Omówienie usuwania nietrwałego zarządzanego modułu HSM

Ważne

Nie można wyłączyć usuwania nietrwałego dla zarządzanych zasobów modułu HSM.

Ważne

Zasoby zarządzanego modułu HSM usunięte nietrwale będą nadal rozliczane w pełnej stawce godzinowej, dopóki nie zostaną przeczyszczone.

Funkcja usuwania nietrwałego zarządzanego modułu HSM umożliwia odzyskiwanie usuniętych modułów HSM i kluczy. W szczególności ta funkcja zapewnia następujące zabezpieczenia:

• Po usunięciu modułu HSM lub klucza można go odzyskać przez konfigurowalny okres od 7 do 90 dni kalendarzowych. Okres przechowywania można ustawić podczas tworzenia modułu HSM. Jeśli nie określisz wartości, zostanie użyty domyślny okres przechowywania 90 dni. Ten okres daje użytkownikom wystarczający czas, aby zauważyć przypadkowe usunięcie klucza lub modułu HSM i odpowiedzieć.
• Aby trwale usunąć klucz, użytkownicy muszą wykonać dwie akcje. Najpierw muszą usunąć klucz, który umieszcza go w stanie usunięcia nietrwałego. Po drugie, muszą przeczyścić klucz w stanie usunięcia nietrwałego. Operacja przeczyszczania wymaga roli zarządzanego oficera kryptograficznego HSM. Te dodatkowe zabezpieczenia zmniejszają ryzyko przypadkowego lub złośliwego usunięcia klucza lub modułu HSM przez użytkownika.

Zachowanie usuwania nietrwałego

Nie można wyłączyć usuwania nietrwałego dla zarządzanych zasobów modułu HSM.

Zasoby oznaczone jako usunięte są przechowywane przez określony okres. Istnieje również mechanizm odzyskiwania usuniętych modułów HSM lub kluczy, dzięki czemu można cofnąć usuwanie.

Domyślny okres przechowywania wynosi 90 dni. Podczas tworzenia zasobu modułu HSM można ustawić interwał zasad przechowywania na wartość z zakresu od 7 do 90 dni. Zasady przechowywania ochrony przeczyszczania używają tego samego interwału. Po ustawieniu zasad przechowywania nie można go zmienić.

Nie można ponownie użyć nazwy zasobu modułu HSM, który został usunięty nietrwale do momentu zakończenia okresu przechowywania, a zasób modułu HSM zostanie przeczyszczone (trwale usunięte).

Ochrona przed przeczyszczaniem

Ochrona przed przeczyszczaniem jest opcjonalnym zachowaniem. Nie jest ona domyślnie włączona. Można ją włączyć przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Gdy ochrona przed przeczyszczeniem jest włączona, moduł HSM lub klucz w stanie usuniętym nie może zostać przeczyszczone do momentu zakończenia okresu przechowywania. Nietrwałe moduły HSM i klucze można nadal odzyskiwać, co gwarantuje, że zasady przechowywania będą obowiązywać.

Domyślny okres przechowywania wynosi 90 dni. Interwał zasad przechowywania można ustawić na wartość z zakresu od 7 do 90 dni podczas tworzenia modułu HSM. Interwał zasad przechowywania można ustawić tylko podczas tworzenia modułu HSM. Nie można go zmienić później.

Zobacz Jak używać zarządzanego usuwania nietrwałego modułu HSM za pomocą interfejsu wiersza polecenia lub Jak używać zarządzanego usuwania nietrwałego modułu HSM w programie PowerShell.

Odzyskiwanie zarządzanego modułu HSM

Po usunięciu modułu HSM usługa tworzy zasób serwera proxy w subskrypcji, dodając wystarczającą ilość metadanych, aby umożliwić odzyskiwanie. Zasób serwera proxy jest przechowywanym obiektem. Jest ona dostępna w tej samej lokalizacji co usunięty moduł HSM.

Odzyskiwanie klucza

Po usunięciu klucza usługa umieści ją w stanie usuniętym, co czyni go niedostępnym dla wszystkich operacji. W tym stanie klucze można wyświetlać, odzyskiwać lub czyścić. Aby wyświetlić obiekty, użyj polecenia interfejsu wiersza polecenia az keyvault key list-deleted platformy Azure (opisanego w temacie Managed HSM soft-delete and purge protection with CLI) lub parametru Azure PowerShell -InRemovedState (opisanego w temacie Managed HSM soft-delete and purge protection with PowerShell).

Po usunięciu klucza zarządzany moduł HSM zaplanuje usunięcie danych bazowych odpowiadających usuniętemu modułowi HSM lub kluczowi, które ma nastąpić po określonym przedterminowanym interwale przechowywania. Rekord DNS odpowiadający modułowi HSM jest również przechowywany w interwale przechowywania.

Okres przechowywania usuwania nietrwałego

Zasoby usunięte nietrwale są przechowywane przez określony czas: 90 dni. Podczas interwału przechowywania usuwania nietrwałego obowiązują następujące warunki:

• Możesz wyświetlić listę wszystkich modułów HSM i kluczy w stanie usuwania nietrwałego dla subskrypcji. Możesz również uzyskać dostęp do informacji o usuwaniu i odzyskiwaniu.
• Tylko użytkownicy z rolą Współautor zarządzanego modułu HSM mogą wyświetlać listę usuniętych modułów HSM. Zalecamy utworzenie roli niestandardowej z tymi uprawnieniami do obsługi usuniętych magazynów.
• Nazwy zarządzanego modułu HSM muszą być unikatowe w danej lokalizacji. Podczas tworzenia klucza nie można użyć nazwy, jeśli moduł HSM zawiera klucz o tej nazwie w stanie usuniętym.
• Tylko użytkownicy z rolą Współautor zarządzanego modułu HSM mogą wyświetlać, wyświetlać, odzyskiwać i czyścić zarządzane moduły HSM.
• Tylko użytkownicy z rolą zarządzanego oficera kryptograficznego HSM mogą wyświetlać, wyświetlać, odzyskiwać i czyścić klucze.

Jeśli zarządzany moduł HSM lub klucz nie zostanie odzyskany, na końcu interwału przechowywania usługa wykonuje przeczyszczenie nietrwałego modułu HSM lub klucza. Nie można ponownie zaplanować usunięcia zasobów.

Implikacje dotyczące rozliczeń

Zarządzany moduł HSM to usługa z jedną dzierżawą. Podczas tworzenia zarządzanego modułu HSM usługa rezerwuje zasoby bazowe przydzielone do modułu HSM. Te zasoby pozostają przydzielone nawet wtedy, gdy moduł HSM jest w stanie usunięcia. Opłaty za moduł HSM będą naliczane w stanie usunięcia.

Następne kroki

W tych artykułach opisano główne scenariusze używania usuwania nietrwałego:

• Jak używać zarządzanego usuwania nietrwałego modułu HSM za pomocą programu PowerShell
• Jak używać zarządzanego usuwania nietrwałego modułu HSM za pomocą interfejsu wiersza polecenia platformy Azure