Backup e restauração do Azure Key Vault
Este documento mostra como fazer backup de segredos, chaves e certificados armazenados no cofre de chaves. Um backup destina-se a fornecer uma cópia offline de todos os segredos no caso improvável de você perder o acesso ao cofre de chaves.
Visão geral
O Azure Key Vault fornece automaticamente vários recursos para ajudar você a manter a disponibilidade e evitar a perda de dados. Faça backup dos segredos somente se você tiver uma justificativa comercial crítica. O backup de segredos no cofre de chaves pode introduzir desafios operacionais, como a manutenção de vários conjuntos de logs, permissões e backups quando os segredos expiram ou são girados.
O Key Vault mantém a disponibilidade em cenários de desastre e fará automaticamente o failover das solicitações para uma região emparelhada sem exigir nenhuma intervenção por parte do usuário. Para obter mais informações, confira Disponibilidade e redundância do Azure Key Vault.
Caso deseje obter proteção contra a exclusão acidental ou mal-intencionada de segredos, configure a exclusão temporária e limpe os recursos de proteção no cofre de chaves. Para obter mais informações, confira Visão geral da exclusão temporária do Azure Key Vault.
Limitações
Importante
O Key Vault não dá suporte para a capacidade de fazer backup de mais de 500 versões anteriores de um objeto de chave, segredo ou certificado. A tentativa de fazer backup de um objeto de chave, segredo ou certificado poderá resultar em um erro. Não é possível excluir versões anteriores de uma chave, um segredo ou um certificado.
No momento, o Key Vault não fornece uma maneira de fazer backup de um cofre de chaves inteiro em uma única operação, e o backup de chaves, segredos e certificados deve ser feito indviduamente.
Considere também os seguintes problemas:
- O backup de segredos que têm várias versões poderá causar erros de tempo limite.
- Um backup cria um instantâneo pontual. Os segredos podem ser renovados durante um backup, causando incompatibilidade das chaves de criptografia.
- Se você exceder os limites de serviço do cofre de chaves de solicitações por segundo, o cofre de chaves será restrito e o backup falhará.
Considerações sobre o design
Quando você fizer backup de um objeto do cofre de chaves, como um segredo, uma chave ou um certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não poderá ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, restaure o blob em um cofre de chaves na mesma assinatura e geografia do Azure.
Pré-requisitos
Para fazer backup de um objeto do cofre de chaves, você precisará ter:
- Permissões no nível de colaborador ou superiores em uma assinatura do Azure.
- Um cofre de chaves primário que contenha os segredos que você deseja copiar em backup.
- Um cofre de chaves secundário em que os segredos serão restaurados.
Backup e restauração por meio do portal do Azure
Siga as etapas desta seção para fazer backup de objetos e restaurá-los usando o portal do Azure.
Fazer backup
Vá para o portal do Azure.
Selecione seu cofre de chaves.
Acesse o objeto (segredo, chave ou certificado) que deseja copiar em backup.
Selecione o objeto.
Selecione Baixar Backup.
Selecione Baixar.
Armazene o blob criptografado em uma localização segura.
Restaurar
Vá para o portal do Azure.
Selecione seu cofre de chaves.
Acesse o tipo de objeto (segredo, chave ou certificado) que deseja restaurar.
Selecione Restaurar Backup.
Acesse a localização em que você armazenou o blob criptografado.
Selecione OK.
Backup e restauração por meio da CLI do Azure ou do Azure PowerShell
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}