeniem. Zawiera omówienie tych funkcji i pokazuje, jak nimi zarządzać przy użyciu interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell.
Aby uzyskać więcej informacji, zobacz Omówienie zarządzanego modułu HSM.
Wymagania wstępne
Subskrypcja platformy Azure. Utwórz je bezpłatnie.
Moduł programu PowerShell.
Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej. Uruchom polecenie
az --version, aby określić, którą wersję masz. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.Zarządzany moduł HSM. Możesz go utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.
Użytkownicy będą potrzebować następujących uprawnień do wykonywania operacji na nietrwałych modułach HSM lub kluczach:
Przypisanie roli opis Współautor zarządzanego modułu HSM Wyświetlanie, odzyskiwanie i czyszczenie nietrwałych modułów HSM Zarządzany użytkownik kryptograficzny modułu HSM Wyświetlanie listy kluczy usuniętych nietrwale Zarządzany oficer kryptograficzny modułu HSM Przeczyszczanie i odzyskiwanie kluczy usuniętych nietrwale
Co to jest ochrona przed usuwaniem nietrwałym i przeczyszczaniem?
Usuwanie nietrwałe i ochrona przed przeczyszczeniem to funkcje odzyskiwania.
Usuwanie nietrwałe zostało zaprojektowane tak, aby zapobiec przypadkowemu usunięciu modułu HSM i kluczy. Usuwanie nietrwałe działa jak kosz. Usunięcie modułu HSM lub klucza pozostanie możliwe do odzyskania przez konfigurowalny okres przechowywania lub domyślny okres 90 dni. Moduły HSM i klucze w stanie usunięcia nietrwałego mogą być również czyszczone, co oznacza, że są one trwale usuwane. Przeczyszczanie umożliwia ponowne utworzenie modułów HSM i kluczy o tej samej nazwie co przeczyszczonego elementu. Zarówno odzyskiwanie, jak i usuwanie modułów HSM i kluczy wymaga określonych przypisań ról. Nie można wyłączyć usuwania nietrwałego.
Uwaga
Ponieważ zasoby bazowe pozostają przydzielone do modułu HSM nawet wtedy, gdy są w stanie usuniętym, zasób HSM będzie nadal naliczać opłaty godzinowe w tym stanie.
Nazwy zarządzanego modułu HSM są globalnie unikatowe w każdym środowisku chmury. Nie można więc utworzyć zarządzanego modułu HSM o takiej samej nazwie jak ten, który istnieje w stanie usunięcia nietrwałego. Podobnie nazwy kluczy są unikatowe w module HSM. Nie można utworzyć klucza o tej samej nazwie co klucz, który istnieje w stanie usunięcia nietrwałego.
Aby uzyskać więcej informacji, zobacz Omówienie usuwania nietrwałego zarządzanego modułu HSM.
Ochrona przed przeczyszczaniem została zaprojektowana tak, aby zapobiec usunięciu modułów HSM i kluczy przez złośliwego wewnętrznego użytkownika. To jak kosz z blokadą opartą na czasie. Elementy można odzyskać w dowolnym momencie w konfigurowalnym okresie przechowywania. Nie będzie można trwale usunąć ani przeczyścić modułu HSM ani klucza do momentu zakończenia okresu przechowywania. Po zakończeniu okresu przechowywania moduł HSM lub klucz zostanie automatycznie przeczyszczone.
Uwaga
Żadna rola lub uprawnienie administratora nie może zastąpić, wyłączyć ani obejść ochrony przed przeczyszczeniem. Jeśli ochrona przed przeczyszczeniem jest włączona, nie można jej wyłączyć ani zastąpić przez nikogo, w tym firmę Microsoft. Dlatego należy odzyskać usunięty moduł HSM lub poczekać na zakończenie okresu przechowywania, zanim będzie można ponownie użyć nazwy modułu HSM.
Zarządzanie kluczami i zarządzanymi modułami HSM
Zarządzane moduły HSM (interfejs wiersza polecenia)
Aby sprawdzić stan usuwania nietrwałego i ochrony przed przeczyszczeniem zarządzanego modułu HSM:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Aby usunąć moduł HSM:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Ta akcja jest do odzyskania, ponieważ usuwanie nietrwałe jest domyślnie włączone.
Aby wyświetlić listę wszystkich nietrwałych modułów HSM:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsmAby odzyskać nietrwały moduł HSM:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}Aby przeczyścić nietrwały moduł HSM:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}Ostrzeżenie
Ta operacja spowoduje trwałe usunięcie modułu HSM.
Aby włączyć ochronę przeczyszczania w module HSM:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
Klucze (interfejs wiersza polecenia)
Aby usunąć klucz:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Aby wyświetlić listę usuniętych kluczy:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}Aby odzyskać usunięty klucz:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Aby przeczyścić nietrwały klucz:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Ostrzeżenie
Ta operacja spowoduje trwałe usunięcie klucza.